Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) informiert über die bevorstehende Anwendung der EU-Verordnung DORA (Digital Operational Resilience Act), die ab Januar 2025 für mehr als 3.600 Unternehmen im deutschen Finanzsektor verbindlich wird. Ziel der Verordnung ist es, die Widerstandsfähigkeit gegen Cyberrisiken zu erhöhen und die Sicherheit der Informations- und Kommunikationstechnologie (IKT) im gesamten europäischen Finanzsektor zu stärken.
Die Notwendigkeit einer solchen Verordnung wurde durch den Vorfall im Sommer 2023 verdeutlicht, bei dem die Hackergruppe Clop eine Schwachstelle im Datentransferprogramm MoveIT ausnutzte, wodurch weltweit tausende Unternehmen und deren Kunden von Datenlecks betroffen waren.
DORA führt ein einheitliches Regelwerk („single rulebook“) für das Management von IKT-Risiken ein, das für schätzungsweise mehr als 20.000 Finanzunternehmen in Europa gilt. Die Verordnung legt fest, dass die Unternehmensleitung die Verantwortung für das Management von IKT-Risiken trägt und eine Strategie für die digitale operationale Resilienz festlegen muss.
Zu den Kernanforderungen gehören auch die Berichtspflichten zu IKT-Vorfällen, die nun für den gesamten Finanzsektor gelten. Unternehmen müssen IKT-Vorfälle überwachen, protokollieren und melden. DORA verpflichtet zudem alle Finanzunternehmen, ihre IKT-Systeme durch ein risikobasiertes Testprogramm zu prüfen.
Ein weiterer Schwerpunkt liegt auf der Überwachung von Risiken, die durch die Nutzung von IKT-Drittdienstleistern entstehen. Unternehmen müssen diese Risiken über den gesamten Lebenszyklus hinweg überwachen und eine Due-Diligence-Prüfung durchführen.
Die BaFin betont die Bedeutung des Austauschs von Informationen und Erkenntnissen über Cyberbedrohungen zwischen den Unternehmen des Finanzsektors, um von einander zu lernen und die Verteidigung gegen Cyberangriffe zu stärken.
Mit der Einführung von DORA unternimmt die EU entscheidende Schritte, um die digitale operationale Resilienz im Finanzsektor zu verbessern und die Sicherheit für Unternehmen und Kunden zu erhöhen.