Zusätzlich zur NIS-2-Richtlinie verschärft die DORA-Verordnung (Digital operationnal resilience act) die Anforderungen an die Cybersicherheit im Finanzsektor. Um ihre Assets und die wirtschaftlichen Interessen der europäischen Länder zu schützen, müssen die Finanzunternehmen ihre digitale operative Widerstandsfähigkeit stärken.
Finanzsektor stark von Cyberbedrohungen betroffen
Zunehmende Anzahl von Cyberangriffen
Cyberangriffe zielen massiv auf die Infrastruktur des Finanzsektors ab. Außerdem stellt das Cyberrisiko heute ein großes Risiko für die Finanzstabilität dar. In ihrem im Juni 2023 erschienenen Bericht über die Risikobewertung des Finanzsystems stellt die französische Zentralbank fest, dass „das Finanzsystem weiterhin einem sehr hohen Risiko von Cyberangriffen ausgesetzt ist“. Gründe dafür sind sowohl der geopolitische Kontext als auch künstliche Intelligenz, die den Weg für sehr ausgeklügelte und daher schwer zu bekämpfende Angriffe ebnet.
Ein weiterer Grund für die massive Gefährdung durch Cyberrisiken ist die extrem schnelle Digitalisierung der Finanzunternehmen. Denn während die Digitalisierung der Bankdienstleistungen schon sehr früh begann, hinkte die Sicherung der Informationssysteme hinterher. Zudem nutzen Mitarbeiterinnen und Mitarbeiter von Bankinstituten zunehmend mobile Geräte und sind stärker dem Risiko von Cyberangriffen ausgesetzt.
https://www.tixeo.com/de/wie-koennen-mitarbeiter-fuer-cybersicherheit-sensibilisiert-werden/
DORA als Ergänzung zu NIS 2 für mehr Cybersicherheit
Aufgrund dieser zahlreichen Risiken und Herausforderungen hat die Europäische Union den Bankensektor im Rahmen der NIS-2-Richtlinie als hoch kritisch eingestuft. Daher werden Organisationen ihre Cybersicherheit erhöhen und ihre Entscheidungsträger dementsprechend schulen. Ergänzend dazu stellt die DORA-Verordnung erhöhte Anforderungen an die Finanzinstitute, um ihr Cyberrisiko besser zu managen und an Agilität zu gewinnen.
Die wichtigsten Punkte der DORA-Verordnung
Welche Organisationen sind betroffen?
DORA betrifft die meisten Organisationen, die im Finanzsektor tätig sind. Das sind beispielsweise:
- Kreditinstitute,
- Investment-, Zahlungs- oder E-Geld-Unternehmen,
- Verwaltungsgesellschaften,
- Versicherungs- und Rückversicherungsunternehmen,
- Versicherungs- und Rückversicherungsvermittler.
Ziel: Stärkung der digitalen operativen Resilienz
Bessere Erfassung und Verwaltung von Cyberrisiken
Nach dem Vorbild des ganzheitlichen, gefahrenübergreifenden Ansatzes der NIS-2-Richtlinie möchte die DORA-Verordnung die Kenntnis der Risiken im Finanzsektor verbessern. Die Finanzinstitute müssen die mit ihren Geschäften verbundenen Risiken berücksichtigen. Die Verordnung fordert dazu auf, diese Risiken zu identifizieren und zu quantifizieren, in welchem Ausmaß sie sich aus interner und externer Sicht auf die Organisation auswirken. Auf diese Weise haben sie einen genaueren Überblick über die zu ergreifenden Maßnahmen und sind agiler.
Dieses Risikomanagement dient ferner der Beruhigung des Ökosystem des Unternehmens. Dazu gehören auch die Kunden, deren Vermögenswerte und personenbezogenen Daten umfassend geschützt werden müssen.
Von der Verordnung betroffene IKT-Dienstleister
Banken und Finanzinstitute sind heute von Informations- und Kommunikationstechnologien abhängig. Wenn diese Technologien nicht ausreichend gesichert sind, gefährden sie die sensiblen Daten, die damit übertragen werden.
Daher muss sich der Finanzsektor im Rahmen der DORA-Verordnung als widerstandsfähig gegenüber den mit diesen Technologien verbundenen operativen Störungen erweisen. Die Organisationen werden die Aufgabe haben, die IKT-Risiken zu identifizieren und zu klassifizieren und Prozesse für Störungsvorfälle zu erarbeiten.
Darüber hinaus werden Aufsichtsbehörden prüfen, ob das Management der IKT-Risiken den Vorgaben bezüglich der Risikomanagementmaßnahmen entspricht. Bei Nichteinhaltung können Sanktionen verhängt werden.
Auswahl von Anbietern mit dem Sicherheitssiegel der ANSSI
Die französischen Behörde für IT-Sicherheit (ANSSI) empfiehlt hochsichere Produkte und Dienstleister, die sie mit ihrem Sicherheitssiegel ausgezeichnet hat. Damit hilft sie Organisationen, die in sensiblen Bereichen wie dem Finanzwesen tätig sind, die Zuverlässigkeit von Kommunikationslösungen zu bewerten.
Bei einem Cybersicherheitsvorfall müssen die Teams ihren Informationsaustausch in einem hochsicheren Rahmen fortsetzen können. Dadurch werden die Geschäftskontinuität und die Widerstandsfähigkeit des Unternehmens sichergestellt.
Die Videokonferenzlösung von Tixeo ist die einzige, die von der französischen Behörde für Informationssicherheit ANSSI zertifiziert und qualifiziert wurde. Im Falle eines Cybervorfalls ermöglicht die Secure by Design Lösung die Einrichtung eines virtuellen Krisenstabs mit Ende-zu-Ende-Verschlüsselung.
Die CSPN-Zertifizierung (Sicherheitszertifikat ersten Ranges) wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zum Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt.
Wann tritt die DORA-Verordnung in Kraft?
Die DORA-Verordnung ist am 16. Januar 2023 in der Europäischen Union in Kraft getreten. Die Verordnung ist daher ab jetzt umzusetzen. Die Frist für die Umsetzung in das Recht aller EU-Staaten endet am 17. Januar 2025.
„Cyber-Stresstest“-Kampagnen in Planung
Das Bankensystem führt regelmäßig Stresstests durch, die an gesellschaftliche und wirtschaftliche Konjunkturen gekoppelt sind. Bald können auch „Cyber-Stresstests“ gefordert werden. Tatsächlich hat die EZB (Europäische Zentralbank) angekündigt, dass sie plant, ab 2024 die Cyber-Resilienz von Finanzinstituten zu testen. Dies soll durch Cyber-Stresstests geschehen. Die Zunahme von Cyberbedrohungen, Home Office und die Nutzung der Cloud erhöhen die Schwere von Cyberangriffen und waren daher Anlass für diese Initiative.
Eine gute Möglichkeit für Organisationen aus dem Finanzsektor, ihre Vorbereitung auf DORA unter realen Bedingungen zu testen.
https://www.tixeo.com/de/betreiber-wesentlicher-dienste-und-betreiber-vitaler-bedeutung-welche-auswirkungen-hat-die-nis2-richtlinie/