Cybersecurity für Finanzdienstleister: EU plant DORA

11. April, 2022

Die Europäische Union arbeitet an Rahmenbedingungen für die Digitalisierung des Wirtschaftsraums, um einen sicheren und einheitlichen Umgang mit Daten und Systemen zu gewährleisten. Die EU-DSGVO oder die NIS-Richtlinien zum Schutz kritischer Infrastruktur sind bereits etablierte Beispiele. DORA (Digital Operation Resilience Act) soll nun Richtlinien zu den IKT-Systemen von Finanzdienstleistern und bestimmten kooperierenden Unternehmen bringen.[1] Es soll sichergestellt sein, dass alle Teilnehmer am Finanzsystem über die erforderlichen Sicherheitsvorkehrungen verfügen, um Cyber-Risiken zu minimieren.

Wen betrifft DORA?

Der aktuelle Entwurf der Richtlinie umfasst alle Finanzunternehmen sowie bestimmte zuliefernde Informationsdienstleiter. Neben Banken sind also auch Vermögensberater, Versicherungsvermittler und Zahlungsdienstleister betroffen. Ausgenommen sind aktuell nur Anbieter von Hardwarekomponenten und reiner elektronischer Kommunikationsdienste. Eine generelle Ausnahme von Kleinstunternehmen, wie es sie beim Netz- und Informationssicherheitsgesetz gibt, fehlt jedoch und ist einer der Kritikpunkte der WKO.[2]

Die österreichische Finanzmarktaufsicht hat bereits für 2022 einen Fokus auf Cybersecurity festgelegt. Damit werden Herausforderungen wie Resilienz und Stabilität, ein sauberer Finanzplatz, Nachhaltigkeit, Digitalisierung, kollektiver Verbraucherschutz und neue Geschäftsmodelle in den Mittelpunkt gerückt.[3]

Gibt es wesentliche Neuerungen?

Ja und nein. Grundlage für eine stabile IT-Sicherheit sind – wie üblich – aktuelle Vorkehrungen nach Stand der Technik. Ebenso gilt es zuliefernden Dienstleister zu steuern. Diese Maßnahmen können bereits viele Zwischenfälle eindämmen. Eine stabile Grundlage ist zudem Voraussetzung, um darauf aufbauende Services robust abzubilden. Dazu gehört eine Kombination aus technischen und organisatorischen Präventionsmaßnahmen sowie Notfall- und Wiederherstellungspläne.

Zusätzlich wird eine aktive zyklische Überprüfung und Beweisführung über die Wirksamkeit dieser Vorkehrungen gefordert – mindestens einmal pro Jahr. Laut Entwurf müssen zudem verschiedene Bedrohungsszenarien vollflächig simuliert werden, um zu testen, ob die aktuellen Maßnahmen ausreichend und fehlerfrei implementiert sind. Dieses Szenario kann als ambitioniert angesehen werden.

Ab wann wird DORA bindend?

Ein genaues Datum, ab wann die DORA Richtlinien verpflichtet umzusetzen sind, ist noch nicht bekannt. Insider gehen aber von aus, dass im Laufe des Jahres 2023 mit dieser Richtlinie zu rechnen sein wird. Maßgebliche IT-Sicherheitsvorkehrungen und laufende Optimierungen sind (hoffentlich) bereits jetzt bei allen Organisationen implementiert und an der Tagesordnung.

Ähnliche Themen:

DSGVO-Compliance: Sicherheit und Datenschutz To-Go

IBM Data Breach Report 2021: die wesentlichen 4 Erkenntnisse

Quellen:

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download