Digital Operational Resilience Act (DORA)
DORA - der Digital Operational Resilience Act - ist eine Verordnung der Europäischen Union, die darauf abzielt, die digitale Resilienz des Finanzsektors zu verbessern.
Get Ready for DORA
Karer Consulting verbindet theoretisches und praktisches Wissen zur Beurteilung und Umsetzung der DORA-Anforderungen.
Als TRUSTED ADVISOR begleiten wir Sie durch die Assessments und den Umsetzungsprozess - ob Banken- oder Versicherungsprozesse, wir haben Erfahrung in beiden. Außerdem können Sie sicher sein, dass wir weitere Vorschriften (z.B. EBA) integrieren, wenn dies gewünscht oder erforderlich ist.
- Mit dem Assessment identifizieren wir strategische und operative Lücken. Konkrete Projekte und Maßnahmen werden definiert und priorisiert und einer DORA Roadmap zugeordnet.
- Entsprechend der DORA-Roadmap werden Projekte oder Maßnahmen umgesetzt. Die Karer Consulting begleitet Sie mit Best Practices und fast 30-jähriger Erfahrung im IT Service Management durch jeden Schritt der Umsetzung.
DORA auf einen Blick
DORA - der Digital Operational Resilience Act - ist eine Verordnung der Europäischen Union, die darauf abzielt, die digitale Resilienz des Finanzsektors zu verbessern.
DORA hat das Ziel sicherzustellen, dass Finanzunternehmen allen Arten von Störungen und Bedrohungen im Bereich der Informations- und Kommunikationstechnologie (IKT) standhalten, darauf reagieren und sich davon erholen können.
DORA ist von entscheidender Bedeutung für die Wahrung der Integrität und Stabilität des Finanzsystems in der EU angesichts zunehmender Cyber-Bedrohungen. Die Einhaltung der Vorschriften wird dazu beitragen, Störungen des Finanzsystems zu verhindern und das Vertrauen in digitale Finanzdienstleistungen zu stärken.
Es wird erwartet, dass die Finanzunternehmen die DORA-Anforderungen bis Januar 2025 erfüllen.
Ziele
Die Regulation der “digital operational resilience in the financial sector (DORA)” ist die europäische Antwort auf den digitalen Wandel im Bereich der Finanzdienstleistung und auf die gleichzeitige Zunahme an Cyber-Angriffen.
FOKUS
Ein angemessener Umgang mit den zunehmenden Abhängigkeiten im Finanzsektor und Drittanbietern
Um die operative Stabilität der Finanzsysteme der Union im Falle einer schwerwiegenden Störung aufrechtzuerhalten
Hauptaspekte
Umfassende und einheitliche Richtlinien für IT-Risikomanagement
Erweiterung und Standardisierung des Reportings über relevante IT-Vorfälle
Erstellung einer europäischen Rahmenvereinbarung für relevante IT-Drittanbieter
Fällt mein Unternehmen in den Geltungsbereich von DORA?
Die Anforderungen der Verordnung gelten für Finanzunternehmen, Finanzdienstleister und Drittanbieter von IKT-Dienstleistungen, die Verträge mit Finanzunternehmen haben. Der Anwendungsbereich von DORA definiert 20 verschiedene Arten von Finanzdienstleistern.
Bei weiteren Informationen stehen wir gern zu Ihrer Verfügung.
DORA-Schlüsselaspekte - Die wichtigsten Handlungsfelder
Die DORA definiert vier große Handlungsfelder zur Erfüllung der Compliance-Anforderungen.
-
IKT-Risikomanagement
IKT-Risikomanagement
(Art. 5 - 6)
- Die Verantwortung obliegt dem Management /der Geschäftsführung
- IKT-Risikomanagement und –Steuerung
- Technische Anforderungen (Identify, Protect, Detect, Response Recover, etc.)
ICT-Riskmanagement -
IKT-Vorfälle & deren Management
IKT-Vorfälle und deren Management
(Art. 17 - 23)
- Reporting von IKT-Vorfällen
- Klassifizierung von IKT-bezogenen Vorfällen und Cyber-Risiken
- Reporting von schwerwiegenden IKT-Vorfällen (und optional über erhebliche Cyber-Bedrohungen)
IKT-Vorfälle und deren Management -
Testen der digitalen Resilienz
Testen der digitalen operationalen Resilienz
(Art. 24 - 27)
- Allg. Anforderungen für das Testen der digitalen operationalen Resilienz
- Grundlegende Tests (Vulnerability Tests, ganzer Finanzsektor)
- Fortgeschrit. Tests (Threat Led Penetration Tests (TLPT) TIBER-EU / TIBER-DE als ein Entwurf / Methode)
Testen der digitalen operationalen Resilienz -
Mgmt. der Drittanbieter-Risiken
Management der IKT-Drittanbieter-Risiken
(Art. 28 - 44)
- Allg. Prinzipien
(inkl. Führung eines Informationsregisters über IKT-Drittvertragsbeziehungen und Mindestvertragsklauseln) - EU-Rahmenvereinbarung für relevante IKT-Drittdienstleister
Management der IKT-Drittanbieter-Risiken - Allg. Prinzipien
DORA und ITSM
Die Karer Consulting empfiehlt, identifizierte Gaps aus der Verordnung durch ein geeignetes IT Service Management zu schließen. Dazu nutzt die KC standardisierte Assessments zur Definition des ITSM-Reifegrads und zur Identifikation von DORA-Gaps.
Anforderungen von DORA können mit Anpassungen im (oder Einführungen von) IT-Service-Management seitens der IT-Dienstleister erfüllt werden. ITIL als „best practice“ der Branche bietet hierfür einen geeigneten Rahmen.
DORA adressiert die anforderungen für IT-Services und ITSM-Prozesse
- Service Configuration and IT Asset Management | Change Management
- IT Service Continuity Management | Security Management
- Major Incident Management | IT Risk- & Knowledge Management
- Service Validation and Testing | Supplier Management | Measuring and Reporting
Unser Ansatz
Die Karer Consulting begleitet Sie durch den Bewertungs- und Umsetzungsprozess. Die Bewertungen werden mittels Interviews und Workshops mit verschiedenen Interessengruppen durchgeführt, um eine Einhaltung der Vorschriften im Tagesgeschäft zu gewährleisten. Darüber hinaus wird eine Prozess- und Dokumentationsüberprüfung vollzogen, um die von der DORA geforderte Konformität zu gewährleisten.
Daraus werden Projekte und Maßnahmen für die Umsetzung abgeleitet. Die Umsetzung der priorisierten Projekte und Maßnahmen wird durch die Karer Consulting begleitet.
Mit diesem Ansatz stellen wir sicher, dass die DORA-Vorschriften eingehalten werden können.