DORA (Digital Operational Resilience Act)

Was ist der DORA (Digital Operational Resilience Act)?

DORA ist ein EU-Gesetz, das sicherstellen soll, dass der Finanzsektor in Europa auch bei schwerwiegenden Betriebsstörungen widerstandsfähig bleibt. Es beschreibt technische Standards für alle Finanzdienstleistungsinstitute, vom Bankwesen über Versicherungen bis hin zur Vermögensverwaltung.

Insbesondere müssen EU-Finanzunternehmen über starke IT-Risikomanagementfähigkeiten und spezifische Mechanismen für die Behandlung und Meldung von IT-bezogenen Vorfällen verfügen. Sie sollten außerdem über Richtlinien zum Testen von IT-Anwendungen und zum Management von Risiken Dritter verfügen. DORA macht Unternehmen für die Sicherheit ihrer Apps und Produkte verantwortlich, selbst Teile, die aus Bibliotheken übernommen werden, liegen in der Verantwortung des Unternehmens. Die DORA-Anforderungen berücksichtigen die Größe des Unternehmens, sein Risikoprofil und die Art seiner Dienstleistungen. Kritische IT-Drittdienstleister unterliegen der strengen Aufsicht der europäischen Aufsichtsbehörden.

Die DORA-Anforderungen sind am 16. Januar 2023 in Kraft getreten und Finanzunternehmen werden voraussichtlich bis zum 17. Januar 2025 DORA einhalten.

DORA-Anforderungen für mobile Daten

IT-Risikomanagement

Finanzunternehmen sollten belastbare IT-Systeme aufbauen und warten. Alle IT-Risiken sollten stets identifiziert werden, um Schutz und Prävention einzurichten. Eine zeitnahe Erkennung anomaler Aktivitäten sollte gewährleistet sein.

Berichterstattung über IT-bezogene Vorfälle

Finanzunternehmen sollten einen Überwachungsprozess implementieren und IT-bezogene Vorfälle protokollieren. Sie sollten Vorfälle klassifizieren und diese den zuständigen Behörden sowie den Nutzern und Kunden der Unternehmen melden.

Prüfung der digitalen Betriebsresilienz

Elemente innerhalb des IT-Risikomanagement-Frameworks sollten regelmäßig auf ihre Bereitschaft getestet werden. Eventuelle Schwächen, Mängel oder Lücken müssen identifiziert und durch die Umsetzung von Gegenmaßnahmen zeitnah beseitigt oder abgemildert werden. Und die Anforderungen an die Prüfung der digitalen Betriebsstabilität müssen in einem angemessenen Verhältnis zur Größe, zum Geschäfts- und Risikoprofil der Unternehmen stehen.

IT-Fremdrisiko

Unternehmen müssen alle Risiken überwachen, die sich aus der Nutzung von Technologie anderer Unternehmen ergeben. Sie sollten konsistent sein und ihren Service mit dem Drittanbieter harmonisieren, um Details wie eine Beschreibung des Full-Service-Levels, die Standorte, an denen Daten verarbeitet werden usw., vollständig überwachen zu können. Der Vertrag mit diesen Drittanbietern sollte diese Details enthalten.

Informationsaustausch

Die Richtlinien ermutigen Unternehmen, Abwehr- und Erkennungstechniken, Schadensbegrenzungsstrategien oder Reaktions- und Wiederherstellungsphasen zu unterstützen.

Stellen Sie sicher, dass Ihre Anwendungen DORA entsprechen

Um konform zu sein, verlangt DORA von Finanzdienstleistern wie Banken, dass sie alle Komponenten der betrieblichen Widerstandsfähigkeit verwalten. Nach DORA müssen sie auch Regeln für die Schutz-, Erkennungs-, Eindämmungs-, Wiederherstellungs- und Reparaturfunktionen bei IT-bezogenen Vorfällen befolgen.

Die App-Suite von Pradeo bietet alle Tools, die zur Einhaltung von DORA erforderlich sind. Die RASP-Lösung erkennt Risiken und verhindert Angriffe in Echtzeit, während die Mobile Application Security Testing-Lösung sicherstellt, dass die Anwendung sicher und konform ist.