Kontakt
Kontakt

Schlagwort: Cybersicherheit

Wann kommt NIS2?

Einleitung: Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive) ist ein zentrales Regelwerk der Europäischen Union, das darauf abzielt, die Cybersicherheit auf EU-Ebene zu stärken und zu harmonisieren. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich sowie die Anforderungen an Unternehmen und öffentliche Einrichtungen deutlich. Ziel ist es, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedsstaaten zu verbessern.

Die Richtlinie legt dabei insbesondere Wert auf die Sicherheit kritischer Infrastrukturen, definiert neue Branchen, die unter die Regelungen fallen, und erhöht die Anforderungen an die Berichterstattung von Sicherheitsvorfällen.

Der aktuelle Status der Umsetzung

Zum Ende Oktober 2024 zeigt sich, dass die Umsetzung der NIS2-Richtlinie in den Mitgliedsstaaten unterschiedlich weit fortgeschritten ist. Die Frist zur Umsetzung in nationales Recht war der 18. Oktober 2024. Einige Länder haben den Termin eingehalten, während andere, darunter auch Deutschland, in Verzug geraten sind.

Deutschland und das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)

In Deutschland wird die NIS2-Richtlinie durch das sogenannte Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) in nationales Recht integriert. Dieses Gesetz baut auf den bestehenden Regelungen des IT-Sicherheitsgesetzes (IT-SiG) auf und erweitert diese um die verschärften Anforderungen der EU. Obwohl das Gesetz wichtige Fortschritte verspricht, wurde es nicht fristgerecht verabschiedet. Das verzögerte Vorgehen hat verschiedene Ursachen:

  1. Regulatorische Komplexität: Die Verschmelzung der NIS2-Vorgaben mit dem IT-SiG erfordert eine umfassende Abstimmung, um Überschneidungen und Lücken zu vermeiden.
  2. Ressourcenprobleme: Sowohl auf staatlicher Seite als auch in den betroffenen Branchen fehlen personelle und finanzielle Kapazitäten für eine schnelle Implementierung.
  3. Neue Branchenanforderungen: Mit der NIS2-Richtlinie werden erstmals Sektoren wie Lebensmittelproduktion und Abfallwirtschaft reguliert, was zusätzliche Anpassungen erforderlich macht.

Die Verzögerung Deutschlands wird zu Druck seitens der EU führen, insbesondere da andere Mitgliedsstaaten bereits Fortschritte erzielt haben. Aktuell läuft ein Vertragsverletzungsverfahren der EU gegen Deutschland aufgrund der nicht fristgerechten Umsetzung der NIS2 in nationales Recht, dass mit hohen Bußgeldern belegt ist. Eine schnelle Nachbesserung ist daher dringend notwendig.

Für die betroffenen Unternehmen ist damit zu rechnen, dass die Umsetzungsfrist aufgrund des Vertragsverletzungsverfahren der EU relativ kurz sein wird. Daher sollten betroffene Unternehmen die Zeit nutzen und bereits eine Standortbestimmung der Informationssicherheit und zur NIS2 Umsetzung durchführen und wichtige Maßnahmen bereits angehen.

Inhalte und Anforderungen der NIS2-Richtlinie

Die NIS2-Richtlinie erweitert den Anwendungsbereich und verschärft die Anforderungen im Vergleich zur ursprünglichen NIS-Richtlinie. Die wichtigsten Inhalte sind:

  1. Erweiterter Anwendungsbereich: Die NIS2-Richtlinie gilt nun für mehr Branchen, darunter:
    • Energieversorgung
    • Gesundheitswesen
    • Lebensmittelproduktion und -versorgung
    • Abfallwirtschaft
    • Öffentliche Verwaltung
  2. Erhöhte Sicherheitsanforderungen: Unternehmen müssen:
    • Umfassende Risikobewertungen durchführen
    • Sicherheitsmaßnahmen wie Netzsegmentierung, Backup-Systeme und regelmäßige Sicherheitsupdates implementieren
    • Mitarbeitende regelmäßig schulen und sensibilisieren
  3. Strengere Meldepflichten:
    • Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem detaillierten Bericht binnen 72 Stunden.
  4. Verstärkte Durchsetzungsmechanismen:
    • Nationale Behörden erhalten mehr Kompetenzen zur Überprüfung und Durchsetzung der Vorschriften.
    • Bei Verstößen drohen hohe Bußgelder (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes).
  5. Förderung der internationalen Zusammenarbeit:
    • Der Informationsaustausch zwischen den Mitgliedsstaaten wird durch Plattformen wie das EU-Cybersicherheitsnetzwerk intensiviert.

Zusammenhang zwischen NIS2, IT-Sicherheitsgesetz und NIS2-Umsetzungsgesetz

Das deutsche IT-Sicherheitsgesetz (IT-SiG) bildet die Grundlage für die nationalen Cybersicherheitsstandards, während das NIS2-Umsetzungsgesetz diese um die Anforderungen der EU-Richtlinie ergänzt. Ziel ist es, ein einheitliches und gleichzeitig strengeres Sicherheitsniveau zu gewährleisten.

Neue Elemente durch das NIS2-UmsG

  1. Breiterer Fokus: Im Gegensatz zum IT-SiG reguliert das NIS2-UmsG eine größere Zahl von Branchen, darunter auch solche, die bislang nicht im Fokus standen.
  2. Erweiterte Meldepflichten: Sicherheitsvorfälle müssen schneller und detaillierter gemeldet werden, was neue Prozesse in Unternehmen erfordert.
  3. Sanktionsmechanismen: Die Einführung von EU-weit harmonisierten Bußgeldern erhöht den Druck auf Unternehmen, die Vorgaben einzuhalten.

Das Zusammenspiel zwischen IT-SiG und NIS2-UmsG sorgt für eine umfassendere Abdeckung und stärkt die internationale Koordination im Bereich Cybersicherheit.

Der BSI NIS2-Check: Unterstützung für Unternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen ein spezielles Tool, die NIS2-Betroffenheitsprüfung, um zu klären, ob sie unter die Regelungen der NIS2-Richtlinie fallen. Diese Analyse hilft Organisationen, die eigene Betroffenheit anhand der Kriterien der Richtlinie zu bewerten und entsprechende Maßnahmen einzuleiten.

Funktionsweise der NIS2-Betroffenheitsprüfung:

  1. Analyse der Unternehmensdaten: Überprüfen, ob das Unternehmen in einem der relevanten Sektoren tätig ist und welche Rolle es dort einnimmt.
  2. Abgleich mit den NIS2-Kriterien: Bewertung, ob die Unternehmensgröße und die Relevanz der Dienstleistungen für die Gesellschaft die Anwendung der Richtlinie auslösen.
  3. Empfehlungen zur weiteren Umsetzung: Ermittlung konkreter Handlungsschritte, falls das Unternehmen betroffen ist.

Das Tool des BSI unterstützt Unternehmen dabei, frühzeitig ihre Verpflichtungen zu erkennen und sich auf die Einhaltung der Richtlinie vorzubereiten. Weitere Informationen und Zugang zum Tool finden Sie auf der offiziellen Website des BSI: BSI NIS2-Betroffenheitsprüfung.

Die zuständige Aufsichtsbehörden und ihre Befugnisse

Die Überwachung und Durchsetzung der NIS2-Richtlinie in Deutschland erfolgt durch die zuständigen Aufsichtsbehörden, darunter insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörden haben erweiterte Kompetenzen, um die Einhaltung der Vorgaben sicherzustellen:

  1. Überprüfung der Compliance: Die Behörden können Audits und Inspektionen bei betroffenen Unternehmen durchführen, um die Einhaltung der Richtlinie zu prüfen.
  2. Anordnung von Maßnahmen: Bei festgestellten Mängeln haben die Behörden das Recht, verbindliche Maßnahmen zur Verbesserung der Cybersicherheit anzuordnen.
  3. Zwangsmaßnahmen: Im Falle von Nichtbefolgung können Unternehmen zur Umsetzung der Maßnahmen gezwungen werden, etwa durch Bußgelder oder gerichtliche Anordnungen.
  4. Koordination auf EU-Ebene: Die nationalen Behörden arbeiten eng mit anderen Mitgliedsstaaten und der EU-Kommission zusammen, um grenzüberschreitende Cyberbedrohungen effektiv zu bekämpfen.

Die Aufsichtsbehörden spielen somit eine Schlüsselrolle bei der Durchsetzung der NIS2-Richtlinie und der Sicherstellung eines einheitlichen Sicherheitsniveaus.

Strafen bei Verstößen gegen die NIS2-Richtlinie

Die NIS2-Richtlinie sieht erhebliche Sanktionen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. Diese Sanktionen sind so gestaltet, dass sie Unternehmen zur Einhaltung der Vorgaben motivieren und gleichzeitig abschreckend wirken:

  1. Hohe Bußgelder:
    • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist.
  2. Reputationsschäden:
    • Verstöße können öffentlich gemacht werden, was zu einem erheblichen Verlust des Vertrauens von Kunden und Geschäftspartnern führen kann.
  3. Haftung der Geschäftsführung:
    • In schweren Fällen können auch Mitglieder der Geschäftsführung persönlich zur Verantwortung gezogen werden.
  4. Betriebsunterbrechungen:
    • Bei wiederholten oder schweren Verstößen können Behörden den Betrieb eines Unternehmens teilweise oder vollständig einschränken.

Die strengen Sanktionsmöglichkeiten unterstreichen die Bedeutung der NIS2-Richtlinie und machen deutlich, dass Cybersicherheit ein zentraler Bestandteil der Unternehmensführung sein muss.

Umsetzung der NIS2-Richtlinie mit einem ISMS nach ISO 27001 oder BSI IT-Grundschutz

Ein effektiver Weg, die Anforderungen der NIS2-Richtlinie zu erfüllen, ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder dem BSI IT-Grundschutz. Beide Standards bieten bewährte Methoden und Werkzeuge, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu minimieren.

Vorteile eines ISMS nach ISO 27001 oder BSI IT-Grundschutz:

  1. Systematische Risikobewertung: Ein ISMS ermöglicht eine strukturierte Analyse und Bewertung von Sicherheitsrisiken, die Unternehmen helfen, geeignete Maßnahmen zu priorisieren.
  2. Flexibilität: Die Standards können individuell an die Größe und Branche des Unternehmens angepasst werden.
  3. Compliance: Durch die Umsetzung eines ISMS erfüllen Unternehmen automatisch viele der von der NIS2-Richtlinie geforderten Sicherheitsmaßnahmen.
  4. Kontinuierliche Verbesserung: Beide Standards setzen auf einen kontinuierlichen Verbesserungsprozess (Plan-Do-Check-Act), der sicherstellt, dass Sicherheitsmaßnahmen regelmäßig überprüft und aktualisiert werden.
  5. Nachweisbare Sicherheit: Die Zertifizierung nach ISO 27001 oder die Umsetzung des BSI IT-Grundschutzes bietet Behörden und Geschäftspartnern eine transparente Bestätigung der Sicherheitsmaßnahmen.

Praxisbeispiel: Integration in die NIS2-Compliance

Die ISO/IEC 27002:2022 umfasst 93 Controls, die nahezu alle Anforderungen der NIS2-Richtlinie abdecken. Diese Controls bieten eine systematische Basis, um Cybersicherheitsmaßnahmen umzusetzen, müssen jedoch an die spezifischen Vorgaben der NIS2 angepasst werden. Ein zentrales Beispiel ist der Security Incident Prozess, der so ausgestaltet sein muss, dass die Meldefristen der NIS2 eingehalten werden:

  • 24-Stunden-Regel: Erste Meldung eines Sicherheitsvorfalls.
  • 72-Stunden-Regel: Detaillierter Bericht mit Maßnahmen und Auswirkungen.

Die ISO-Controls helfen dabei, diese Prozesse zu standardisieren und effizient zu gestalten. Beispielsweise fordern die Controls Richtlinien für das Management von Vorfällen, die klare Zuständigkeiten und Eskalationswege definieren.

Unternehmen können so nicht nur die NIS2-Vorgaben erfüllen, sondern auch ihre Cybersicherheitsmaßnahmen strategisch verbessern und langfristig optimieren.

Fazit und Ausblick

Die NIS2-Richtlinie ist ein entscheidender Schritt, um die Cybersicherheitslandschaft in Europa zu stärken und widerstandsfähiger gegen Bedrohungen zu machen. Mit der Frist im Oktober 2024 stehen die Mitgliedsstaaten unter Druck, die Vorgaben schnell und umfassend umzusetzen. Deutschland muss in den kommenden Monaten erheblich nachbessern, um nicht nur den Anforderungen der EU zu genügen, sondern auch die eigene Cybersicherheitsstrategie zu stärken.

Unternehmen sollten die Zeit nutzen, um ihre eigenen Sicherheitsmaßnahmen zu evaluieren und anzupassen. Der Fokus sollte auf der Erfüllung der Meldepflichten, der Umsetzung technischer Sicherheitsmaßnahmen und der Mitarbeiterschulung liegen. Nur durch eine konsequente Umsetzung können die Ziele der NIS2-Richtlinie erreicht und Sanktionen vermieden werden.

Die kommenden Monate werden entscheidend sein, um die Cybersicherheitsinfrastruktur in Deutschland und Europa nachhaltig zu stärken.

NIS 2 – Die neue EU-Richtlinie zur Erhöhung der Cybersicherheit

Die Digitalisierung schreitet unaufhaltsam voran und damit auch die Bedrohungen für die Cybersicherheit. Um diesen Herausforderungen zu begegnen, hat die Europäische Union (EU) im Jahr 2016 die erste Richtlinie zur Erhöhung der Cybersicherheit (NIS 1) verabschiedet. Nun steht mit NIS 2 eine neue Richtlinie in den Startlöchern, die noch umfassender und strenger ist.

Entstehung von NIS 2

Die Entstehung von NIS 2 geht auf die Erfahrungen und Erkenntnisse aus der Umsetzung von NIS 1 zurück. Die erste Richtlinie hatte zum Ziel, die Cybersicherheit in kritischen Infrastrukturen wie Energieversorgung, Verkehr oder Gesundheitswesen zu erhöhen. Doch es zeigte sich, dass die Umsetzung in den Mitgliedsstaaten sehr unterschiedlich erfolgte und es an einheitlichen Standards und klaren Zuständigkeiten mangelte.

Daher hat die EU-Kommission im Dezember 2020 den Entwurf für NIS 2 vorgelegt, der nun von den Mitgliedsstaaten diskutiert und umgesetzt werden soll. Die neue Richtlinie soll die Cybersicherheit in allen Bereichen stärken und einheitliche Standards und Zuständigkeiten schaffen.

Inhalte von NIS 2

NIS 2 umfasst eine Vielzahl von Maßnahmen und Regelungen, die auf die Erhöhung der Cybersicherheit abzielen. Dazu gehören unter anderem:

  • Erweiterung des Anwendungsbereichs: NIS 2 soll nicht nur für kritische Infrastrukturen gelten, sondern für alle Unternehmen und Organisationen, die digitale Dienste anbieten oder von ihnen abhängig sind.
  • Verpflichtende Meldung von Sicherheitsvorfällen: Unternehmen und Organisationen müssen Sicherheitsvorfälle, die Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit von digitalen Diensten haben, innerhalb von 24 Stunden melden.
  • Erhöhung der Anforderungen an Sicherheitsmaßnahmen: Unternehmen und Organisationen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dazu gehören unter anderem regelmäßige Risikoanalysen, Schulungen der Mitarbeiterinnen und Mitarbeiter und die Umsetzung von Sicherheitsstandards.
  • Schaffung eines EU-weiten Zertifizierungssystems: Unternehmen und Organisationen können sich freiwillig zertifizieren lassen, um ihre Cybersicherheit nachzuweisen. Das Zertifizierungssystem soll EU-weit einheitlich sein und auf internationalen Standards basieren.

Handlungsbedarfe und konkrete Maßnahmen

Die Umsetzung von NIS 2 erfordert von Unternehmen und Organisationen ein hohes Maß an Engagement und Investitionen in die Cybersicherheit. Insbesondere kleine und mittelständische Unternehmen (KMU) stehen vor großen Herausforderungen, da sie oft nicht über die Ressourcen und das Know-how verfügen, um die Anforderungen von NIS 2 umzusetzen.

Um die Anforderungen der NIS-Richtlinie zu erfüllen, sollten KMUs (kleine und mittlere Unternehmen) in der Europäischen Union folgende Maßnahmen ergreifen:

  1. Bewertung der kritischen Infrastruktur: Identifizieren Sie die wesentlichen Netzwerke, Systeme und Dienste, die für den Geschäftsbetrieb Ihres Unternehmens von zentraler Bedeutung sind.
  2. Risikobewertung: Führen Sie eine umfassende Risikobewertung durch, um potenzielle Bedrohungen, Schwachstellen und Risiken zu identifizieren, die Ihre Netzwerk- und Informationssicherheit beeinträchtigen könnten.
  3. Sicherheitsmaßnahmen implementieren: Ergreifen Sie geeignete technische und organisatorische Maßnahmen, um die Sicherheit Ihrer Netzwerke und Informationen zu gewährleisten. Dazu gehören z. B. Firewalls, Antivirus-Software, Verschlüsselung und Zugriffskontrollen.
  4. Incident Response Plan: Entwickeln Sie einen Notfallplan für den Umgang mit Sicherheitsvorfällen. Definieren Sie klare Verfahren zur Erkennung, Meldung, Reaktion und Wiederherstellung im Falle eines Sicherheitsvorfalls.
  5. Sicherheitsbewusstsein schaffen: Sensibilisieren Sie Ihre Mitarbeiter für Netzwerk- und Informationssicherheit. Schulen Sie sie regelmäßig über bewährte Sicherheitspraktiken, Phishing-Erkennung und den sicheren Umgang mit sensiblen Informationen.
  6. Externe Dienstleister überprüfen: Stellen Sie sicher, dass externe Dienstleister, die Zugang zu Ihren Netzwerken oder Informationen haben, angemessene Sicherheitsmaßnahmen implementiert haben.
  7. Datenschutz beachten: Stellen Sie sicher, dass Sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen, da diese eng mit den Anforderungen der NIS-Richtlinie verbunden sind.
  8. Regelmäßige Sicherheitsaudits durchführen: Führen Sie regelmäßig interne oder externe Sicherheitsaudits durch, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen und potenzielle Schwachstellen zu identifizieren.
  9. Vorfallberichterstattung: Stellen Sie sicher, dass Sie Sicherheitsvorfälle den zuständigen Behörden melden, wie in der NIS-Richtlinie vorgeschrieben.
  10. Zusammenarbeit mit CERTs: Arbeiten Sie mit Computer Emergency Response Teams (CERTs) zusammen, um Informationen über Bedrohungen auszutauschen und Unterstützung bei der Bewältigung von Sicherheitsvorfällen zu erhalten.
  11. Aktuelle Software und Patches: Halten Sie Ihre Systeme und Software auf dem neuesten Stand und stellen Sie sicher, dass alle relevanten Sicherheitspatches eingespielt sind.
  12. Backup- und Wiederherstellungsplan: Implementieren Sie regelmäßige Backups Ihrer wichtigen Daten und entwickeln Sie einen Plan zur Wiederherstellung im Falle eines Datenverlusts oder einer Systembeschädigung.
  13. Physische Sicherheit: Berücksichtigen Sie auch physische Sicherheitsmaßnahmen, wie z. B. den Zugang zu Serverräumen, Büros, Technikräumen

Informationssicherheit: Cybersecurity umsetzen – das MITRE Attack Framework

MITRE ATT&CK® ist eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienstleistungen verwendet.

Mit der Schaffung von ATT&CK erfüllt MITRE seinen Auftrag, Probleme für eine sicherere Welt zu lösen, indem es Gemeinschaften zusammenbringt, um eine effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

ATT&CK Matrix for Enterprise:

Das ATT&CK Framework kann Unternehmen helfen, Analysen zu entwickeln, die die von einem Angreifer verwendeten Techniken erkennen. Folgende Hilfsmittel und Anleitungen in Form von Anwendungsfällen (Use Cases) werden dafür bereitgestellt, die nachfolgend beispielhaft für den ausgewählten Bereich aufgeführt werden.

Erkennen und Analysen

  • Erste Schritte mit ATT&CK: Erkennung und Analyse Blog Post: In diesem Blogbeitrag wird beschrieben, wie Sie ATT&CK für die Erkennung und Analyse auf drei verschiedenen Schwierigkeitsgraden einsetzen können.
  • Cyber Analytics Repository (CAR): ATT&CK ist der Rahmen für das Vorgehen von Angreifern, und CAR ist eine Wissensdatenbank mit Analysen, die auf ATT&CK basieren. In diesem Blog-Beitrag über CAR wird unsere Arbeit zur Verbesserung des Systems erläutert.
  • Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.
  • CASCADE: Dieses MITRE-Forschungsprojekt zielt darauf ab, die Arbeit des “Blue Teams” zu automatisieren, einschließlich der Durchführung von Analysen.
  • ATT&CKing the Status Quo Präsentation: Der letzte Teil dieser Präsentation bietet eine Einführung in die Verwendung von ATT&CK zur Erstellung von Analysen. Die Folien sind ebenfalls verfügbar.
  • Viele Mitglieder der ATT&CK-Community leisten hervorragende Arbeit bei der Analyse und Erkennung. Wir empfehlen Ihnen, sich die Präsentationen der ATT&CKcon 2018 anzusehen, um sich Anregungen zu holen. Sie können uns auch auf Twitter unter @MITREattack folgen, da wir manchmal Informationen über Community-Projekte retweeten, die ATT&CK-Nutzern helfen könnten.

ATT&CK bietet eine gemeinsame Sprache und einen Rahmen, den Red Teams nutzen können, um spezifische Bedrohungen zu emulieren und ihre Operationen zu planen.

Emulation von Angriffen und Red Teaming

Bewertung und Technik

ATT&CK kann verwendet werden, um die Fähigkeiten Ihres Unternehmens zu bewerten und technische Entscheidungen zu treffen, z. B. welche Tools oder Protokollierung Sie implementieren sollten.

Sollten Sie Unterstützung bei der Anwendung des Rahmenwerks für Ihr Unternehmen, insbesondere dem Aufbau der Use Cases, Emulation der Angriffe und Ableitung von Maßnahmen zur Verbesserung des Cyber-Schutzniveaus, nehmen Sie gern Kontakt mit uns auf.

Link zur Website: MITRE ATT&CK®

Gesetze und Verordnungen: DORA – Digital Operational Resilience Act

Die Europäische Kommission hat im September 2020 einen Vorschlag für eine Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors vorgelegt, der gemeinhin als Digital Operational Resilience Act (DORA) bezeichnet wird.

Das Gesetz über die digitale operationelle Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) fördert ein gemeinsames Paket von Regeln und Standards, um die Risiken der Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen zu mindern. Eines der Ziele von DORA ist es, eine zunehmende Fragmentierung der für das IKT-Risikomanagement geltenden Vorschriften zu verhindern.

Darüber hinaus ist die Europäische Kommission der Ansicht, dass die Finanzunternehmen, die in den Anwendungsbereich von DORA fallen, nicht alle gleichermaßen IKT-Risiken ausgesetzt sind. Vielmehr können verschiedene Faktoren wie die Größe eines Unternehmens, seine Funktionen oder sein Geschäftsprofil seine Gefährdung durch IKT-Risiken beeinflussen.

Über DORA – Digital Operational Resilience Act

Der Digital Operational Resilience Act wird in der gesamten Europäischen Union (EU) direkt gelten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Damit wird zum ersten Mal eine einheitliche Anwendung von Grundsätzen und Regeln für das IKT-Risikomanagement im Finanzsektor erreicht.

Die Verordnung wird voraussichtlich Ende 2024 in Kraft treten, vorbehaltlich der Annahme von Stufe-2-Maßnahmen. Das Stufe-2-Mandat ist im Zusammenhang mit DORA wichtig, da bestimmte kritische Elemente abgedeckt werden sollen (z. B. RTS zu IKT-Vorfällen und zur Klassifizierung von Cyber-Bedrohungen, RTS zur Meldung größerer IKT- und Cyber-Vorfälle an die Behörden, RTS zu wichtigen Vertragsbestimmungen).

Die fünf Säulen von DORA

1. DORA und IKT-Risikomanagement

Die Finanzunternehmen müssen über interne Verwaltungs- und Kontrollrahmen verfügen, die ein wirksames und umsichtiges Management aller IKT-Risiken[1] gewährleisten, um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen.

Die Finanzunternehmen müssen darauf vorbereitet sein, Risiken zu managen, die insbesondere von der Entscheidung über die Erbringung von Dienstleistungen bis hin zur Mitteilung eines potenziellen größeren IKT-bezogenen Vorfalls reichen. Die Einhaltung aller IKT-Risikomanagementverpflichtungen wird jedoch vom Profil des Unternehmens abhängen. DORA ermöglicht es kleinen und nicht miteinander vernetzten Akteuren, einen vereinfachten IKT-Risikomanagement-Rahmen einzuhalten.

2. Prävention von IKT-Risiken im Rahmen von DORA

Als Teil ihres Rahmens für die Steuerung und Kontrolle von IKT-Risiken müssen die Finanzunternehmen aktualisierte Systeme, Protokolle und Instrumente verwenden und pflegen. Außerdem müssen sie alle IKT-bezogenen Geschäftsfunktionen, Risiken, Systemkonten sowie alle Prozesse, die von IKT-Drittanbietern abhängig sind, identifizieren, klassifizieren und angemessen dokumentieren.

Die Umsetzung von Sicherheitsstrategien, -richtlinien und -protokollen mit dem Ziel, die Widerstandsfähigkeit und Kontinuität von IKT-Systemen zu gewährleisten, ist ebenfalls von zentraler Bedeutung für den Schutz und die Prävention von IKT-Risiken. Die DORA verlangt daher von den Finanzunternehmen, dass sie geeignete Sicherheitsstrategien und -maßnahmen entwickeln, beschaffen und umsetzen und in der Lage sind, anomale Aktivitäten zu erkennen.

3. Kontinuität und effiziente Wiederherstellung unter DORA

Das Digital Operational Resilience Act enthält die Verpflichtung, eine spezielle und umfassende IKT-Business-Continuity-Strategie einzuführen, die ein integraler Bestandteil der operativen Business-Continuity-Strategie der Finanzunternehmen ist. Eine solche Politik sollte insbesondere darauf abzielen, Schäden durch Zwischenfälle zu begrenzen und die Kontinuität der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen.

Um eine effiziente Wiederherstellung der IKT-Systeme und eine Begrenzung der Auswirkungen von Störungen zu gewährleisten, müssen die Finanzunternehmen auch Backup-Strategien und Wiederherstellungsmethoden entwickeln.

Im Falle erheblicher IKT-Störungen müssen die Finanzunternehmen Vorfallprüfungen durchführen, um die Ursachen zu analysieren und Verbesserungen zu ermitteln.

4. Meldung von IKT-bezogenen Vorfällen gemäß DORA

Als Teil ihres Prozesses zum Management von IKT-bezogenen Vorfällen müssen Finanzunternehmen einen Managementprozess zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen definieren, einrichten und umsetzen.

IKT-bezogene Vorfälle werden klassifiziert, und die Finanzinstitute müssen die Auswirkungen eines jeden Vorfalls bestimmen. Zu diesem Zweck müssen die Finanzinstitute Folgendes berücksichtigen

  • Die Anzahl der von einem Vorfall betroffenen Nutzer/Finanzkontrahenten
    • Die Dauer des Vorfalls
    • Die geografische Ausbreitung
    • die Datenverluste, die der Vorfall mit sich bringt
    • die Kritikalität der betroffenen Dienste
    • die wirtschaftlichen Auswirkungen

Größere IKT-bezogene Vorfälle müssen der zuständigen Behörde unter Verwendung standardisierter Meldeformulare zeitnah gemeldet werden.

5. Prüfung der digitalen operativen Belastbarkeit

Als Teil des Rahmens für das IKT-Risikomanagement müssen die Finanzinstitute ein solides und umfassendes Testprogramm für die digitale operationelle Belastbarkeit einrichten, aufrechterhalten und regelmäßig überprüfen. Ziel ist es, Schwachstellen, Mängel oder Lücken in ihrer digitalen operativen Belastbarkeit zu bewerten und zu ermitteln und in der Lage zu sein, umgehend Korrekturmaßnahmen zu ergreifen.

Die IKT-Systeme und -Werkzeuge werden regelmäßigen Tests und erweiterten Tests unterzogen, die von unabhängigen Parteien (intern oder extern) durchgeführt werden. Die Häufigkeit dieser Tests kann je nach Risikoprofil und Umständen des betreffenden Finanzinstituts variieren.

Management von IKT-Drittrisiken

Das Management von IKT-Drittrisiken ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

DORA definiert eine Reihe von Schlüsselprinzipien für Finanzunternehmen, um ein solides Management von IKT-Drittrisiken zu erreichen und eine solide Vertragsbeziehung mit IKT-Drittdienstleistern einzugehen.

Das Digital Operational Resilience Act enthält Elemente, die sich auf die Auswahl von IKT-Drittdienstleistern (mit vorheriger Due Diligence), wichtige Vertragsbestimmungen, die in Vereinbarungen mit IKT-Drittdienstleistern enthalten sein müssen (einschließlich Kündigungsereignisse und Ausstiegsstrategien), sowie laufende Kontrollen und die Aufsicht über kritische IKT-Drittdienstleister beziehen.

Informationsaustausch im Rahmen von DORA

DORA fördert Vereinbarungen zum Informationsaustausch zwischen Finanzunternehmen, um die digitale operative Widerstandsfähigkeit zu verbessern, insbesondere durch die Sensibilisierung für Informationen und Erkenntnisse über Cyber-Bedrohungen, einschließlich Indikatoren für eine Kompromittierung, Taktiken und Cybersicherheitswarnungen.

Vereinbarungen über den Informationsaustausch müssen zwischen vertrauenswürdigen Gemeinschaften von Finanzunternehmen geschlossen werden und die Sensibilität der ausgetauschten Informationen schützen, wobei die geltenden Vertraulichkeitsregeln und die Grundsätze des Schutzes personenbezogener Daten einzuhalten sind.

Auswirkungen von DORA auf die Branche

DORA ist ein integraler Bestandteil des digitalen Finanzpakets. Die Finanzunternehmen müssen die Bestimmungen und Anforderungen der DORA innerhalb von 24 Monaten nach Inkrafttreten der Verordnung erfüllen. Das Management von Cybersicherheitsrisiken wird sich mit der harmonisierten und allgemeinen Anwendung der DORA-Anforderungen und des Verhaltenskodexes zweifelsohne verbessern und an Reife gewinnen.  

Um alle in der Verordnung festgelegten Anforderungen zu erfüllen, müssen die Finanzunternehmen ihre bestehenden Verfahren, Instrumente und Standardpraktiken in Bezug auf das IKT-Risikomanagement und die Einbeziehung von IKT-Drittdienstleistern umfassend bewerten.

Welche Firmen sind von DORA betroffen?

Zu den Firmen, die in den Geltungsbereich von DORA fallen, gehören:

  • Kreditinstitute, Zahlungsinstitute, E-Geld-Institute,
  • Wertpapierfirmen und Wertpapierverwahrer
  • Anbieter von Krypto-Asset-Dienstleistungen
  • Handelsplattformen
  • Verwalter von alternativen Investmentfonds und Verwaltungsgesellschaften
  • Anbieter von Datenübermittlungsdiensten
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungs-, Rückversicherungs- und Versicherungsnebenkostenvermittler
  • Einrichtungen der betrieblichen Altersversorgung
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter kritischer Benchmarks
  • Anbieter von Crowdfunding-Dienstleistungen

Standpunkt der Wertpapierdienste

DORA ist ein wichtiger Baustein in der Entwicklung der Finanzmärkte hin zur Digitalisierung. Die europäischen Finanzmärkte für das digitale Zeitalter fit zu machen, bedeutet, dass angemessene Schutzvorkehrungen getroffen werden sollten, um einen soliden Markt zu fördern und allen Teilnehmern, die an der digitalen Revolution teilhaben wollen, Sicherheit und Vertrauen zu geben.

Daher werden die in der DORA enthaltenen Regeln wahrscheinlich ein Gleichgewicht zwischen der ständig zunehmenden Gefährdung durch IKT-Risiken und Cyber-Bedrohungen schaffen, die sich aus der wachsenden Abhängigkeit von der Technologie ergeben.  

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.