DORA

Der „Digital Operational Resilience Act“ (DORA) der Europäischen Union ist ein Gesetz, das darauf abzielt, die digitale operative Widerstandsfähigkeit von Finanzinstituten und Marktteilnehmern zu stärken. DORA fordert, dass Finanzdienstleister angemessene Maßnahmen ergreifen, um ihre kritischen digitalen Dienste vor Ausfällen zu schützen, sich auf Cyberangriffe und andere Störungen vorzubereiten und zu wappnen.

Unsere Beratung im Zusammenhang mit DORA umfasst verschiedene Schlüsselaspekte. Wir helfen Finanzinstituten und Marktteilnehmern, die komplexen Anforderungen von DORA zu verstehen und effektive Compliance-Maßnahmen umzusetzen. Zudem unterstützen wir bei der Identifizierung von Risiken, entwickeln und implementieren Sicherheitsstrategien, planen Reaktionen auf Störungen und Sicherheitsvorfälle, gestalten Schulungsprogramme und helfen bei der Auswahl sowie Implementierung geeigneter Technologielösungen.

Bereiten Sie sich auf DORA vor und steigern Sie die digitale Resilienz Ihres Unternehmens. Kontaktieren Sie uns, um herauszufinden, wie aPrio1 AG Sie dabei unterstützen kann.

DORA definiert dabei einheitliche, europäische Standards als die Grundlagen für die Datensicherheit, Prozesse und zugrundeliegender Infrastruktur.

Finanzinstitute und Marktteilnehmer müssen sicherstellen, dass sie die Anforderungen von DORA erfüllen. Dies erfordert eine umfassende Prüfung und Anpassung ihrer operativen Prozesse und Sicherheitsmaßnahmen. aPrio1 kann Ihnen helfen, diese Compliance-Anforderungen zu verstehen und entsprechende Maßnahmen zu ergreifen.

Eine wichtige Komponente von DORA ist die Identifizierung und Bewertung von Risiken für die operative Widerstandsfähigkeit. aPrio1 kann sie bei der Durchführung von Risikobewertungen unterstützen, um Schwachstellen und potenzielle Bedrohungen zu identifizieren.

DORA fordert von Finanzinstituten, angemessene Sicherheitsmaßnahmen zu implementieren. aPrio1 hilft Ihnen bei der Entwicklung und Umsetzung von Sicherheitsstrategien und -maßnahmen.

Die Fähigkeit, auf Störungen und Sicherheitsvorfälle angemessen zu reagieren, ist ein wichtiger Teil von DORA. aPrio1 kann sie bei der Entwicklung von Incident-Response-Plänen und -Prozessen unterstützen.

Mitarbeiter in Finanzinstituten müssen für die Anforderungen von DORA sensibilisiert und geschult werden. aPrio1 kann Sie bei der Entwicklung von Schulungsprogramme unterstützen, um sicherzustellen, dass das Personal die Best Practices für die operative Widerstandsfähigkeit versteht und umsetzt.

DORA kann die Notwendigkeit einer Aktualisierung oder Verbesserung der digitalen Infrastruktur und Technologien in Finanzinstituten mit sich bringen. aPrio1 unterstützt Sie bei der Auswahl und Implementierung geeigneter Technologielösungen.

Die Information Security Policy ist eine Zusammenstellung von Richtlinien, Vorschriften, Regeln und Praktiken, welche vorschreiben, wie eine Organisation Informationen verwaltet, schützt und verteilt.

Das Ziel der Network and System Management Policy ist die Erstellung verbindlicher Richtlinien für die Wartung, Erweiterung und Nutzung der Infrastruktur, sowie der beinhalteten Systeme.

Architekturvorgaben in Form eines Campus LAN and Wireless LAN Design Guide garantieren eine unternehmensweit homogene, skalierbare und sichere Infrastruktur.

Ein unternehmensweit gültiges Global Infrastructure Security Concept ist in vernetzten Unternehmensstrukturen mit Datenzugriffen aus den unterschiedlichsten Strukturen (On-Premise, Cloud, etc.) und heterogenen Anforderungen und Nutzern (Kunden, Partner, interne Mitarbeiter, B2B, B2C, etc.) die unverzichtbare Basis.
Auch bei outgesourcten Services ist das Unternehmen nicht von der Verantwortung entbunden, ein gültiges und verbindliches Reglement hierzu aufzustellen.

Die Datenverschlüsselung gemäß dem Cryptographic Concept erfüllt die Authentizitäts-, Integritäts- und Vertraulichkeitsverpflichtung, obwohl dies in der Verordnung nicht explizit erwähnt wird.
Weiterhin werden die wesentlichen Vorteile einer VPN-Lösung hervorgehoben um Daten, speziell Daten „in der Nutzung“, zu schützen.

Es wird auch ausdrücklich darauf hingewiesen, dass die gleichen Maßnahmen zum Schutz der Daten von „IKT-Drittanbietern“ ergriffen werden müssen (Providermanagement).
Verträge mit Providern und Drittanbietern müssen garantieren, dass „Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Schutz von Daten, einschließlich personenbezogener Daten“, jederzeit sichergestellt sind.

Entsprechend der Beschreibung des National Institute of Standards and Technology (NIST) kann System Hardening als ein Prozess definiert werden, der darauf abzielt, Angriffsmöglichkeiten durch das Beseitigen (Patchen) von Schwachstellen und das Deaktivieren nicht genutzter Dienste zu eliminieren.
Es müssen dabei fünf Themenfelder berücksichtigt werden:

  • Server Hardening
  • Software Hardening
  • Operating System Hardening
  • Database Hardening
  • Network Hardening

Zur Gewährleistung der Application Security, also der Sicherheit innerhalb der eingesetzten Anwendungen, gehört u.a. die Implementierung von Features wie Authentifizierung, Autorisierung, Verschlüsselung, Protokollierung und Anwendungssicherheitstests. Die auszufertigende Richtlinie beschreibt, welche Kriterien seitens der verwendeten Applikationen erfüllt sein müssen. Entwickler können hierbei auch dediziert Sicherheitslücken in bestehenden Applikationen durch sichere Programmierung unter Einsatz entsprechender Konzepte verringern.

Empfehlungen zur Implementierung der Application Security:

  • Gehen Sie von unbekannter und unsicherer Infrastruktur aus
  • Optimieren Sie jede Anwendungskomponente hinsichtlich der geforderten Sicherheit
  • Automatisieren Sie die Installation und Konfiguration von Sicherheitskomponenten
  • Testen Sie die installierten Sicherheitsmaßnahmen
  • Migrieren Sie non-strategic Application zu Software as a Service (SaaS) Apps
  • Verwenden Sie cloudbasierte Sicherheitsprodukte
  • Fokussieren Sie sich auf das kontinuierliche Security Monitoring

Vereinbaren Sie jetzt Ihren Termin mit unseren Experten:

Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.