Jul 19, 2024 von Dominique Meier, Lukas Koslowski
In einer zunehmend digitalisierten Welt spielt die Gewährleistung der Betriebssicherheit eine entscheidende Rolle für die Finanzbranche. Der Digital Operational Resilience Act (DORA) stellt einen rechtlichen Rahmen dar, der darauf abzielt, die Widerstandsfähigkeit europäischer Finanzinstitute gegen Cyberangriffe zu stärken. Vom IKT-Risikomanagement bis hin zur Meldung an Behörden – wir werfen einen Blick auf die Schlüsselaspekte von DORA und wie dessen Umsetzung den schweizerischen Finanzmarkt beeinflussen könnte. Erfahren Sie, mit welchen Anforderungen Sie sich vertraut machen sollten und wie unsere Fachleute Sie bei der Implementierung der DORA-Verordnung unterstützen können.
Um den Herausforderungen der Cybersicherheit und des operativen Betriebs gerecht zu werden, wurde mit dem Digital Operational Resilience Act (DORA) auf europäischer Ebene hein rechtlicher Rahmen geschaffen. DORA ist eine Verordnung, welche darauf abzielt, die Widerstandsfähigkeit digitaler Services und Infrastrukturen im gesamten europäischen Raum zu stärken und Risiken im Zusammenhang mit der Cybersicherheit und dem operativen Betrieb zu minimieren. Durch diese Verordnung werden Institute des europäischen Finanzsektors dazu verpflichtet, geeignete Massnahmen zur Gewährleistung der Betriebssicherheit zu ergreifen und ihre Fähigkeit zur Bewältigung von Störungen und Cyberangriffen zu verbessern.
Für die Umsetzung der DORA-Vorgaben haben die drei European Security Authorities (EBA, EIOPA und ESMA) zudem erste technische Regulierungs- (RTS) und Implementierungsstandards (ITS) erarbeitet.
Welche Unternehmen sollten sich jetzt schon mit den Anforderungen vertraut machen?
DORA definiert fünf primäre Handlungsfelder, welche nachfolgend beschrieben werden.
Finanzunternehmen sind verpflichtet, ein IKT-Risikomanagement zu etablieren. Dies umfasst die regelmässige Überprüfung von Risiken und Sicherheitsmassnahmen, Dokumentation und Verbesserung, um die Widerstandsfähigkeit zu gewährleisten. Zudem betont DORA, die Notwendigkeit, robuste IT-Infrastrukturen zu betreiben, die in der Lage sind, auch unter herausfordernden Bedingungen wie Turbulenzen im Finanzmarkt oder unvorhergesehenen Ereignissen eine zuverlässige und präzise Datenverarbeitung sicherzustellen. Darüber hinaus wird die Verantwortung des Leitungsorgans konkretisiert, durch eine Zuweisung von angemessenen Budgets und verpflichtenden Schulungen für Mitglieder der Geschäftsleitung.
Daraus resultieren folgende Action Items:
Die Berichterstattung zu IKT-bezogenen Vorfällen spielt bei DORA eine wesentliche Rolle. Hierbei geht es nicht nur um die Einrichtung von Mechanismen zur Überwachung und Verwaltung von IKT-Risiken, sondern auch um die genaue Dokumentation und Meldung jeglicher Vorfälle im IKT-Bereich. Die Vorschriften legen fest, dass Finanzunternehmen klare Protokolle und Prozesse zur Meldung und Aufzeichnung von IKT-Vorfällen einführen müssen. Das Ziel ist es, sämtliche Ereignisse, sei es ein Sicherheitsvorfall oder eine Störung im System, genau zu dokumentieren. Zudem sollen diese Informationen zeitnah und transparent an die relevanten Behörden gemeldet werden, um eine angemessene Reaktion und Lösung zu gewährleisten. Diese Berichterstattungs-Mechanismen sollen nicht nur die tatsächlichen Vorfälle erfassen, sondern auch präventive Massnahmen einschliessen, um potenzielle Risiken frühzeitig zu identifizieren und zu bewerten. Das Kapitel betont somit die Bedeutung notwendiger Prozesse zur Behandlung von Sicherheitsvorfällen inkl. einer umfassenden Dokumentation und definierten Kommunikation im Falle von IKT-bezogenen Vorfällen. Das Ziel ist es, ein schnelles Eingreifen und eine verbesserte Reaktion auf Sicherheitsvorfälle zu ermöglichen.
Daraus resultieren folgende Action Items:
DORA hebt auch die Bedeutung des Testens der digitalen operativen Widerstandsfähigkeit in Finanzunternehmen hervor. Es legt den Schwerpunkt darauf, dass Unternehmen verpflichtet sind, angemessene Mechanismen einzurichten, um die Wirksamkeit ihrer IKT-Risikomanagement-Massnahmen regelmässig zu prüfen. Das Kapitel erläutert die Notwendigkeit, Tests und Überprüfungen durchzuführen, um sicherzustellen, dass die implementierten Schutzmassnahmen unter realen Bedingungen funktionieren. Diese Tests sollen nicht nur theoretische Szenarien abdecken, sondern auch reale Situationen simulieren, um die Reaktion des Unternehmens auf mögliche IKT-bezogene Vorfälle zu evaluieren. Dabei wird besonders hervorgehoben, dass diese Tests in einem angemessenen Zeitrahmen durchgeführt werden, um sicherzustellen, dass das Unternehmen auf aktuelle Bedrohungen vorbereitet ist und seine digitale operative Resilienz kontinuierlich verbessert.
Daraus resultieren folgende Action Items:
Das Management von Risiken, die durch den Einsatz von Dritten (IKT-Drittparteien) im Bereich der IKT entstehen, steht ebenfalls im Fokus von DORA. Hierbei werden Finanzunternehmen dazu aufgefordert, angemessene Massnahmen zu implementieren, um potenzielle Risiken, die durch die jeweilige Zusammenarbeit mit IKT-Drittanbietern resultieren könnten, zu identifizieren, zu bewerten und zu managen. Es legt den Fokus auf die Einrichtung geeigneter Kontrollen und Überwachungsmechanismen, um sicherzustellen, dass die IKT-Drittparteien die erforderlichen Standards für Sicherheit und Betrieb einhalten. Zusätzlich werden Finanzunternehmen aufgefordert, klare Protokolle für die Kommunikation und das Management von Risiken, die mit IKT-Drittparteien verbunden sind, zu etablieren, um eine umfassende Kontrolle und Transparenz über diese Beziehungen zu gewährleisten
Daraus resultieren folgende Action Items:
DORA legt fest, dass die zuständigen Behörden und Aufsichtsbehörden Informationen austauschen dürfen, um ihre jeweiligen Aufgaben im Zusammenhang mit der digitalen operativen Widerstandsfähigkeit und der Überwachung der Finanzunternehmen zu erfüllen. Hierbei wird betont, dass dieser Informationsaustausch auf eine kooperative und effektive Zusammenarbeit abzielt, um sicherzustellen, dass die Behörden die notwendigen Daten erhalten, um ihre Überwachungs- und Kontrollfunktionen in Bezug auf die digitale operative Resilienz der Finanzunternehmen auszuüben. Das Kapitel legt Wert darauf, dass der Informationsaustausch auf transparente und angemessene Weise erfolgen soll, um eine effiziente Aufsicht und Unterstützung der Finanzbranche zu gewährleisten.
Daraus resultieren folgende Action Items:
DORA verpflichtet in der EU ansässige Finanzinstitute oder in Verbindung stehende ausländische Leistungserbringer Massnahmen zur Stärkung der digitalen Resilienz zu ergreifen, um die Risiken der Digitalisierung in der Finanzbranche zu adressieren. Unsere Fachpersonen beraten und begleiten Sie gerne bei der Umsetzung des neuen DORA-Standards:
Wir begleiten zahlreiche Kunden in der Finanzbranche und freuen uns auf Ihre Anfrage. Lassen Sie sich jetzt unverbindlich beraten.