Die Europäische Union arbeitet an Rahmenbedingungen für die Digitalisierung des Wirtschaftsraums, um einen sicheren und einheitlichen Umgang mit Daten und Systemen zu gewährleisten. Die EU-DSGVO oder die NIS-Richtlinien zum Schutz kritischer Infrastruktur sind bereits etablierte Beispiele. DORA (Digital Operation Resilience Act) soll nun Richtlinien zu den IKT-Systemen von Finanzdienstleistern und bestimmten kooperierenden Unternehmen bringen.[1] Es soll sichergestellt sein, dass alle Teilnehmer am Finanzsystem über die erforderlichen Sicherheitsvorkehrungen verfügen, um Cyber-Risiken zu minimieren.
Wen betrifft DORA?
Der aktuelle Entwurf der Richtlinie umfasst alle Finanzunternehmen sowie bestimmte zuliefernde Informationsdienstleiter. Neben Banken sind also auch Vermögensberater, Versicherungsvermittler und Zahlungsdienstleister betroffen. Ausgenommen sind aktuell nur Anbieter von Hardwarekomponenten und reiner elektronischer Kommunikationsdienste. Eine generelle Ausnahme von Kleinstunternehmen, wie es sie beim Netz- und Informationssicherheitsgesetz gibt, fehlt jedoch und ist einer der Kritikpunkte der WKO.[2]
Die österreichische Finanzmarktaufsicht hat bereits für 2022 einen Fokus auf Cybersecurity festgelegt. Damit werden Herausforderungen wie Resilienz und Stabilität, ein sauberer Finanzplatz, Nachhaltigkeit, Digitalisierung, kollektiver Verbraucherschutz und neue Geschäftsmodelle in den Mittelpunkt gerückt.[3]
Gibt es wesentliche Neuerungen?
Ja und nein. Grundlage für eine stabile IT-Sicherheit sind – wie üblich – aktuelle Vorkehrungen nach Stand der Technik. Ebenso gilt es zuliefernden Dienstleister zu steuern. Diese Maßnahmen können bereits viele Zwischenfälle eindämmen. Eine stabile Grundlage ist zudem Voraussetzung, um darauf aufbauende Services robust abzubilden. Dazu gehört eine Kombination aus technischen und organisatorischen Präventionsmaßnahmen sowie Notfall- und Wiederherstellungspläne.
Zusätzlich wird eine aktive zyklische Überprüfung und Beweisführung über die Wirksamkeit dieser Vorkehrungen gefordert – mindestens einmal pro Jahr. Laut Entwurf müssen zudem verschiedene Bedrohungsszenarien vollflächig simuliert werden, um zu testen, ob die aktuellen Maßnahmen ausreichend und fehlerfrei implementiert sind. Dieses Szenario kann als ambitioniert angesehen werden.
Ab wann wird DORA bindend?
Ein genaues Datum, ab wann die DORA Richtlinien verpflichtet umzusetzen sind, ist noch nicht bekannt. Insider gehen aber von aus, dass im Laufe des Jahres 2023 mit dieser Richtlinie zu rechnen sein wird. Maßgebliche IT-Sicherheitsvorkehrungen und laufende Optimierungen sind (hoffentlich) bereits jetzt bei allen Organisationen implementiert und an der Tagesordnung.
Ähnliche Themen:
DSGVO-Compliance: Sicherheit und Datenschutz To-Go
IBM Data Breach Report 2021: die wesentlichen 4 Erkenntnisse
Quellen: