5 Schritte, die Sie unternehmen müssen, um auf die Frist im nächsten Jahr vorbereitet zu sein
DORA wird den Finanzdienstleistungssektor verändern, indem es die Cybersicherheit und die operative Resilienz in der gesamten EU verbessert. Stephen McDermid von Okta erläutert, was DORA für den Finanzsektor bedeutet und warum viele Unternehmen auf Automatisierung setzen, um die komplexen Ebenen von Regulierung und Compliance zu bewältigen.
Finanzdienstleistungsunternehmen in ganz Europa zählen die Monate und Tage bis zum Inkrafttreten von DORA – dem Digital Operational Resilience Act der Europäischen Kommission.
Am 17. Januar 2025 endet die 24-monatige Vorbereitungszeit und alle Finanzdienstleistungsunternehmen müssen die DORA-Verordnung einhalten.
Was ist DORA?
Als Reaktion auf zunehmende Cyberbedrohungen zielt DORA darauf ab, sicherzustellen, dass Finanzinstitute digitalen Störungen standhalten, darauf reagieren und sich davon erholen können, wodurch das breitere Finanzsystem geschützt wird. DORA wurde entwickelt, um bestehende Governance-Programme unter einem einzigen Aufsichtsschirm in der gesamten EU zu harmonisieren.
Die Auswirkungen von DORA
Nachdem ich eng mit Sicherheitsteams und Aufsichtsbehörden im Bereich Finanzdienstleistungen zusammengearbeitet habe, habe ich eine Verschiebung in der Art und Weise erlebt, wie Unternehmen Cyber-Resilienz und Schutz angehen, insbesondere im Hinblick auf den Digital Operational Resilience Act (DORA).
Heute liegt der Fokus notwendigerweise auf der Minimierung von Risiken in digitalen Lieferketten. Wir müssen sicherstellen, dass Management und Governance gut darauf vorbereitet sind, Bedenken hinsichtlich Cybersicherheit, potenzieller Verstöße und Schwachstellen auszuräumen.
Dies ist eine große Veränderung, und sie kommt zur rechten Zeit. Aktuelle Cybersicherheitsvorfälle unterstreichen die kritischen Risiken, die mit Kompromittierungen der Lieferkette und dem Zugriff Dritter verbunden sind.
DORA wird diese Themen für Vorstände und Finanzvorstände stärker in den Fokus rücken, wodurch es für sie von entscheidender Bedeutung wird, über die richtigen Governance-Strukturen zu verfügen und, noch wichtiger, die Fähigkeit zu besitzen, im Falle von Vorfällen effektiv zu reagieren.
Komplexe Ebenen von Vorschriften, die verwaltet werden müssen
Wir leben und arbeiten in einem zunehmend komplexen regulatorischen Umfeld. DORA ist nur eine von mehreren Verordnungen, die auf uns zukommen, darunter NIS2 und der Cyber Resilience Act (CRA). Die Einhaltung der Vorschriften zu verwalten, ist eine Herausforderung, und Unternehmen setzen jetzt auf Automatisierung, um die wachsende Last der Analyse, Validierung und Prüfung zu bewältigen. In unserem aktuellen Businesses at Work 2024 Bericht haben wir gesehen, dass das Wachstum von Tools zur Daten-Compliance im Jahresvergleich 120 % erreicht hat.
Wie man die DORA-Konformität erreicht
Wenn es darum geht, wichtige Schwachstellen in ihren digitalen Lieferketten zu identifizieren, erkennen Unternehmen zunehmend, dass Prävention zwar von entscheidender Bedeutung ist, es aber genauso wichtig ist, über robuste Tests und Validierungen der vorhandenen Kontrollen zu verfügen. Vorfälle werden passieren, und der Schlüssel zur Minderung ihrer Auswirkungen liegt in einer gründlichen Vorbereitung.
Hier ist mein Rat, wie Sie sich auf die DORA-Compliance vorbereiten können:
- Identifizieren Sie wichtige Lieferanten und arbeiten Sie mit ihnen durch Szenarioplanung und Simulationen zusammen. Solche Bemühungen helfen Unternehmen, potenzielle Auswirkungen zu verstehen und Notfallpläne zu entwickeln.
- Testen und verbessern Sie Ihre Notfallpläne kontinuierlich durch Datenanalyse und Benchmarking anhand von Industriestandards.
- Stellen Sie sicher, dass Sie über Programme zur betrieblichen Resilienz und zum Drittparteienrisiko verfügen. Richten Sie diese bestehenden Programme an den DORA-Bestimmungen aus und identifizieren Sie alle Lücken.
- Verfolgen Sie die Konsultationen und Entwürfe von Dokumenten, die in Vorbereitung auf diese Anforderungen der Regulatory Technical Standards (RTS) in Umlauf gebracht werden.
- Jetzt ist es an der Zeit, mit Partnern und Kollegen in Kontakt zu treten, um zu verstehen, wie andere diese Herausforderungen bewältigen, den Wissensaustausch und die Zusammenarbeit zu fördern.
Compliance ist entscheidend
Finanzinstitute, die DORA nicht einhalten, müssen mit hohen Strafen rechnen, einschließlich Geldbußen, der Verpflichtung, Daten für Untersuchungen freizugeben, und sogar der Anordnung, den Betrieb einzustellen.
Für wichtige Drittanbieter, die Finanzdienstleistungsinstitute bedienen, steht ebenso viel auf dem Spiel. Nichteinhaltung könnte zu Strafzahlungen in Höhe von 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters aus dem Vorjahr führen, die täglich erhoben werden, bis die Einhaltung erreicht ist – für eine maximale Dauer von sechs Monaten.
Und natürlich können Cyberangriffe und Datenschutzverletzungen Ihr Investorenvertrauen und Ihren Ruf auf dem Markt negativ beeinflussen. Vertrauen braucht Jahre, um aufgebaut zu werden, kann aber in einem Augenblick verloren gehen.
DORA stellt einen regulatorischen Meilenstein für Finanzdienstleistungsunternehmen dar und zwingt Sie, einen umfassenderen und integrierteren Ansatz für Cyber-Resilienz und Operational Governance zu wählen. Es versteht sich von selbst, dass DORA streng ist, aber aus sehr guten Gründen streng ist. Während die Investitionen in die DORA-Compliance beträchtlich sein können und erhebliche Ressourcen erfordern, können die Auswirkungen, wenn etwas schief geht, exponentiell größer sein.
Erfahren Sie mehr über digitale Identität und DORA.
Die digitale Identität steht im Mittelpunkt von DORA. Um DORA-konform zu sein, müssen Finanzdienstleistungsorganisationen starke Identity-Management- und Authentifizierungstools implementieren, um die Zugriffskontrolle zu verbessern und die Sicherheit von Abläufen und Transaktionen zu verstärken. Angesichts der unglaublichen 86% der Angriffe auf Webanwendungen auf kompromittierte Anmeldedaten zurückzuführen sind, ist es leicht zu verstehen, warum.
Um herauszufinden, wie sich Digital Identity auf DORA, Ihre Sicherheit und die Sicherheit Ihrer Kunden auswirkt, lesen Sie das Okta Whitepaper „Die Rolle von Digital Identity in DORA“.
