BLOG

Verständnis der EU-Verordnung zur Einhaltung des Digital Operational Resilience Act (DORA) im Finanzdienstleistungsbereich

Chad Davis Miniaturbild
Chad Davis
Veröffentlicht am 07. Juni 2024

Der Digital Operational Resilience Act (DORA) steht als zentrales Gesetz für die Finanzdienstleistungsbranche innerhalb der Europäischen Union (EU) in den Startlöchern. Es handelt sich dabei nicht bloß um ein weiteres Akronym in der Regulierungslandschaft, sondern um einen grundlegenden Wandel hin zur Stärkung der Cybersicherheit und der operativen Belastbarkeit im digitalen Bereich. Während sich Organisationen auf die Einhaltung der Vorschriften vorbereiten, ist es von entscheidender Bedeutung, das Wesen von DORA zu verstehen.

DORA, die Abkürzung für Digital Operational Resilience Act, ist ein Gesetz der EU zur Stärkung der Cybersicherheit und der operativen Belastbarkeit von Finanzdienstleistungen. Gemäß der DORA-Verordnung sind Finanzinstitute und ihre wichtigsten externen Technologiedienstleister verpflichtet, bis zum 17. Januar 2025 bestimmte technische Standards in ihren Informations- und Kommunikationstechnologiesystemen (IKT) einzuhalten.

Für diejenigen, die sich nicht an DORA halten, steht viel auf dem Spiel, da die Nichteinhaltung unerwünschte Konsequenzen nach sich ziehen kann. Die Vollzugsbehörden werden befugt sein, gegen Unternehmen, die sich nicht an DORA halten, Verwaltungsstrafen und in manchen Fällen auch Strafen zu verhängen. Über die rechtlichen Konsequenzen hinaus kann der Ruf der Marke nicht konformer Unternehmen ernsthaft geschädigt werden.

Da die Frist immer näher rückt, ist es für Unternehmen im Finanzdienstleistungssektor von entscheidender Bedeutung, über die Auswirkungen und Anforderungen von DORA auf dem Laufenden zu bleiben. In diesem Blog gehen wir tiefer auf die Nuancen von DORA ein und erkunden Strategien und mögliche Lösungen, die dabei helfen, die Einhaltung der Vorschriften sicherzustellen und gleichzeitig die betriebliche Effizienz zu maximieren.

Wichtigste Überlegungen für DORA

Bei der Vorbereitung von Organisationen auf die Einhaltung des Digital Operational Resilience Act ergeben sich mehrere wichtige Aspekte, die besondere Aufmerksamkeit erfordern:

  • Zeitnahe Meldung von Cybersicherheitsvorfällen

Die umgehende Meldung von Cybersicherheitsvorfällen ist gemäß DORA nicht optional. Organisationen müssen robuste Reaktionsmechanismen für Vorfälle einrichten, um Cybersicherheitsvorfälle umgehend zu identifizieren, zu bewerten und zu melden. Das Versäumnis, Vorfälle rechtzeitig zu melden, könnte gemäß DORA schwerwiegende Konsequenzen nach sich ziehen.

  • Transparenz hinsichtlich der Abhängigkeit einer Organisation von Drittunternehmen

DORA legt Wert auf Transparenz hinsichtlich der Abhängigkeit einer Organisation bei der Erbringung kritischer Dienste von Drittunternehmen. Organisationen müssen ihre Abhängigkeiten von externen Technologiedienstleistern sorgfältig prüfen und offenlegen. Hierzu gehört die Sicherstellung, dass diese Anbieter die erforderlichen technischen Standards erfüllen und in der Lage sind, die Ziele der Organisation hinsichtlich der operativen Belastbarkeit zu unterstützen.

  • Fähigkeit, auf Auditanfragen von Aufsichtsbehörden oder Kunden zu reagieren

Ein weiterer wichtiger Aspekt im Rahmen von DORA ist die Fähigkeit der Organisation, Prüfungsanfragen von Aufsichtsbehörden oder Kunden wirksam zu beantworten. Hierzu gehört die Pflege umfassender Dokumentation, die Durchführung regelmäßiger Bewertungen und die Implementierung robuster Kontrollen, um die Einhaltung der DORA-Anforderungen nachzuweisen. Organisationen müssen bereit sein, den Nachweis zu erbringen, dass sie die vorgeschriebenen technischen Standards und Maßnahmen zur betrieblichen Belastbarkeit einhalten.

Wie F5-Lösungen bei der Einhaltung von DORA helfen können

Die F5 Distributed Cloud Platform bietet eine Lösung, die Sicherheitsinfrastrukturen vereinfacht und optimiert und es Unternehmen ermöglicht, den Herausforderungen der DORA-Konformität besser zu begegnen. Indem F5 die Abhängigkeit von mehreren Punktlösungen reduziert, ermöglicht es Unternehmen , das Sicherheitsmanagement und die Durchsetzung von Richtlinien in verteilten Umgebungen zu zentralisieren, Abläufe zu optimieren und Schutz und Transparenz zu verbessern.

Mit F5 wird die Bereitstellung einheitlicher Richtlinien und die Skalierung der Sicherheit für Ihren gesamten App-Bestand zum Kinderspiel, unabhängig davon, wo diese gehostet werden. Darüber hinaus bietet die Lösung von F5 über eine zentrale Benutzeroberfläche wertvolle Einblicke und Telemetriedaten über die verteilte App-Infrastruktur hinweg und ermöglicht so eine effiziente Überwachung und Verwaltung. Durch die Einführung von Sicherheitsrichtlinien nach dem Motto „Klicken und aktivieren, überall ausführen“ wird ein konsistenter und wiederholbarer Schutz mit globaler Abdeckung und Durchsetzung gewährleistet. So können Finanzdienstleistungsunternehmen von umfassenden Sicherheitsmaßnahmen profitieren, die sowohl effektiv als auch einfach zu implementieren sind.

Darüber hinaus erhalten Kunden durch die Integration der über Heyhack erworbenen Technologie zur Bildung von F5 Distributed Cloud Services Web Application Scanning Zugriff auf überzeugende automatisierte Funktionen zur Sicherheitsaufklärung und Penetrationstests. Darüber hinaus verbessern die preisgekrönten Distributed Cloud Services von F5 weiterhin die API-Sicherheit , einschließlich der Erweiterung der API- Ratenbegrenzungsfunktionen, einer verbesserten API-Bestandsverwaltung, Verbesserungen der JWT-Validierung, einer benutzerdefinierten Mustererkennung und verbesserten API-Erkennungsfunktionen zum Identifizieren von Zombie-APIs.

Und schließlich können Unternehmen mit den SSL-Lösungen von F5 ihre Investitionen in Infrastruktur und Sicherheit durch dynamische, richtlinienbasierte Entschlüsselung, Verschlüsselung und Verkehrssteuerung über Geräte zur Sicherheitsüberprüfung maximieren. Dies ist für DORA insbesondere im Hinblick auf die Anforderungen rund um Kryptowährungen während der Übertragung und im Ruhezustand wichtig.

Alle betroffenen Organisationen müssen nun dafür sorgen, dass ihre Sicherheits- und Überwachungsfunktionen robust genug sind, um Bußgelder und – noch wichtiger – Reputationsschäden zu vermeiden, die mit Verstößen gegen die DORA-Konformität einhergehen.

Glücklicherweise steht die Technologie, die sie benötigen, um in diesem neuen regulatorischen Umfeld erfolgreich zu sein, bereits zur Verfügung. Erfahren Sie hier, wie die F5-Lösung helfen kann.