Suche:

Blog

News zu Digital Operational Resilience Act (DORA)

Ein neues EU-Gesetz soll Finanzunternehmen besser gegen Cyperangriffe wappnen. Am 16. Januar 2023 trat die neue EU-Verordnung „DORA“ in Kraft mit dem Ziel, die Widerstandsfähigkeit von Unternehmen im Finanzsektor gegen Bedrohungen ihrer IT-Infrastruktur zu stärken.  

Der Handlungsbedarf liegt klar auf der Hand: Immer häufiger werden Banken und Versicherungen Opfer von Hackerangriffen. Zuletzt im Januar diesen Jahres: Eine großangelegte Cyberattacke legte die IT-Systeme von Flughäfen, Behörden und Finanzinstituten in Deutschland durch sogenannte „DDoS-Angriffe“ lahm. Dabei werden die betroffenen Server gezielt mit so vielen Anfragen bombardiert, dass sie die Aufgaben nicht mehr bewältigen können und dadurch die jeweiligen Webseiten nicht mehr erreichbar sind.  

Das Softwareunternehmen Check Point Technologies Ltd. hat aktuell in einer Studie ermittelt, dass die Zahl der Cyberangriffe auf die Finanzbranche im Jahr 2022 weltweit um 52 Prozent gestiegen ist, im Vergleich zum Vorjahr. Dabei komme es, laut dem Bericht, zu durchschnittlich 1.131 Angriffen auf Finanzinstitute pro Woche. Die Dunkelziffer wird noch weit höher eingeschätzt.  

Finanzunternehmen, sowie die Politik, stehen durch die ständig wachsende Bedrohungslage unter Druck, ihre kritische Infrastruktur besser zu schützen. Durch die neue Verordnung legt die EU nun weitreichendere Anforderungen an das IKT-Risikomanagement der Finanzdienstleister sowie deren Drittanbieter fest.  

 

Anforderungen der EU-Verordnung „DORA“ für Finanzunternehmen: 

  • IKT-Sicherheitskonzept als integralen Bestandteil der Geschäftsstrategie verankern, wobei das Leitungsorgan persönlich verpflichtet ist, dies zu steuern und zu verantworten. 
  • Software-Tools als Schutz- und Präventionsmaßnahmen, sowie zur Sicherstellung von Notfall- und Wiederherstellungsplänen. 
  • IKT-Gefährdungsfälle müssen überwacht, protokolliert und bei schwerwiegenden Fällen an die Finanzaufsichtsbehörde gemeldet werden.  
  • Durchführung von Testverfahren zur Prüfung der Cyberresilienz.
  • Risikoanalyse von IKT-Leistungen durch Drittanbieter und Sicherstellung der Einhaltung der gesetzlichen Vorgaben durch beauftragte Drittanbieter.
  • Vereinbarungen über den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen. 

 

Finanzunternehmen haben bis zum 16.01.2025 Zeit, die Maßnahmen der EU-Verordnung umzusetzen. In Deutschland wird die BaFin die Einhaltung der neuen Vorschriften überwachen und mit einem entsprechenden Bußgeldkatalog belegen. Finanzinstitute sollten sich daher frühzeitig mit den neuen Vorgaben vertraut machen, um unangenehme Bußgeldbescheide zu vermeiden.  

Informationssicherheit ist eine der Kernkompetenzen der Matthias Leimpek Unternehmensberatung. Unsere Experten unterstützen Sie gerne dabei, die neue regulatorische Herausforderung zu meistern und gleichzeitig die Sicherheit Ihres Unternehmens im digitalen Raum zu steigern.