Was ist das Gesetz zur digitalen operationalen Resilienz?
Das „Digital Operational Resilience Act“ harmonisiert die Regeln für die operationale Resilienz des Finanzsektors, die für 20 verschiedene Arten von Finanzinstituten und IKT-Drittdienstleistern gelten und schätzungsweise 22.000 Organisationen in der Europäischen Union betreffen.
DORA zielt darauf ab, die IT-Sicherheit von Finanzinstituten wie Banken, Versicherungen und Wertpapierfirmen zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts der zunehmenden Zahl und Schwere von Cyberangriffen widerstandsfähig ist. Die neue Verordnung verpflichtet Finanzinstitute und ihre kritischen IKT-Lieferanten, vertragliche, organisatorische und technische Maßnahmen zu ergreifen, um die digitale operationale Resilienz des Sektors zu verbessern.
DORA trat am 16. Januar 2023 in Kraft und gilt ab dem 17. Januar 2025 für alle 27 EU-Mitgliedstaaten.
Verordnung | Jetzt aktiv
DORA ist in fünf Säulen gegliedert, von denen jede einzelne dazu dient, bestimmte Aspekte der digitalen operationalen Resilienz von Finanzdienstleistungen zu stärken.
- IKT-Risikomanagement und -Governance: DORA überträgt der Geschäftsleitung und den Vorstandsmitgliedern die Verantwortung für die Festlegung, Umsetzung und Aufrechterhaltung eines Rahmens für das IKT-Risikomanagement, um wirksam für eine größere digitale operationale Resilienz zu sorgen. DORA schreibt vor, dass Finanzinstitute über einen internen Verwaltungs- und Kontrollrahmen verfügen müssen, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet.
- Meldung von Vorfällen: Finanzdienstleister müssen Systeme zur Überwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen einrichten, um Angriffe zu bewerten, die Auswirkungen auf Kunden und Betrieb zu mindern und den Behörden zu melden.
- Prüfung der digitalen operationalen Resilienz: Die Finanzinstitute müssen jährlich ein umfassendes Programm zur Prüfung der digitalen operationalen Resilienz einführen und durchführen. DORA legt außerdem fest, dass Finanzinstitute gegebenenfalls die Einbeziehung von IKT-Drittanbietern in ihre Tests zur digitalen operationalen Resilienz sicherstellen müssen.
- IKT-Drittparteienrisiko: Einer der Hauptschwerpunkte von DORA ist das IKT-Drittparteienrisiko und seine Rolle bei der Risikominderung. Finanzinstitute sind in hohem Maße auf externe IKT-Anbieter angewiesen, die sich möglicherweise außerhalb der EU befinden, wie z. B. verschiedene Cloud-Anbieter. Folglich müssen Finanzinstitute das IKT-Drittparteienrisiko als integralen Bestandteil in ihr IKT-Risikomanagement einbeziehen.
- Informationsaustausch: DORA fördert zudem den freiwilligen Austausch von Informationen über Cyberbedrohungen und Erkenntnisse, um die digitale operationale Resilienz der Branche zu verbessern.
Die DORA-Verordnung gilt für ein umfassendes Spektrum von Finanzdienstleistern, unter anderem Banken, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen und Anbieter von Krypto-Assets. Eine zentrale Bedeutung von DORA besteht in der Definition kritischer IKT-Dienstleistungen für Finanzinstitute. Wenn ein Unternehmen kritische IKT-Dienstleistungen für ein Finanzinstitut anbietet, unterliegt es der direkten Regulierungsaufsicht im Rahmen der DORA-Verordnung. Dazu gehören zum Beispiel Cloud-Plattformen und Datenanalysedienste, auch wenn sie außerhalb der EU angesiedelt sind.
DORA ist eine EU-Verordnung, was bedeutet, dass sie ab dem 17. Januar 2025 in der EU geltendes Recht ist. Anders als eine EU-Richtlinie muss DORA nicht in die nationale Gesetzgebung der einzelnen EU-Mitgliedstaaten übersetzt werden. Die Nichteinhaltung der DORA-Bestimmungen ist mit strengen Strafen verbunden:
- Finanzinstitute, die gegen DORA verstoßen, können mit Geldbußen von bis zu zwei Prozent ihres gesamten weltweiten Jahresumsatzes oder, im Falle einer Einzelperson, mit einer Höchststrafe von 1.000.000 EUR belegt werden. Die Höhe der Geldbuße hängt von der Schwere des Verstoßes und der Kooperationsbereitschaft des Finanzinstituts mit den Behörden ab.
- Drittanbieter von IKT-Dienstleistungen, die von den europäischen Aufsichtsbehörden als „kritisch“ eingestuft werden, können bei Nichteinhaltung der DORA mit Geldbußen von bis zu 5.000.000 EUR oder, im Falle einer Einzelperson, mit einer Höchststrafe von 500.000 EUR belegt werden. Die ESAs werden befugt sein, diese Geldbußen zu verhängen.
Whitepaper
Gesetz zur digitalen operationalen Resilienz (Digital Operational Resilience Act – DORA)
Entdecken Sie Lösungen für die Einhaltung der DORA-Vorschriften im Finanzsektor, die das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT), die Meldung von Vorfällen und vieles mehr umfassen.
Wie Thales bei der Einhaltung der DORA-Verordnung hilft
Die Lösungen von Thales können Finanzinstituten und Drittanbietern von Informations- und Kommunikationstechnologien dabei helfen, die DORA-Verordnung einzuhalten, indem sie die Erfüllung der Vorgaben vereinfachen und die Sicherheit automatisieren, wodurch die Belastung der Sicherheits- und Compliance-Teams verringert wird. Wir unterstützen Sie bei der Erfüllung wesentlicher Anforderungen an das Cybersecurity-Risikomanagement gemäß Artikel 8, 9, 10, 11, 19 und 28 der Verordnung, die das IKT-Risikomanagement und die Governance, die Berichterstattung über Vorfälle und das IKT-Risikomanagement für Dritte betreffen.
Wir bieten umfassende Cyber-Sicherheitslösungen in drei Schlüsselbereichen der Cyber-Sicherheit: Anwendungssicherheit, Datensicherheit sowie Identitäts- und Zugriffsverwaltung.
Lösungen zur NIS-2-Compliance
Anwendungssicherheit
Schützen Sie Anwendungen und APIs in großem Umfang in der Cloud, lokal oder in einem Hybridmodell. Unsere marktführende Produktsuite umfasst eine Web Application Firewall (WAF), Schutz vor Distributed Denial of Service (DDoS) und bösartigen BOT-Angriffen, Sicherheit für APIs, ein sicheres Content Delivery Network (CDN) und Runtime Application Self-Protection (RASP).
Datensicherheit
Erkennen und klassifizieren Sie sensible Daten in der gesamten hybriden IT und schützen Sie sie automatisch an jedem Ort, ob at Rest, in Motion oder in Use, mithilfe von Verschlüsselungs-Tokenisierung und Schlüsselverwaltung. Die Lösungen von Thales identifizieren, bewerten und priorisieren zudem potenzielle Risiken sowie anomales Verhalten für eine genaue Risikobewertung und überwachen Aktivitäten zur Überprüfung der Einhaltung von Vorschriften, sodass Unternehmen priorisieren können, wo sie ihre Anstrengungen konzentrieren.
Identitäts- und Zugriffsverwaltung
Bieten Sie Kunden, Mitarbeitern und Partnern einen nahtlosen, sicheren und vertrauenswürdigen Zugriff auf Anwendungen und digitale Dienste. Unsere Lösungen beschränken den Zugriff interner und externer Benutzer rollen- und kontextbezogen mit fein abgestimmten Zugriffsrichtlinien und Multi-Faktor-Authentifizierung, um sicherzustellen, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält.
Whitepaper
Sicherstellung der digitalen operationalen Resilienz mit Thales Data Protection on Demand
Ein umfassender Leitfaden zur Nutzung von Schlüsselverwaltung, Verschlüsselung und HSMs für die DORA-Konformität mit Data Protection on Demand (DPOD).
Wichtige DORA-Anforderungen umsetzen
So unterstützt Thales Ihr Unternehmen:
- Ermittlung und Klassifizierung potenzieller Risiken für alle öffentlichen, privaten und Schatten-APIs.
- Identifizieren Sie strukturierte und unstrukturierte sensible Data-at-Risk on-premises und in der Cloud.
- Ermitteln Sie den aktuellen Stand der Compliance, dokumentieren Sie Lücken und zeigen Sie einen Weg zur vollständigen Compliance auf.
So unterstützt Thales Ihr Unternehmen:
- Verschlüsseln Sie Data-at-Rest on-premises, in Clouds und in Big-Data- oder Container-Umgebungen.
- Pseudonymisierung sensibler Daten in Datenbanken.
- Schutz von Data-in-Motion mit High-Speed-Verschlüsselung.
- Vollständige Transparenz über alle Aktivitäten mit sensiblen Daten, Verfolgung, wer Zugriff hat, Prüfung ihrer Aktivitäten und Dokumentation dieser Aktivitäten.
So unterstützt Thales Ihr Unternehmen:
- Erkennung und Verhinderung von Cyber-Bedrohungen mit einer Web Application Firewall und dadurch die Gewährleistung eines reibungslosen Betriebs sowie von Sorgenfreiheit.
- Schutz kritischer Netzwerkressourcen vor DDoS-Angriffen und schädlichen Bots bei gleichzeitiger Zulassung des legitimen Datenverkehrs.
- Überwachung der Datenaktivität für strukturierte und unstrukturierte Daten in Cloud- und On-Premise-Systemen.
So unterstützt Thales Ihr Unternehmen:
- Beschränkung des Zugriffs interner und externer Benutzer auf Systeme und Daten rollen- und kontextbezogen mithilfe von Richtlinien.
- Anwendung kontextbezogener Sicherheitsmaßnahmen auf der Grundlage von Risikobewertungen.
- Einsatz von Smartcards für den physischen Zugriff auf sensible Einrichtungen.
So unterstützt Thales Ihr Unternehmen:
- Ermöglichen Sie die Multi-Faktor-Authentifizierung (MFA) mit einer breiten Palette von Hardware- und Softwaremethoden und Formfaktoren.
- Erstellung und Bereitstellung adaptiver Authentifizierungsrichtlinien basierend auf der Sensibilität der Daten/Anwendung.
So unterstützt Thales Ihr Unternehmen:
- Schutz von kryptographischen Schlüsseln in einer Umgebung gemäß FIPS 140-2 Level 3.
- Optimieren Sie die Schlüsselverwaltung in Cloud- und On-Premise-Umgebungen.
So unterstützt Thales Ihr Unternehmen:
- Automatischer Abgleich von Produktionsänderungen.
- Schwachstellenbewertung und Risikominderung.
- Erkennen von Änderungen in Schemata der Datenschicht.
- Genehmigungsverfahren für Änderungen auf Produktionsebene.
So unterstützt Thales Ihr Unternehmen:
- Erkennung und Verhinderung von Cyber-Bedrohungen mit einer Web Application Firewall und dadurch die Gewährleistung eines reibungslosen Betriebs sowie von Sorgenfreiheit.
- Schutz der Leistungsfähigkeit und Integrität des ICT-Netzwerks vor DDoS-Angriffen und schädlichen Bots bei gleichzeitiger Ermöglichung des legitimen Datenverkehrs.
So unterstützt Thales Ihr Unternehmen:
- Überwachung der Datenaktivität für strukturierte und unstrukturierte Daten in Cloud- und On-Premise-Systemen.
- Erstellung von Prüfpfaden und Berichten über alle Zugriffsereignisse auf alle Systeme, Übermittlung von Protokollen an externe SIEM-Systeme.
So unterstützt Thales Ihr Unternehmen:
- Abwehr von DDoS-Angriffen in nur drei Sekunden.
- Implementierung von Präventionsmaßnahmen, um Krisensituationen vorherzusagen und zu vermeiden.
So unterstützt Thales Ihr Unternehmen:
- Aufbewahrung der Aufzeichnungen von einem Jahr mit sofortigem Zugriff für detaillierte Recherchen und Untersuchungen. Audit-Daten werden automatisch archiviert, bleiben aber für Abfragen und Berichte in Sekundenschnelle verfügbar.
So unterstützt Thales Ihr Unternehmen:
- Reduzierung des Drittparteienrisikos durch Beibehaltung der Kontrolle über kryptographische Schlüssel zum Schutz der in der Cloud gehosteten Daten on-premises.
- Sicherstellung einer vollständigen Rollentrennung zwischen den Administratoren des Cloud-Anbieters und Ihres Unternehmens und Beschränkung des Zugriffs auf sensible Daten.
- Überwachung und Meldung von Anomalien zur Erkennung und Verhinderung unerwünschter Aktivitäten, die die Lieferkette stören könnten.
- Ermöglichung des Beziehungsmanagements mit Lieferanten, Partnern oder anderen Drittnutzern; mit klarer Delegierung der Zugriffsrechte.
- Minimierung der Berechtigungen durch den Einsatz beziehungsbasierter, fein abgestimmter Autorisierung.
Lösungen:
Datensicherheit
Schlüsselverwaltung in der Cloud
Überwachung der Datenaktivität
Identitäts- und Zugriffsverwaltung
Weitere Ressourcen
Weitere wichtige Datenschutz- und Sicherheitsverordnungen
PCI HSM
MANDAT | JETZT AKTIV
Die PCI-HSM-Spezifikation definiert eine Reihe von logischen und physischen Sicherheitsstandards für HSMs speziell für die Zahlungsindustrie. Die PCI-HSM-Konformitätszertifizierung setzt die Einhaltung dieser Standards voraus.
DORA
VERORDNUNG | JETZT AKTIV
DORA hat zum Ziel, die IT-Sicherheit von Finanzinstituten zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts des zunehmenden Umfangs und der Schwere von Cyber-Angriffen widerstandsfähig ist.
Gesetze zur Meldepflicht von Datenschutzverletzungen
VERORDNUNG | JETZT AKTIV
Weltweit haben Länder Verordnungen zur Meldung von Datenschutzverletzungen nach dem Verlust personenbezogener Daten erlassen. Diese Verordnungen variieren von Land zu Land, enthalten aber fast immer eine „Safe Harbor“-Klausel.
GLBA
VERORDNUNG | JETZT AKTIV
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Daten zu erklären und sensible Daten zu schützen.