DORA macht ernst – Folgen für Data Protection und Cyber Resilienz
Finanzdienstleister müssen dank DORA ihre Robustheit unter Beweis stellen, um angesichts strenger Vorschriften und Cyberbedrohungen konform und widerstandsfähig zu bleiben.
Der Digital Operational Resilience Act (DORA) trat am 17. Januar 2025 in Kraft. DORA enthält umfassende Richtlinien und einen detaillierten Rechtsrahmen, der festlegt, wie alle in der EU tätigen Finanzunternehmen die Datenresilienz gegen ungeplante Störungen sicherstellen. DORA erkennt auch die von Cybersicherheitsexperten allgemein akzeptierte Tatsache an, dass es nicht mehr darum geht, ob ein Cyberangriff stattfindet, sondern wann. Diese wichtige EU-Gesetzgebung bringt ein neues Maß an Strenge und Rechenschaftspflicht in die Finanzdienstleistungsbranche, die sich weiterentwickeln wird, um die Stabilität des EU- und globalen Finanzökosystems zu sichern.
Pure Storage (Webseite), Anbieter von Lösungen für Data Management und Cyber Resilienz, analysiert den Status Quo und geht dabei vor allem auf die Themen Data Protection und Data Management ein.
Viele Sektoren der Finanzdienstleistungsbranche, die über traditionelle Banken und Kreditinstitute hinausgehen, fallen nun unter die DORA-Vorschriften. Hierzu zählen Zahlungsanbieter, Investmentfirmen, Handelsplätze, Versicherungsanbieter sowie Drittanbieter von Informations- und Kommunikationstechnologie (IKT). Branchen, für die diese Regulierungsstufe neu ist, könnten Schwierigkeiten haben, die Vorschriften einzuhalten, wie der DORA-„Dry Run“ der europäischen Finanzaufsichtsbehörden zeigt. Sie werden wahrscheinlich auch mit einer zusätzlichen Prüfung durch vernetzte Kunden, Partner und andere Interessengruppen als neues operationelles Risiko konfrontiert sein. Die Nichteinhaltung bedeutet nicht mehr nur das Potenzial für eine sehr hohe Geldstrafe, sondern auch einen Reputationsschaden und eine Haftung für ein Unternehmen, seine Direktoren und seine Partner.
Es bleibt abzuwarten, wie schnell die Finanzaufsichtsbehörden handeln werden, aber DORA stellt eine Verschiebung von Richtlinien für „Data Readiness“ und Cyber-Resilienz hin zu deren Durchsetzung dar. DORA ist umfassend, was die EU-Finanzregulierung der Informationstechnologie erheblich erweitert. Dieser Umfang könnte die europäischen Finanzaufsichtsbehörden, denen es an unbegrenztem Fachwissen und Ressourcen mangelt, vor die Herausforderung stellen, alle Aspekte von DORA sofort durchzusetzen. Daher werden die Aufsichtsbehörden wahrscheinlich einen gezielten Ansatz verfolgen und sich auf die kritischsten und sichtbarsten Bereiche der Nichteinhaltung konzentrieren.
Was Finanzunternehmen priorisieren
Eine der obersten Prioritäten für die Einhaltung von DORA ist die Einreichung genauer und technisch konformer Informationsregister. Finanzaufsichtsbehörden haben betont, dass Register ein Schwerpunkt der Durchsetzung sein werden, und sie erwarten, dass Unternehmen sie Anfang 2025 einreichen. Die Einreichung eines genauen Registers, das die wichtigsten IT-Anbieter auflistet, kann vorteilhafter sein als die Einreichung unvollständiger Informationen über alle IT-Anbieter.
Für Datenschutzbeauftragte und CIOs ist DORA ein Aufruf zum Handeln, um Altsysteme zu überprüfen und zu überlegen, ob sie den heutigen Cyberbedrohungen standhalten und die für eine effiziente und schnelle Wiederherstellung von Diensten erforderliche Leistung erbringen können.
Neben der Identifizierung und Zuordnung von Schlüsselsystemen, Anwendungen und Workloads zu den jeweiligen IKT-Anbietern sollten Unternehmen sorgfältig die Kernfähigkeiten prüfen, die diese Systeme schützen, verteidigen und wiederherstellen. Zu den kritischen Fähigkeiten gehören nach Meinung von Pure Storage:
- Datenschutz und Cyber-Recovery: Schnelle Wiederherstellungsfunktionen sind unter DORA unerlässlich, um die betrieblichen Auswirkungen eines Angriffs zu minimieren. Bei kritischen Systemen (z. B. Zahlungen) ist die Wiederherstellung mithilfe speicherbasierter unveränderlicher Snapshots die einzige Möglichkeit, die strengsten, ultrakurzen Wiederherstellungszeitziele zu erreichen, die von den Vorschriften zur betrieblichen Ausfallsicherheit gefordert werden. Diese Snapshots sollten sicher in einem isolierten (oder virtuellem Air-Gap-separiertem) Speicher aufbewahrt werden.
- Frühzeitige Bedrohungserkennung: Die frühzeitige Erkennung und Beseitigung potenzieller Cyberbedrohungen ist ein wichtiger Aspekt des Datenschutzes und der Bereitschaft zur Widerstandsfähigkeit. Die Fähigkeit, Daten kontinuierlich zu scannen, um Anomalien zu erkennen und Bedrohungen wie Ransomware und Malware in Echtzeit zu identifizieren und die Behebung zu automatisieren, ist für eine schnellere Eindämmung eines Angriffs unerlässlich.
- Isolierte Wiederherstellungsumgebungen oder Reinräume für Resilienz-Tests: Dies betrifft die Einrichtung einer vollständig eigenständigen, isolierten Wiederherstellungsumgebung. Darin können Daten für forensische und Anwendungsanalysen wiederhergestellt und als sauber validiert werden, bevor sie wieder in die Produktion zurückkehren, was die Wiederherstellung beschleunigt. IREs (Isolated Recovery Environments) ermöglichen es Unternehmen auch, Cyber-Recovery-Praktiken kontinuierlich zu testen und zu verbessern, um die Bereitschaft des Unternehmens zu gewährleisten.
- Skalierbarkeit und Leistung: Unternehmen werden ihre Dienstleistungen weiterentwickeln, sich neuen regulatorischen Anforderungen stellen und mit neu auftretenden Cyberbedrohungen umgehen müssen. Es ist wichtig, die Skalierbarkeit einer Lösung zu berücksichtigen, da sich die Datenanforderungen in verteilten, hybriden Umgebungen ändern, während gleichzeitig hohe Geschwindigkeiten für den Datenschutz und die Wiederherstellung beibehalten werden.
DORA: Compliance mit Vertrauen
Unternehmen, die die Einrichtung robuster Funktionen zur Erfüllung von DORA und anderen sich entwickelnden Resilienzvorschriften wie PSD2, NIS2, APRA CPS 230 und dem 2026 in Kraft tretenden European Cyber Resilience Act verzögern, sehen sich möglicherweise mit wachsenden Herausforderungen konfrontiert. Sie können auch einen Wettbewerbsnachteil gegenüber Unternehmen haben, die ihre Fähigkeit unter Beweis stellen können, angesichts von Störungen im globalen Finanzökosystem widerstandsfähig zu bleiben. Entscheidend ist hier die Zusammenarbeit mit Partnern, die die Anforderungen der Verordnung an die Resilienz verstehen, und robuste Lösungen bereitstellen. Unternehmen können so sicherstellen, dass sie die Vorschriften einhalten und besser auf neue regulatorische Herausforderungen vorbereitet sind und ihre Datenumgebung vor neu auftretenden Bedrohungen schützen können.
