Was ist der Digital Operational Resilience Act (DORA) und wer muss ihn einhalten?

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung zur Stärkung der Cyber-Resilienz im Finanzsektor. Seit dem 16. Januar 2023 in Kraft, haben Finanzunternehmen 24 Monate Zeit, die Anforderungen umzusetzen. DORA gilt für alle regulierten Finanzunternehmen in der EU, darunter Banken, Versicherungen, Wertpapierfirmen, Rating-Agenturen, Krypto-Asset-Anbieter und Handelsplattformen, sowie für IT-Drittanbieter, die Dienstleistungen für diese Unternehmen erbringen.

Wie betrifft DORA Schweizer Finanzunternehmen?

Obwohl DORA eine EU-Verordnung ist, müssen Schweizer Finanzunternehmen, die mit EU-Finanzinstituten oder deren Kunden zusammenarbeiten, die DORA-Anforderungen erfüllen. Dies gilt für Unternehmen, die Dienstleistungen für EU-Tochtergesellschaften erbringen oder als IT-Dienstleister für EU-Unternehmen tätig sind, um eine einheitliche Cyber-Sicherheitsbasis zu gewährleisten.

Welche Hauptanforderungen stellt DORA an Finanzinstitute?

DORA fordert Finanzinstitute auf, IT-Risiken zu managen, digitale Resilienz und Geschäftskontinuität sicherzustellen, IT-Vorfälle zu klassifizieren und unverzüglich zu melden, kontinuierliche Resilienztests durchzuführen und Risiken von Drittanbietern zu kontrollieren. Ziel ist es, die Cyber-Sicherheit zu stärken und einheitliche Standards im Finanzsektor zu etablieren.

Wie kann eine NDR-Lösung wie ExeonTrace bei der Einhaltung von DORA helfen?

ExeonTrace unterstützt die Einhaltung von DORA, indem es umfassende Transparenz des Netzwerkverkehrs bietet, kontinuierlich verdächtige Aktivitäten erkennt und schnelle Reaktionen auf Bedrohungen ermöglicht. Es erleichtert die Einhaltung der Meldepflichten durch detaillierte Protokollierung und nutzt die bestehende Infrastruktur ohne zusätzliche Hardwareinvestitionen.

Welche Schritte sollten Finanzunternehmen unternehmen, um DORA-konform zu werden?

Finanzunternehmen sollten eine Risikobewertung durchführen, Strategien und Richtlinien zur Cyber-Sicherheit entwickeln, ihre Incident-Response-Fähigkeiten verbessern, regelmäßige Resilienztests durchführen, Risiken von Drittanbietern managen und Mitarbeiter in Bezug auf DORA schulen. Diese Maßnahmen helfen, die Anforderungen innerhalb der vorgegebenen Frist zu erfüllen.

Was Schweizer und EU-Unternehmen über DORA (Digital Operational Resilience Act) wissen sollten

What is DORA?

Einleitung:

Mit der fortschreitenden Digitalisierung wird Cyber-Resilienz für die Finanzindustrie immer wichtiger. Die Europäische Union hat mit dem Digital Operational Resilience Act (DORA) eine Verordnung geschaffen, die die Cyber-Sicherheit im Finanzsektor stärken soll. Dieser Artikel erläutert, was DORA ist, welche Auswirkungen es auf Schweizer und EU-Unternehmen hat und wie Lösungen wie Network Detection and Response (NDR) dabei helfen können, die Anforderungen zu erfüllen.

Was ist DORA?

Der EU-Kommission-Regulationsentwurf Digital Operational Resilience Act (DORA) wurde als EU-Verordnung veröffentlicht und tritt am 16.01.2023 in Kraft. Finanzunternehmen haben nun 24 Monate Zeit, die Anforderungen umzusetzen. Die Regelungen betreffen alle regulierten Finanzunternehmen in der EU, neben Banken und Versicherern auch Wertpapierfirmen, Verwaltungsgesellschaften, Rating-Agenturen, Krypto-Asset-Anbieter, Handelsplattformen u.a. Ein Extra-Paragraph betrifft IT-Drittanbieter. Aus Gründen der Verhältnismässigkeit müssen grosse Banken oder Versicherungen strengere Anforderungen erfüllen als kleinere Unternehmen.

Was sind die Auswirkungen von DORA für Schweizer Unternehmen?

Alle Finanzunternehmen in der Schweiz (sowie aus anderen Ländern außerhalb der EU, z.B. Liechtenstein) müssen in den meisten Fällen die DORA-Standards ebenfalls anwenden, wenn sie mit anderen Finanzunternehmen in der EU und/oder ihren Kunden zu tun haben. Dazu gehören Unternehmen, die interne IT-Dienstleistungen für EU-Tochter- oder Schwestergesellschaften erbringen oder IT-Dienstleister für Unternehmen mit Sitz in der EU sind.

SOC employee and network administrator in server room - DORA blog

Bedrohungsanalyse und operationelle Resilienz

Die Ziele der Verordnungen lassen sich in fünf Schritten zusammenfassen:

1. Management von Cyber-Risiken

Die Stärkung der Sicherheit und Widerstandsfähigkeit des digitalen Betriebs im Finanzsektor mit einem einheitlichen Aufsichtsrahmen ist das Ziel. Unternehmen sollen Strategien und Maßnahmen rund um ihre IT-Systeme und -Tools ergreifen, um die Auswirkungen von IT-Risiken zu minimieren. Dazu gehören proaktive Maßnahmen wie die Identifizierung, Klassifizierung und Dokumentation von cyberkritischen Anwendungen und Assets, die kontinuierliche Überwachung aller Quellen von IT-Risiken, um Schutz- und Präventionsmaßnahmen einzurichten, sowie die zeitnahe Erkennung von auffälligen Aktivitäten.

2. Strategie für die Widerstandsfähigkeit digitaler Unternehmen und Business Continuity

Belastbare IT-Systeme und -Werkzeuge sollen die Auswirkungen von IT-Risiken minimieren, und es sind Schutzmaßnahmen für Systeme, Netzwerke und kritische Vermögenswerte zu ergreifen, um unbefugten Zugriff, Diebstahl, Naturkatastrophen oder Umweltgefahren zu verhindern. Eine umfassende Business Continuity Policy mit Notfall- und Wiederherstellungsplänen als integraler Bestandteil eines umfassenden IT-Risikomanagements muss daher etabliert werden.

Mit DORA haben die Mitglieder des Verwaltungsrats die persönliche Verpflichtung und Haftung, ein IT-Risikomanagement bereitzustellen und zu überwachen sowie Mechanismen einzurichten, um aus externen und internen IT-Vorfällen zu lernen und sich weiterzuentwickeln.

3. Klassifizierung und sofortige Meldung größerer IT-bezogener Vorfälle

Ein IT-bezogenes Incident Management verpflichtet die Unternehmen, zeitnah auf IT-Vorfälle und Angriffe zu reagieren und sich schnell von ihnen zu erholen. Dies erfordert geeignete Mechanismen zur ständigen Erkennung anomaler Aktivitäten, einschließlich Netzwerkproblemen und IT-bezogenen Vorfällen, sowie eine vorab festgelegte Klassifizierung sensibler und gefährdeter Daten.

4. Kontinuierliche Tests der digitalen Resilienz und Ausfallsicherheit

Prüfung der digitalen Ausfallsicherheit: Mit umfassenden Tests, die auf TLPT (Threat-Led Penetration Testing) basieren, können Organisationen die tatsächliche digitale Widerstandsfähigkeit des Unternehmens überprüfen, die kontinuierlich durch Audits und Teste bewertet werden sollte: Kritische IT-Systeme und -Anwendungen müssen mindestens einmal im Jahr von unabhängigen internen oder externen Prüfern mit Simulationsübungen, bedrohungsorientierten Penetrationstests usw. getestet werden.

5. Sicherheitsmanagement für Third-Party Zulieferer

Das potenzielle Risiko, das von Dienstleistern ausgeht, wird durch die Verpflichtung zur Kontrolle und Gewährleistung der Sicherheit und Haftung erweitert (Drittparteirisiko). Dies betrifft auch Cloud-Dienste, Platform-as-a-Service oder Infrastructure-as-a-Service.

DORA verlangt die unverzügliche Meldung von Cybersicherheitsvorfällen an die zuständigen Aufsichtsbehörden und den Informationsaustausch, um die Ausbreitung von Bedrohungen zu minimieren und die allgemeinen Verteidigungsfähigkeiten der Finanzindustrie zu unterstützen und ihre Techniken zur Erkennung von Bedrohungen zu verbessern.

Are you DORA-compliant?

Was NDR für DORA leisten kann

Eine Network Detection and Response (NDR)-Lösung als Teil der DORA-Strategie befasst sich mit den Herausforderungen und gewährleistet die gesetzlich vorgeschriebene Sicherheit und Widerstandsfähigkeit des Netzes und der Informationssysteme in Bezug auf Reaktionsmaßnahmen, die von diesem Gesetz vorgeschrieben sind, sowie die Minimierung der Auswirkungen der externen Risiken.

Eine auf maschinellem Lernen basierende NDR-Lösung wie ExeonTrace, bietet Unternehmen mehrere Vorteile bei der Einhaltung, da sie einen umfassenden Einblick in den Netzwerkverkehr ermöglicht. Zum Beispiel: Unterstützung von Finanzunternehmen bei der Identifizierung potenzieller Bedrohungen und Schwachstellen, bevor diese ausgenutzt werden können. Durch die kontinuierliche Überwachung des Netzwerkverkehrs kann ExeonTrace verdächtige Aktivitäten wie unbefugte Zugriffsversuche oder Datenexfiltration erkennen und die Unternehmen darauf hinweisen.

ExeonTrace ermöglicht es Unternehmen, schnell und effektiv auf potenzielle Bedrohungen zu reagieren, indem es Verfahren zur Reaktion auf Vorfälle auslöst. Da die Verordnung eine sofortige Berichterstattung vorschreibt, hilft es Unternehmen bei der Erfüllung der Berichtsanforderungen, indem es detaillierte Protokolle und Berichte über Netzwerkaktivitäten und Vorfälle liefert.

How ExeonTrace helps companies in Switzerland and EU comply to DORA

Wenn bereits ein SIEM (Security Information and Event Management) vorhanden ist, um Sicherheitsereignisse aus verschiedenen Quellen zu sammeln, empfiehlt sich auch eine NDR-Lösung, um die unübersichtliche Menge an Ereignissen und Alarmen in klare Risikomuster und sinnvolle Alarme zu unterteilen: Die unmittelbare und Echtzeit-Reaktion auf Cyber-Vorfälle im Netz macht den NDR, insbesondere im Hinblick auf Reaktion und Prävention, zu einem obligatorischen Asset, um die DORA-Richtlinien zu gewährleisten.

Gemäß der DORA-Verordnung müssen Finanzunternehmen "ausreichende Ressourcen und Kapazitäten für die Überwachung der Benutzeraktivitäten, des Auftretens von IT-Anomalien und IT-bezogener Vorfälle, insbesondere von Cyberangriffen" bereitstellen. Network Detection and Response (NDR)-Lösungen ermöglichen es Unternehmen, ihre Ausgaben durch geringeren Datenverbrauch, geringeren Personalbedarf, sofortige Bedrohungserkennung, verbesserte betriebliche Effizienz und skalierbare Anpassungsfähigkeit bei der Verwaltung der Cybersicherheit zu senken.

Mit ExeonTrace können Finanzdienstleister ihre bestehende Infrastruktur ohne zusätzliche Hardware-Investitionen nutzen, das komplette Netzwerkprotokoll und die Protokolldaten analysieren und alle Netzwerkaktivitäten sichtbar machen.

Zusammenfassung:

Finanzorganisationen sollen einen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IT-Risiken auf den Finanzmärkten schaffen und die Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer Geschäftsunterbrechung sicherstellen. (Neue) Themen wie Threat Intelligence und Threat-led Penetration sind zu implementieren und die Abhängigkeiten zwischen Finanzdienstleistern und ihren Service Providern (3rd Party Risk Management) z.B. von Cloud Service Providern sind zu prüfen und sicherzustellen, ebenso wie die sofortige Meldung aller kritischen Vorfälle an Behörden. ExeonTrace löst große Teile der DORA-Anforderungen: Protokollierung, Entdeckung und Reaktion auf Cyber-Vorfälle in einer sicheren und konsistenten Weise und wird einen wichtigen Beitrag zur Einhaltung der DORA-Vorschriften leisten.

Wenn Sie eine persönliche Tour durch ExeonTrace wünschen oder mit mir oder einem unserer Netzwerksicherheitsexperten sprechen möchten, klicken Sie hier.

Author:

Carola Hug

Chief Operating Officer

email:

carola.hug@exeon.com

Published on:

20.09.2023