Kontakt
Kontakt

Schlagwort: DORA

ISACA: BarCamp (hybrid) der Fachgruppe IT-Revision am 14.12 in Frankfurt

Am 14. Dezember 2022 veranstaltet unsere Fachgruppe IT-Revision ein BarCamp, zu dem alle ISACA-Mitglieder und andere interessierte Personen herzlich eingeladen sind. Das BarCamp findet in Frankfurt am Main bei der Advisori FTC GmbH (Kaiserstraße 44, 60329 Frankfurt am Main) sowie auch online statt.

WAS IST EIN BARCAMP?

Ein BarCamp (auch Unkonferenz) ist eine Tagung mit offenen Workshops. Die Inhalte der Workshops und deren Ablauf werden von den Teilnehmern zu Beginn der Tagung selbst entwickelt und im weiteren Verlauf gestaltet.

BarCamps dienen dem inhaltlichen Austausch und der Diskussion, können teilweise aber auch bereits am Ende der Veranstaltung konkrete Ergebnisse vorweisen.

MÖGLICHE THEMEN DES BARCAMPS:

1. Testing mit Künstlicher Intelligenz
2. Regulatorik am Beispiel DORA (Digital Operational Resilience Act)
3. ESG (Environment, Social, Governance) im IT-Umfeld
4. Web3 / Metaverse / Crypto / NFT  
5. Prüfung von Office 365 (Cloud)  

Bitte beachten Sie, dass diese Liste nur eine Themenauswahl darstellt und wir – abhängig von den Anmeldezahlen – nur 3 Workshops davon halten werden.

ABLAUF:

15:30-15:40 Begrüßung
15:40-16:00 Vorstellung aktueller Themen der Fachgruppe
16:00-18:30 Breakout Sessions/Workshops (inkl. 10 Min. Pause) zu o. g. Themen
18:30-19:20 Vorstellung der Ergebnisse
19:20-19:30 Verabschiedung

ANMELDUNG:

Melden Sie sich bitte über den obigen Link auf der Website der Fachgruppe bei der ISACA an.

Gesetze und Verordnungen: DORA – Digital Operational Resilience Act

Die Europäische Kommission hat im September 2020 einen Vorschlag für eine Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors vorgelegt, der gemeinhin als Digital Operational Resilience Act (DORA) bezeichnet wird.

Das Gesetz über die digitale operationelle Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) fördert ein gemeinsames Paket von Regeln und Standards, um die Risiken der Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen zu mindern. Eines der Ziele von DORA ist es, eine zunehmende Fragmentierung der für das IKT-Risikomanagement geltenden Vorschriften zu verhindern.

Darüber hinaus ist die Europäische Kommission der Ansicht, dass die Finanzunternehmen, die in den Anwendungsbereich von DORA fallen, nicht alle gleichermaßen IKT-Risiken ausgesetzt sind. Vielmehr können verschiedene Faktoren wie die Größe eines Unternehmens, seine Funktionen oder sein Geschäftsprofil seine Gefährdung durch IKT-Risiken beeinflussen.

Über DORA – Digital Operational Resilience Act

Der Digital Operational Resilience Act wird in der gesamten Europäischen Union (EU) direkt gelten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Damit wird zum ersten Mal eine einheitliche Anwendung von Grundsätzen und Regeln für das IKT-Risikomanagement im Finanzsektor erreicht.

Die Verordnung wird voraussichtlich Ende 2024 in Kraft treten, vorbehaltlich der Annahme von Stufe-2-Maßnahmen. Das Stufe-2-Mandat ist im Zusammenhang mit DORA wichtig, da bestimmte kritische Elemente abgedeckt werden sollen (z. B. RTS zu IKT-Vorfällen und zur Klassifizierung von Cyber-Bedrohungen, RTS zur Meldung größerer IKT- und Cyber-Vorfälle an die Behörden, RTS zu wichtigen Vertragsbestimmungen).

Die fünf Säulen von DORA

1. DORA und IKT-Risikomanagement

Die Finanzunternehmen müssen über interne Verwaltungs- und Kontrollrahmen verfügen, die ein wirksames und umsichtiges Management aller IKT-Risiken[1] gewährleisten, um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen.

Die Finanzunternehmen müssen darauf vorbereitet sein, Risiken zu managen, die insbesondere von der Entscheidung über die Erbringung von Dienstleistungen bis hin zur Mitteilung eines potenziellen größeren IKT-bezogenen Vorfalls reichen. Die Einhaltung aller IKT-Risikomanagementverpflichtungen wird jedoch vom Profil des Unternehmens abhängen. DORA ermöglicht es kleinen und nicht miteinander vernetzten Akteuren, einen vereinfachten IKT-Risikomanagement-Rahmen einzuhalten.

2. Prävention von IKT-Risiken im Rahmen von DORA

Als Teil ihres Rahmens für die Steuerung und Kontrolle von IKT-Risiken müssen die Finanzunternehmen aktualisierte Systeme, Protokolle und Instrumente verwenden und pflegen. Außerdem müssen sie alle IKT-bezogenen Geschäftsfunktionen, Risiken, Systemkonten sowie alle Prozesse, die von IKT-Drittanbietern abhängig sind, identifizieren, klassifizieren und angemessen dokumentieren.

Die Umsetzung von Sicherheitsstrategien, -richtlinien und -protokollen mit dem Ziel, die Widerstandsfähigkeit und Kontinuität von IKT-Systemen zu gewährleisten, ist ebenfalls von zentraler Bedeutung für den Schutz und die Prävention von IKT-Risiken. Die DORA verlangt daher von den Finanzunternehmen, dass sie geeignete Sicherheitsstrategien und -maßnahmen entwickeln, beschaffen und umsetzen und in der Lage sind, anomale Aktivitäten zu erkennen.

3. Kontinuität und effiziente Wiederherstellung unter DORA

Das Digital Operational Resilience Act enthält die Verpflichtung, eine spezielle und umfassende IKT-Business-Continuity-Strategie einzuführen, die ein integraler Bestandteil der operativen Business-Continuity-Strategie der Finanzunternehmen ist. Eine solche Politik sollte insbesondere darauf abzielen, Schäden durch Zwischenfälle zu begrenzen und die Kontinuität der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen.

Um eine effiziente Wiederherstellung der IKT-Systeme und eine Begrenzung der Auswirkungen von Störungen zu gewährleisten, müssen die Finanzunternehmen auch Backup-Strategien und Wiederherstellungsmethoden entwickeln.

Im Falle erheblicher IKT-Störungen müssen die Finanzunternehmen Vorfallprüfungen durchführen, um die Ursachen zu analysieren und Verbesserungen zu ermitteln.

4. Meldung von IKT-bezogenen Vorfällen gemäß DORA

Als Teil ihres Prozesses zum Management von IKT-bezogenen Vorfällen müssen Finanzunternehmen einen Managementprozess zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen definieren, einrichten und umsetzen.

IKT-bezogene Vorfälle werden klassifiziert, und die Finanzinstitute müssen die Auswirkungen eines jeden Vorfalls bestimmen. Zu diesem Zweck müssen die Finanzinstitute Folgendes berücksichtigen

  • Die Anzahl der von einem Vorfall betroffenen Nutzer/Finanzkontrahenten
    • Die Dauer des Vorfalls
    • Die geografische Ausbreitung
    • die Datenverluste, die der Vorfall mit sich bringt
    • die Kritikalität der betroffenen Dienste
    • die wirtschaftlichen Auswirkungen

Größere IKT-bezogene Vorfälle müssen der zuständigen Behörde unter Verwendung standardisierter Meldeformulare zeitnah gemeldet werden.

5. Prüfung der digitalen operativen Belastbarkeit

Als Teil des Rahmens für das IKT-Risikomanagement müssen die Finanzinstitute ein solides und umfassendes Testprogramm für die digitale operationelle Belastbarkeit einrichten, aufrechterhalten und regelmäßig überprüfen. Ziel ist es, Schwachstellen, Mängel oder Lücken in ihrer digitalen operativen Belastbarkeit zu bewerten und zu ermitteln und in der Lage zu sein, umgehend Korrekturmaßnahmen zu ergreifen.

Die IKT-Systeme und -Werkzeuge werden regelmäßigen Tests und erweiterten Tests unterzogen, die von unabhängigen Parteien (intern oder extern) durchgeführt werden. Die Häufigkeit dieser Tests kann je nach Risikoprofil und Umständen des betreffenden Finanzinstituts variieren.

Management von IKT-Drittrisiken

Das Management von IKT-Drittrisiken ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

DORA definiert eine Reihe von Schlüsselprinzipien für Finanzunternehmen, um ein solides Management von IKT-Drittrisiken zu erreichen und eine solide Vertragsbeziehung mit IKT-Drittdienstleistern einzugehen.

Das Digital Operational Resilience Act enthält Elemente, die sich auf die Auswahl von IKT-Drittdienstleistern (mit vorheriger Due Diligence), wichtige Vertragsbestimmungen, die in Vereinbarungen mit IKT-Drittdienstleistern enthalten sein müssen (einschließlich Kündigungsereignisse und Ausstiegsstrategien), sowie laufende Kontrollen und die Aufsicht über kritische IKT-Drittdienstleister beziehen.

Informationsaustausch im Rahmen von DORA

DORA fördert Vereinbarungen zum Informationsaustausch zwischen Finanzunternehmen, um die digitale operative Widerstandsfähigkeit zu verbessern, insbesondere durch die Sensibilisierung für Informationen und Erkenntnisse über Cyber-Bedrohungen, einschließlich Indikatoren für eine Kompromittierung, Taktiken und Cybersicherheitswarnungen.

Vereinbarungen über den Informationsaustausch müssen zwischen vertrauenswürdigen Gemeinschaften von Finanzunternehmen geschlossen werden und die Sensibilität der ausgetauschten Informationen schützen, wobei die geltenden Vertraulichkeitsregeln und die Grundsätze des Schutzes personenbezogener Daten einzuhalten sind.

Auswirkungen von DORA auf die Branche

DORA ist ein integraler Bestandteil des digitalen Finanzpakets. Die Finanzunternehmen müssen die Bestimmungen und Anforderungen der DORA innerhalb von 24 Monaten nach Inkrafttreten der Verordnung erfüllen. Das Management von Cybersicherheitsrisiken wird sich mit der harmonisierten und allgemeinen Anwendung der DORA-Anforderungen und des Verhaltenskodexes zweifelsohne verbessern und an Reife gewinnen.  

Um alle in der Verordnung festgelegten Anforderungen zu erfüllen, müssen die Finanzunternehmen ihre bestehenden Verfahren, Instrumente und Standardpraktiken in Bezug auf das IKT-Risikomanagement und die Einbeziehung von IKT-Drittdienstleistern umfassend bewerten.

Welche Firmen sind von DORA betroffen?

Zu den Firmen, die in den Geltungsbereich von DORA fallen, gehören:

  • Kreditinstitute, Zahlungsinstitute, E-Geld-Institute,
  • Wertpapierfirmen und Wertpapierverwahrer
  • Anbieter von Krypto-Asset-Dienstleistungen
  • Handelsplattformen
  • Verwalter von alternativen Investmentfonds und Verwaltungsgesellschaften
  • Anbieter von Datenübermittlungsdiensten
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungs-, Rückversicherungs- und Versicherungsnebenkostenvermittler
  • Einrichtungen der betrieblichen Altersversorgung
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter kritischer Benchmarks
  • Anbieter von Crowdfunding-Dienstleistungen

Standpunkt der Wertpapierdienste

DORA ist ein wichtiger Baustein in der Entwicklung der Finanzmärkte hin zur Digitalisierung. Die europäischen Finanzmärkte für das digitale Zeitalter fit zu machen, bedeutet, dass angemessene Schutzvorkehrungen getroffen werden sollten, um einen soliden Markt zu fördern und allen Teilnehmern, die an der digitalen Revolution teilhaben wollen, Sicherheit und Vertrauen zu geben.

Daher werden die in der DORA enthaltenen Regeln wahrscheinlich ein Gleichgewicht zwischen der ständig zunehmenden Gefährdung durch IKT-Risiken und Cyber-Bedrohungen schaffen, die sich aus der wachsenden Abhängigkeit von der Technologie ergeben.  

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.

Gesetze und Verordnungen: Cybersecurity im Finanzsektor – Vorläufige Einigung über DORA erzielt

Angesichts der immer größer werdenden Risiken von Cyberangriffen stärkt die EU die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. Gestern Abend erzielten die Ratspräsidentschaft und das Europäische Parlament eine vorläufige Einigung über den Digital Operational Resilience Act (DORA), der sicherstellen soll, dass der Finanzsektor in Europa in der Lage ist, seine Operationen auch bei einer schweren Betriebsstörung aufrechtzuerhalten.

DORA legt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten fest, die ihnen IKT (Informations- und Kommunikationstechnologien)-bezogene Dienste zur Verfügung stellen, wie etwa Cloud-Plattformen oder Datenanalysedienste. Die DORA schafft einen Rechtsrahmen für die digitale operationelle Widerstandsfähigkeit, wobei alle Unternehmen sicherstellen müssen, dass sie allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können. Diese Anforderungen sind in allen EU-Mitgliedstaaten einheitlich. Das Hauptziel besteht darin, Cyber-Bedrohungen zu verhindern und abzuschwächen.

Nach der vorläufigen Einigung werden die neuen Vorschriften einen sehr robusten Rahmen bilden, der die IT-Sicherheit des Finanzsektors erhöht. Die von den Finanzunternehmen verlangten Anstrengungen werden im Verhältnis zu den potenziellen Risiken stehen.

Nahezu alle Finanzunternehmen werden den neuen Vorschriften unterworfen sein. Im Rahmen der vorläufigen Einigung werden Wirtschaftsprüfer nicht der DORA unterliegen, aber Teil einer zukünftigen Überprüfung der Verordnung sein, bei der eine mögliche Überarbeitung der Regeln untersucht werden kann.

Kritische IKT-Dienstleister aus Drittländern, die für Finanzunternehmen in der EU tätig sind, müssen eine Tochtergesellschaft in der EU gründen, damit die Aufsicht ordnungsgemäß durchgeführt werden kann.

Hinsichtlich des Aufsichtsrahmens einigten sich die Mitgesetzgeber auf ein zusätzliches gemeinsames Aufsichtsnetz, das die Koordinierung zwischen den europäischen Aufsichtsbehörden in diesem sektorübergreifenden Bereich verstärken wird.

Die vorläufige Vereinbarung sieht vor, dass Penetrationstests in einem funktionierenden Modus durchgeführt werden, wobei die Möglichkeit besteht, mehrere Behörden der Mitgliedstaaten in die Testverfahren einzubeziehen. Der Einsatz interner Prüfer wird nur unter bestimmten, streng begrenzten Bedingungen möglich sein, die an Schutzmaßnahmen geknüpft sind.

Was das Zusammenspiel von DORA mit der Richtlinie über Netz- und Informationssicherheit (NIS) betrifft, so werden die Finanzunternehmen im Rahmen der vorläufigen Einigung volle Klarheit über die verschiedenen Vorschriften zur digitalen operationellen Widerstandsfähigkeit haben, die sie einhalten müssen, insbesondere für diejenigen Finanzunternehmen, die mehrere Zulassungen besitzen und auf verschiedenen Märkten innerhalb der EU tätig sind. Die NIS-Richtlinie gilt weiterhin. DORA baut auf der NIS-Richtlinie auf und regelt mögliche Überschneidungen durch eine lex specialis-Ausnahme.

Die gestern Abend erzielte vorläufige Einigung muss noch vom Rat und vom Europäischen Parlament gebilligt werden, bevor das förmliche Annahmeverfahren eingeleitet wird.

Sobald der DORA-Vorschlag formell angenommen ist, wird er von jedem EU-Mitgliedstaat in ein Gesetz umgesetzt. Die zuständigen Europäischen Aufsichtsbehörden (ESAs), wie die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapieraufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), werden dann technische Standards entwickeln, an die sich alle Finanzdienstleistungsinstitute halten müssen, von Banken über Versicherungen bis hin zur Vermögensverwaltung. Die jeweils zuständigen nationalen Behörden werden die Einhaltung der Vorschriften überwachen und die Verordnung erforderlichenfalls durchsetzen.

Hintergrund

Die Kommission legte den DORA-Vorschlag am 24. September 2020 vor. Er ist Teil des umfassenderen Pakets für digitale Finanzen, mit dem ein europäischer Ansatz entwickelt werden soll, der die technologische Entwicklung fördert und die Finanzstabilität und den Verbraucherschutz gewährleistet. Neben dem DORA-Vorschlag enthält das Paket eine Strategie für das digitale Finanzwesen, einen Vorschlag zu Märkten für Krypto-Assets (MiCA) und einen Vorschlag zur Distributed-Ledger-Technologie (DLT).

Dieses Paket schließt eine Lücke in der bestehenden EU-Gesetzgebung, indem es sicherstellt, dass der derzeitige Rechtsrahmen keine Hindernisse für die Nutzung neuer digitaler Finanzinstrumente darstellt und gleichzeitig gewährleistet, dass solche neuen Technologien und Produkte in den Anwendungsbereich der Finanzregulierung und der Vorkehrungen für das operative Risikomanagement von in der EU tätigen Unternehmen fallen. Somit zielt das Paket darauf ab, Innovationen und die Einführung neuer Finanztechnologien zu fördern und gleichzeitig ein angemessenes Niveau des Verbraucher- und Anlegerschutzes zu gewährleisten.

Der Rat nahm sein Verhandlungsmandat zu DORA am 24. November 2021 an. Die Trilogverhandlungen zwischen den Mitgesetzgebern begannen am 25. Januar 2022 und endeten mit der gestern erzielten vorläufigen Einigung.

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.

Original-Mitteilung des European Council: Digital finance: Provisional agreement reached on DORA – Consilium (europa.eu)