Kontakt
Kontakt
Home>Blog (Page 2)

Blog

Informationssicherheit: Cybersecurity umsetzen – das MITRE Attack Framework

MITRE ATT&CK® ist eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienstleistungen verwendet.

Mit der Schaffung von ATT&CK erfüllt MITRE seinen Auftrag, Probleme für eine sicherere Welt zu lösen, indem es Gemeinschaften zusammenbringt, um eine effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

ATT&CK Matrix for Enterprise:

Das ATT&CK Framework kann Unternehmen helfen, Analysen zu entwickeln, die die von einem Angreifer verwendeten Techniken erkennen. Folgende Hilfsmittel und Anleitungen in Form von Anwendungsfällen (Use Cases) werden dafür bereitgestellt, die nachfolgend beispielhaft für den ausgewählten Bereich aufgeführt werden.

Erkennen und Analysen

  • Erste Schritte mit ATT&CK: Erkennung und Analyse Blog Post: In diesem Blogbeitrag wird beschrieben, wie Sie ATT&CK für die Erkennung und Analyse auf drei verschiedenen Schwierigkeitsgraden einsetzen können.
  • Cyber Analytics Repository (CAR): ATT&CK ist der Rahmen für das Vorgehen von Angreifern, und CAR ist eine Wissensdatenbank mit Analysen, die auf ATT&CK basieren. In diesem Blog-Beitrag über CAR wird unsere Arbeit zur Verbesserung des Systems erläutert.
  • Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.
  • CASCADE: Dieses MITRE-Forschungsprojekt zielt darauf ab, die Arbeit des “Blue Teams” zu automatisieren, einschließlich der Durchführung von Analysen.
  • ATT&CKing the Status Quo Präsentation: Der letzte Teil dieser Präsentation bietet eine Einführung in die Verwendung von ATT&CK zur Erstellung von Analysen. Die Folien sind ebenfalls verfügbar.
  • Viele Mitglieder der ATT&CK-Community leisten hervorragende Arbeit bei der Analyse und Erkennung. Wir empfehlen Ihnen, sich die Präsentationen der ATT&CKcon 2018 anzusehen, um sich Anregungen zu holen. Sie können uns auch auf Twitter unter @MITREattack folgen, da wir manchmal Informationen über Community-Projekte retweeten, die ATT&CK-Nutzern helfen könnten.

ATT&CK bietet eine gemeinsame Sprache und einen Rahmen, den Red Teams nutzen können, um spezifische Bedrohungen zu emulieren und ihre Operationen zu planen.

Emulation von Angriffen und Red Teaming

Bewertung und Technik

ATT&CK kann verwendet werden, um die Fähigkeiten Ihres Unternehmens zu bewerten und technische Entscheidungen zu treffen, z. B. welche Tools oder Protokollierung Sie implementieren sollten.

Sollten Sie Unterstützung bei der Anwendung des Rahmenwerks für Ihr Unternehmen, insbesondere dem Aufbau der Use Cases, Emulation der Angriffe und Ableitung von Maßnahmen zur Verbesserung des Cyber-Schutzniveaus, nehmen Sie gern Kontakt mit uns auf.

Link zur Website: MITRE ATT&CK®

ISACA: BarCamp (hybrid) der Fachgruppe IT-Revision am 14.12 in Frankfurt

Am 14. Dezember 2022 veranstaltet unsere Fachgruppe IT-Revision ein BarCamp, zu dem alle ISACA-Mitglieder und andere interessierte Personen herzlich eingeladen sind. Das BarCamp findet in Frankfurt am Main bei der Advisori FTC GmbH (Kaiserstraße 44, 60329 Frankfurt am Main) sowie auch online statt.

WAS IST EIN BARCAMP?

Ein BarCamp (auch Unkonferenz) ist eine Tagung mit offenen Workshops. Die Inhalte der Workshops und deren Ablauf werden von den Teilnehmern zu Beginn der Tagung selbst entwickelt und im weiteren Verlauf gestaltet.

BarCamps dienen dem inhaltlichen Austausch und der Diskussion, können teilweise aber auch bereits am Ende der Veranstaltung konkrete Ergebnisse vorweisen.

MÖGLICHE THEMEN DES BARCAMPS:

1. Testing mit Künstlicher Intelligenz
2. Regulatorik am Beispiel DORA (Digital Operational Resilience Act)
3. ESG (Environment, Social, Governance) im IT-Umfeld
4. Web3 / Metaverse / Crypto / NFT  
5. Prüfung von Office 365 (Cloud)  

Bitte beachten Sie, dass diese Liste nur eine Themenauswahl darstellt und wir – abhängig von den Anmeldezahlen – nur 3 Workshops davon halten werden.

ABLAUF:

15:30-15:40 Begrüßung
15:40-16:00 Vorstellung aktueller Themen der Fachgruppe
16:00-18:30 Breakout Sessions/Workshops (inkl. 10 Min. Pause) zu o. g. Themen
18:30-19:20 Vorstellung der Ergebnisse
19:20-19:30 Verabschiedung

ANMELDUNG:

Melden Sie sich bitte über den obigen Link auf der Website der Fachgruppe bei der ISACA an.

SAP Prüfung: Export der Transporte und Benutzeränderungen aus dem SAP-System

Die Anleitung veranschaulicht, wie die für die Testierung des IKS benötigten Tabellen der Transporte und Benutzeränderungen aus dem SAP System exportiert werden können.

Vorher bitte unbedingt prüfen, ob unter den “Benutzerspezifische Einstellungen” im SAP die Trefferanzahl und die Spaltenbreite – das Maximum sind hier 1023 Zeichen – richtig eingestellt sind, sonst werden die Daten ggf. nicht vollständig angezeigt. Weiterhin empfiehlt es sich die Felder als Feldbezeichner (technischer Name) und nicht als Feldnamen (Klartext) als SE16 Standardliste zu exportieren. Dieses kann ebenfalls unter den “Benutzerspezifischen Einstellungen”, unter dem Reiter “Data Browser” eingestellt werden.

1. Transaktion SE16 aufrufen und nach Tabelle E070 suchen. Als Einschränkung die Daten des Prüfzeitraums unter „Datum“ eingeben. Relevant sind Programm- und Customizing-Änderungen im Prüfungszeitraum (Typ W und K) mit dem Status Freigegeben (R).

2. Nachfolgend wird der optionale Export der Tabelle TPALOG erläutert, um alle Informationen zu einem Transport zu erhalten.

Die Transaktion SE16 aufrufen und nach der Tabelle TPALOG suchen. Dort den Zeitstempel 20140101000000 bis 20141231235959 unter „Timestamp“ eingeben.

Über die Funktion SVERWEIS können die Tabellen TPALOG und E070 über die Transportnummer miteinander verknüpft werden, um eine vollständige Datensicht zu erhalten.

3. Die Transaktion SA38 aufrufen und nach dem Report RSUSR100 (in neueren SAP Releaseständen RUSUSR100N) suchen. Das Datum unter „von Datum“ und „bis Datum“ auf den Prüfzeitraum einschränken.

Hier ist zu beachten, dass je nach Release Stand des SAP Systems die Eingabemaske abweichen kann und die Selektionskriterien in verschiedenen Reitern ausgewählt werden müssen, sich aber inhaltlich nicht unterscheiden.

Die Ergebnisse werden mit der Tastenkombination „Shift+F8“ oder über die Menüleiste in eine unkonvertierte Textdatei exportiert und nachfolgend in Excel formatiert und aufbereitet.

Wichtig ist dabei, dass jede Änderung an einem Benutzerkonto aufgezeichnet wird. Das bedeutet, dass bei der Zuweisung von mehreren Berechtigungen, dem Zurücksetzen des Passworts etc. jeweils ein Eintrag in der Tabelle erzeugt wird. Um für eine Stichprobenauswahl Mehrfachselektionen einer Änderung zu verhindern, empfiehlt es sich über Duplikate über das Datum und den Benutzernamen vor Auswahl der Stichprobe zu entfernen.

Auf das Vorgehen zur Selektion von zufälligen Stichproben mit Hilfe von Excel gehen wir in einem anderen Beitrag ein.

Sollten Sie Unterstützung bei der Prüfung der Ordnungsmäßigkeit bzw. Compliance von IT-Systemen, Projekten und Prozessen benötigen, nehmen Sie gern Kontakt mit uns auf.

Interne Revision: Leitfaden zu Grundlagen der IT-Revision ist in der 2. Auflage verfügbar

Sechs Jahre sind vergangen seit unsere Fachgruppe IT-Revision der ISACA den Leitfaden zu den Grundlagen der IT-Revision herausgegeben hat.

Geänderte Vorgaben, neue Themen wie Blockchain und Kryptowährungen, die fortschreitende Digitalisierung und nicht zuletzt die Corona-Pandemie haben für die Revision viele neue Fragen aufgeworfen. Der Anspruch des Autorenteams der ISACA-Fachgruppe IT-Revision war es daher, den vorliegenden Leitfaden hinsichtlich der Änderungen bei wichtigen Vorgaben, aber auch bei Veränderungen in den Grundlagen zu aktualisieren und anzupassen.

Der aktualisierte Leitfaden kann hier heruntergeladen werden.

Der Leitfaden wurde in Zusammenarbeit von internen Revisoren, erfahrene Berater und Kollegen aus Wissenschaft und Lehre erstellt bzw. aktualisiert.

Autorenteam (alphabetisch):

  • Dr. Karlheinz Ahlers, CISA, 1. und 2. Auflage
  • Markus Bank, CISA, 1. und 2. Auflage
  • Axel Dors, CISA, 1. und 2. Auflage
  • Torsten Enk, CISA, CDPSE, 1. und 2. Auflage
  • Sebastian Grüneberg, CISA, CISM, 2. Auflage
  • Jochen Hartmann, CISA, CISM, 1. Auflage
  • Ralf Herter, 1. und 2. Auflage
  • Ingrid Dubois, 1. Auflage
  • Prof. Matthias Knoll, CISA, 1. und 2. Auflage
  • Christian Lossos, 2. Auflage
  • Wolf-Rüdiger Mertens, CIA, CISA, CISSP,
  • Torsten Meyer, CISA, 1. und 2. Auflage
  • Patrick Schwieder, 2. Auflage
  • Stefanie Schmidt, CIA, CISA, 2. Auflage
  • Simon Scribelka, CISA, 2. Auflage
  • Dr. Dirk Silkenbäumer, CISA, 2. Auflage

Vielen Dank auf diesem Weg an unser engagiertes Team der Fachgruppe IT-Revision.

Gesetze und Verordnungen: DORA – Digital Operational Resilience Act

Die Europäische Kommission hat im September 2020 einen Vorschlag für eine Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors vorgelegt, der gemeinhin als Digital Operational Resilience Act (DORA) bezeichnet wird.

Das Gesetz über die digitale operationelle Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) fördert ein gemeinsames Paket von Regeln und Standards, um die Risiken der Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen zu mindern. Eines der Ziele von DORA ist es, eine zunehmende Fragmentierung der für das IKT-Risikomanagement geltenden Vorschriften zu verhindern.

Darüber hinaus ist die Europäische Kommission der Ansicht, dass die Finanzunternehmen, die in den Anwendungsbereich von DORA fallen, nicht alle gleichermaßen IKT-Risiken ausgesetzt sind. Vielmehr können verschiedene Faktoren wie die Größe eines Unternehmens, seine Funktionen oder sein Geschäftsprofil seine Gefährdung durch IKT-Risiken beeinflussen.

Über DORA – Digital Operational Resilience Act

Der Digital Operational Resilience Act wird in der gesamten Europäischen Union (EU) direkt gelten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Damit wird zum ersten Mal eine einheitliche Anwendung von Grundsätzen und Regeln für das IKT-Risikomanagement im Finanzsektor erreicht.

Die Verordnung wird voraussichtlich Ende 2024 in Kraft treten, vorbehaltlich der Annahme von Stufe-2-Maßnahmen. Das Stufe-2-Mandat ist im Zusammenhang mit DORA wichtig, da bestimmte kritische Elemente abgedeckt werden sollen (z. B. RTS zu IKT-Vorfällen und zur Klassifizierung von Cyber-Bedrohungen, RTS zur Meldung größerer IKT- und Cyber-Vorfälle an die Behörden, RTS zu wichtigen Vertragsbestimmungen).

Die fünf Säulen von DORA

1. DORA und IKT-Risikomanagement

Die Finanzunternehmen müssen über interne Verwaltungs- und Kontrollrahmen verfügen, die ein wirksames und umsichtiges Management aller IKT-Risiken[1] gewährleisten, um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen.

Die Finanzunternehmen müssen darauf vorbereitet sein, Risiken zu managen, die insbesondere von der Entscheidung über die Erbringung von Dienstleistungen bis hin zur Mitteilung eines potenziellen größeren IKT-bezogenen Vorfalls reichen. Die Einhaltung aller IKT-Risikomanagementverpflichtungen wird jedoch vom Profil des Unternehmens abhängen. DORA ermöglicht es kleinen und nicht miteinander vernetzten Akteuren, einen vereinfachten IKT-Risikomanagement-Rahmen einzuhalten.

2. Prävention von IKT-Risiken im Rahmen von DORA

Als Teil ihres Rahmens für die Steuerung und Kontrolle von IKT-Risiken müssen die Finanzunternehmen aktualisierte Systeme, Protokolle und Instrumente verwenden und pflegen. Außerdem müssen sie alle IKT-bezogenen Geschäftsfunktionen, Risiken, Systemkonten sowie alle Prozesse, die von IKT-Drittanbietern abhängig sind, identifizieren, klassifizieren und angemessen dokumentieren.

Die Umsetzung von Sicherheitsstrategien, -richtlinien und -protokollen mit dem Ziel, die Widerstandsfähigkeit und Kontinuität von IKT-Systemen zu gewährleisten, ist ebenfalls von zentraler Bedeutung für den Schutz und die Prävention von IKT-Risiken. Die DORA verlangt daher von den Finanzunternehmen, dass sie geeignete Sicherheitsstrategien und -maßnahmen entwickeln, beschaffen und umsetzen und in der Lage sind, anomale Aktivitäten zu erkennen.

3. Kontinuität und effiziente Wiederherstellung unter DORA

Das Digital Operational Resilience Act enthält die Verpflichtung, eine spezielle und umfassende IKT-Business-Continuity-Strategie einzuführen, die ein integraler Bestandteil der operativen Business-Continuity-Strategie der Finanzunternehmen ist. Eine solche Politik sollte insbesondere darauf abzielen, Schäden durch Zwischenfälle zu begrenzen und die Kontinuität der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen.

Um eine effiziente Wiederherstellung der IKT-Systeme und eine Begrenzung der Auswirkungen von Störungen zu gewährleisten, müssen die Finanzunternehmen auch Backup-Strategien und Wiederherstellungsmethoden entwickeln.

Im Falle erheblicher IKT-Störungen müssen die Finanzunternehmen Vorfallprüfungen durchführen, um die Ursachen zu analysieren und Verbesserungen zu ermitteln.

4. Meldung von IKT-bezogenen Vorfällen gemäß DORA

Als Teil ihres Prozesses zum Management von IKT-bezogenen Vorfällen müssen Finanzunternehmen einen Managementprozess zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen definieren, einrichten und umsetzen.

IKT-bezogene Vorfälle werden klassifiziert, und die Finanzinstitute müssen die Auswirkungen eines jeden Vorfalls bestimmen. Zu diesem Zweck müssen die Finanzinstitute Folgendes berücksichtigen

  • Die Anzahl der von einem Vorfall betroffenen Nutzer/Finanzkontrahenten
    • Die Dauer des Vorfalls
    • Die geografische Ausbreitung
    • die Datenverluste, die der Vorfall mit sich bringt
    • die Kritikalität der betroffenen Dienste
    • die wirtschaftlichen Auswirkungen

Größere IKT-bezogene Vorfälle müssen der zuständigen Behörde unter Verwendung standardisierter Meldeformulare zeitnah gemeldet werden.

5. Prüfung der digitalen operativen Belastbarkeit

Als Teil des Rahmens für das IKT-Risikomanagement müssen die Finanzinstitute ein solides und umfassendes Testprogramm für die digitale operationelle Belastbarkeit einrichten, aufrechterhalten und regelmäßig überprüfen. Ziel ist es, Schwachstellen, Mängel oder Lücken in ihrer digitalen operativen Belastbarkeit zu bewerten und zu ermitteln und in der Lage zu sein, umgehend Korrekturmaßnahmen zu ergreifen.

Die IKT-Systeme und -Werkzeuge werden regelmäßigen Tests und erweiterten Tests unterzogen, die von unabhängigen Parteien (intern oder extern) durchgeführt werden. Die Häufigkeit dieser Tests kann je nach Risikoprofil und Umständen des betreffenden Finanzinstituts variieren.

Management von IKT-Drittrisiken

Das Management von IKT-Drittrisiken ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

DORA definiert eine Reihe von Schlüsselprinzipien für Finanzunternehmen, um ein solides Management von IKT-Drittrisiken zu erreichen und eine solide Vertragsbeziehung mit IKT-Drittdienstleistern einzugehen.

Das Digital Operational Resilience Act enthält Elemente, die sich auf die Auswahl von IKT-Drittdienstleistern (mit vorheriger Due Diligence), wichtige Vertragsbestimmungen, die in Vereinbarungen mit IKT-Drittdienstleistern enthalten sein müssen (einschließlich Kündigungsereignisse und Ausstiegsstrategien), sowie laufende Kontrollen und die Aufsicht über kritische IKT-Drittdienstleister beziehen.

Informationsaustausch im Rahmen von DORA

DORA fördert Vereinbarungen zum Informationsaustausch zwischen Finanzunternehmen, um die digitale operative Widerstandsfähigkeit zu verbessern, insbesondere durch die Sensibilisierung für Informationen und Erkenntnisse über Cyber-Bedrohungen, einschließlich Indikatoren für eine Kompromittierung, Taktiken und Cybersicherheitswarnungen.

Vereinbarungen über den Informationsaustausch müssen zwischen vertrauenswürdigen Gemeinschaften von Finanzunternehmen geschlossen werden und die Sensibilität der ausgetauschten Informationen schützen, wobei die geltenden Vertraulichkeitsregeln und die Grundsätze des Schutzes personenbezogener Daten einzuhalten sind.

Auswirkungen von DORA auf die Branche

DORA ist ein integraler Bestandteil des digitalen Finanzpakets. Die Finanzunternehmen müssen die Bestimmungen und Anforderungen der DORA innerhalb von 24 Monaten nach Inkrafttreten der Verordnung erfüllen. Das Management von Cybersicherheitsrisiken wird sich mit der harmonisierten und allgemeinen Anwendung der DORA-Anforderungen und des Verhaltenskodexes zweifelsohne verbessern und an Reife gewinnen.  

Um alle in der Verordnung festgelegten Anforderungen zu erfüllen, müssen die Finanzunternehmen ihre bestehenden Verfahren, Instrumente und Standardpraktiken in Bezug auf das IKT-Risikomanagement und die Einbeziehung von IKT-Drittdienstleistern umfassend bewerten.

Welche Firmen sind von DORA betroffen?

Zu den Firmen, die in den Geltungsbereich von DORA fallen, gehören:

  • Kreditinstitute, Zahlungsinstitute, E-Geld-Institute,
  • Wertpapierfirmen und Wertpapierverwahrer
  • Anbieter von Krypto-Asset-Dienstleistungen
  • Handelsplattformen
  • Verwalter von alternativen Investmentfonds und Verwaltungsgesellschaften
  • Anbieter von Datenübermittlungsdiensten
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungs-, Rückversicherungs- und Versicherungsnebenkostenvermittler
  • Einrichtungen der betrieblichen Altersversorgung
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter kritischer Benchmarks
  • Anbieter von Crowdfunding-Dienstleistungen

Standpunkt der Wertpapierdienste

DORA ist ein wichtiger Baustein in der Entwicklung der Finanzmärkte hin zur Digitalisierung. Die europäischen Finanzmärkte für das digitale Zeitalter fit zu machen, bedeutet, dass angemessene Schutzvorkehrungen getroffen werden sollten, um einen soliden Markt zu fördern und allen Teilnehmern, die an der digitalen Revolution teilhaben wollen, Sicherheit und Vertrauen zu geben.

Daher werden die in der DORA enthaltenen Regeln wahrscheinlich ein Gleichgewicht zwischen der ständig zunehmenden Gefährdung durch IKT-Risiken und Cyber-Bedrohungen schaffen, die sich aus der wachsenden Abhängigkeit von der Technologie ergeben.  

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.

Gesetze und Verordnungen: Cybersecurity im Finanzsektor – Vorläufige Einigung über DORA erzielt

Angesichts der immer größer werdenden Risiken von Cyberangriffen stärkt die EU die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. Gestern Abend erzielten die Ratspräsidentschaft und das Europäische Parlament eine vorläufige Einigung über den Digital Operational Resilience Act (DORA), der sicherstellen soll, dass der Finanzsektor in Europa in der Lage ist, seine Operationen auch bei einer schweren Betriebsstörung aufrechtzuerhalten.

DORA legt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten fest, die ihnen IKT (Informations- und Kommunikationstechnologien)-bezogene Dienste zur Verfügung stellen, wie etwa Cloud-Plattformen oder Datenanalysedienste. Die DORA schafft einen Rechtsrahmen für die digitale operationelle Widerstandsfähigkeit, wobei alle Unternehmen sicherstellen müssen, dass sie allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können. Diese Anforderungen sind in allen EU-Mitgliedstaaten einheitlich. Das Hauptziel besteht darin, Cyber-Bedrohungen zu verhindern und abzuschwächen.

Nach der vorläufigen Einigung werden die neuen Vorschriften einen sehr robusten Rahmen bilden, der die IT-Sicherheit des Finanzsektors erhöht. Die von den Finanzunternehmen verlangten Anstrengungen werden im Verhältnis zu den potenziellen Risiken stehen.

Nahezu alle Finanzunternehmen werden den neuen Vorschriften unterworfen sein. Im Rahmen der vorläufigen Einigung werden Wirtschaftsprüfer nicht der DORA unterliegen, aber Teil einer zukünftigen Überprüfung der Verordnung sein, bei der eine mögliche Überarbeitung der Regeln untersucht werden kann.

Kritische IKT-Dienstleister aus Drittländern, die für Finanzunternehmen in der EU tätig sind, müssen eine Tochtergesellschaft in der EU gründen, damit die Aufsicht ordnungsgemäß durchgeführt werden kann.

Hinsichtlich des Aufsichtsrahmens einigten sich die Mitgesetzgeber auf ein zusätzliches gemeinsames Aufsichtsnetz, das die Koordinierung zwischen den europäischen Aufsichtsbehörden in diesem sektorübergreifenden Bereich verstärken wird.

Die vorläufige Vereinbarung sieht vor, dass Penetrationstests in einem funktionierenden Modus durchgeführt werden, wobei die Möglichkeit besteht, mehrere Behörden der Mitgliedstaaten in die Testverfahren einzubeziehen. Der Einsatz interner Prüfer wird nur unter bestimmten, streng begrenzten Bedingungen möglich sein, die an Schutzmaßnahmen geknüpft sind.

Was das Zusammenspiel von DORA mit der Richtlinie über Netz- und Informationssicherheit (NIS) betrifft, so werden die Finanzunternehmen im Rahmen der vorläufigen Einigung volle Klarheit über die verschiedenen Vorschriften zur digitalen operationellen Widerstandsfähigkeit haben, die sie einhalten müssen, insbesondere für diejenigen Finanzunternehmen, die mehrere Zulassungen besitzen und auf verschiedenen Märkten innerhalb der EU tätig sind. Die NIS-Richtlinie gilt weiterhin. DORA baut auf der NIS-Richtlinie auf und regelt mögliche Überschneidungen durch eine lex specialis-Ausnahme.

Die gestern Abend erzielte vorläufige Einigung muss noch vom Rat und vom Europäischen Parlament gebilligt werden, bevor das förmliche Annahmeverfahren eingeleitet wird.

Sobald der DORA-Vorschlag formell angenommen ist, wird er von jedem EU-Mitgliedstaat in ein Gesetz umgesetzt. Die zuständigen Europäischen Aufsichtsbehörden (ESAs), wie die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapieraufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), werden dann technische Standards entwickeln, an die sich alle Finanzdienstleistungsinstitute halten müssen, von Banken über Versicherungen bis hin zur Vermögensverwaltung. Die jeweils zuständigen nationalen Behörden werden die Einhaltung der Vorschriften überwachen und die Verordnung erforderlichenfalls durchsetzen.

Hintergrund

Die Kommission legte den DORA-Vorschlag am 24. September 2020 vor. Er ist Teil des umfassenderen Pakets für digitale Finanzen, mit dem ein europäischer Ansatz entwickelt werden soll, der die technologische Entwicklung fördert und die Finanzstabilität und den Verbraucherschutz gewährleistet. Neben dem DORA-Vorschlag enthält das Paket eine Strategie für das digitale Finanzwesen, einen Vorschlag zu Märkten für Krypto-Assets (MiCA) und einen Vorschlag zur Distributed-Ledger-Technologie (DLT).

Dieses Paket schließt eine Lücke in der bestehenden EU-Gesetzgebung, indem es sicherstellt, dass der derzeitige Rechtsrahmen keine Hindernisse für die Nutzung neuer digitaler Finanzinstrumente darstellt und gleichzeitig gewährleistet, dass solche neuen Technologien und Produkte in den Anwendungsbereich der Finanzregulierung und der Vorkehrungen für das operative Risikomanagement von in der EU tätigen Unternehmen fallen. Somit zielt das Paket darauf ab, Innovationen und die Einführung neuer Finanztechnologien zu fördern und gleichzeitig ein angemessenes Niveau des Verbraucher- und Anlegerschutzes zu gewährleisten.

Der Rat nahm sein Verhandlungsmandat zu DORA am 24. November 2021 an. Die Trilogverhandlungen zwischen den Mitgesetzgebern begannen am 25. Januar 2022 und endeten mit der gestern erzielten vorläufigen Einigung.

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.

Original-Mitteilung des European Council: Digital finance: Provisional agreement reached on DORA – Consilium (europa.eu)