Branche, Aktuelles - geschrieben von cp am Montag, März 17, 2025 21:53 - noch keine Kommentare
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen
Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern
[datensicherheit.de, 17.03.2025] Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in Kraft. Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern. Betroffen sind nicht nur Banken, Versicherungen und Investmentgesellschaften, sondern auch IT-Dienstleister, die kritische Infrastrukturen für diese Institutionen bereitstellen.
Zwei Monate Praxis zeigen jedoch: Auch nach der Umsetzungsfrist bleibt für Banken, Versicherungen und Kapitalverwalter viel zu tun. Einzelne Meldefristen haben sich verschoben, Anforderungen wurden teils spät konkretisiert und viele Dienstleisterverträge sind noch nicht aktualisiert. Durch die Komplexität der neuen Anforderungen laufen sie Gefahr, die Richtlinie nicht Compliance-konfrom umzusetzen. Besonders herausfordernd sind die Integration in bestehende Compliance-Prozesse, das Management von IT-Drittrisiken und die Implementierung belastbarer Meldeprozesse.
DORA: Neue Herausforderungen für Unternehmen
Laut dem BSI-Bericht zur Lage der IT-Sicherheit in Deutschland 2024 wurden im vergangenen Jahr 120 Cyberangriffe auf Unternehmen im Finanz- und Versicherungssektor gemeldet – fast eine Verdopplung im Vergleich zu 2023, als noch 61 Vorfälle registriert wurden. Diese Entwicklung zeigt, dass die Bedrohungslage für den Finanzsektor weiter eskaliert und verstärkte Schutzmaßnahmen dringlicher denn je sind. Banken, Versicherungen und deren IT-Dienstleister stehen zunehmend im Visier von Cyberkriminellen, was die Notwendigkeit robuster Sicherheitsstrategien unterstreicht.
Um diesen Herausforderungen zu begegnen, definiert DORA Anforderungen in mehreren zentralen Bereichen, darunter IT-Risikomanagement, Meldepflichten, operative Resilienztests und das Management von IT-Drittanbietern. Ziel der Verordnung ist es, Finanzunternehmen widerstandsfähiger gegen Cyberangriffe zu machen und eine einheitliche Sicherheitsstrategie in der EU zu etablieren. Doch die Umsetzung erweist sich oft als komplex.
Fünf Stolpersteine und Lösungsansätze
- Meldeprozesse und Reaktionszeiten optimieren: Unternehmen müssen Cyberangriffe innerhalb von 24 Stunden an die zuständige Aufsichtsbehörde melden. In der Praxis fehlen jedoch oft klare interne Prozesse. Eine Lösung ist die Implementierung automatisierter Erkennungssysteme, die Angriffe frühzeitig identifizieren und standardisierte Berichte generieren.
- IT-Drittrisiken effektiv managen: Finanzunternehmen bleiben für die Sicherheit ihrer IT-Dienstleister verantwortlich. Viele haben noch keine durchgehenden Risikobewertungen etabliert. Hier helfen vertraglich festgelegte Sicherheitsanforderungen und regelmäßige Audits, um die Compliance externer Anbieter sicherzustellen.
- Krisenmanagement realistisch testen: DORA verlangt praxisnahe Stresstests zur Überprüfung der Cyberresilienz. Häufig mangelt es jedoch an realistischen Szenarien. Unternehmen sollten regelmäßig Simulationen durchführen und sicherstellen, dass ihre Notfallpläne mit der Gesamtstrategie abgestimmt sind.
- DORA in bestehende Compliance-Frameworks integrieren: Viele Unternehmen setzen bereits auf NIS-2, ISO 27001 oder BSI IT-Grundschutz. Eine Herausforderung ist die nahtlose Einbindung von DORA ohne unnötige Doppelstrukturen. Die Harmonisierung bestehender Prozesse mit den neuen Anforderungen reduziert den administrativen Aufwand und erleichtert die Umsetzung.
- Sicherer Datentransfer und Verschlüsselung gewährleisten: DORA fordert robuste Sicherheitsmaßnahmen für den digitalen Austausch sensibler Informationen. In der Praxis setzen viele Unternehmen jedoch noch auf veraltete Übertragungsmethoden wie unverschlüsselte E-Mails oder unsichere File-Transfer-Lösungen. Eine Lösung ist der Einsatz von Ende-zu-Ende-verschlüsselten Plattformen, die nicht nur DORA-konforme Sicherheit bieten, sondern auch die Integrität und Nachverfolgbarkeit von Daten gewährleisten.
DORA als Chance für die digitale Souveränität Europas
„DORA ist ein entscheidender Schritt für die digitale Souveränität Europas. Die Verordnung sorgt nicht nur für einheitliche Sicherheitsstandards, sondern stärkt auch die Widerstandsfähigkeit des Finanzsektors gegen Cyberangriffe“, sagt Ari Albertini, CEO von FTAPI. „Unternehmen, die jetzt in resiliente und sichere Strukturen investieren, profitieren langfristig von mehr Vertrauen und regulatorischer Sicherheit.“
Mit DORA setzt die EU neue Maßstäbe für Cyberresilienz – und fordert von Unternehmen ein proaktives Vorgehen. Wer frühzeitig handelt, minimiert nicht nur Risiken und regulatorische Hürden, sondern sichert sich langfristige Wettbewerbsvorteile in einer zunehmend digitalisierten Finanzwelt.
Weitere Informationen zum Thema:
datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
Aktuelles, Branche, Gastbeiträge - März 17, 2025 16:01 - noch keine Kommentare
KI-Kompetenz als Pflicht: Bedeutung des EU-Gesetzes für Unternehmen
weitere Beiträge in Experten
- Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung
- Moderne Cybersicherheit – Ein risikobasierter Ansatz als Königsweg
- Cyberkriminalität im Alltag: Phishing-Angriffe über gefälschte SMS
- Rogue AI: Wenn KI zur Bedrohung wird
- ReACD-Projekt der TH Köln als Hilfestellung, um auf Cyber-Attacken und Datenverluste richtig zu reagieren
Branche, Aktuelles - März 18, 2025 0:25 - noch keine Kommentare
DORA in practice: Obstacles and recommendations for companies
weitere Beiträge in Branche
- DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen
- Deutsche Wirtschaft sollte KI als Chance begreifen
- KI-Kompetenz als Pflicht: Bedeutung des EU-Gesetzes für Unternehmen
- Maschinelle Identitäten: Deutsche Unternehmen unzureichend vorbereitet
- Hostinger – Study of cyberattacks and GDPR fines
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren