Der Digital Operational Resilience Act (DORA) verpflichtet die Finanzbranche zu strengen Cybersecurity-Maßnahmen. Auch ihre IKT-Dienstleister müssen indirekt Sicherheitsnachweise, Risikoanalysen sowie Vertragskonformität nachweisen. Am 28. April 2025 endet erstmals die durch DORA vorgeschriebene jährliche Meldepflicht für das Informationsregister der Finanzunternehmen bei der BaFin. In diesem Register müssen Finanzunternehmen alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistern aufführen. Auch nach Ablauf der Meldefrist müssen Finanzunternehmen an ihrer Konformität mit DORA arbeiten und ihre Dienstleister mit ins Boot holen.
„DORA bringt die Finanzbranche und ihre IKT-Dienstleister dazu, wirksame Maßnahmen für eine bessere Cyberresilienz zu ergreifen“, meint Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Seit Anfang des Jahres greifen die regulatorischen Vorgaben vollumfänglich. Wir sehen bei den Finanzunternehmen aktuell einen Bedarf an einer externen Konformitätsüberprüfung der bisher ergriffenen Maßnahmen.“
DORA Compliance: A never ending story
Die meisten Finanzunternehmen haben mittlerweile ihre Systeme und Prozesse entsprechend der DORA-Vorgaben angepasst. Wer seine bisher ergriffenen Maßnahmen von einem neutralen Dritten überprüfen lassen möchte, kann auf die TÜV SÜD DORA Assessments zurückgreifen. Mithilfe von Compliance Audits werden Lücken in der Umsetzung der Verordnung aufgedeckt und ein klarer Fahrplan zu deren Schließung entwickelt. So kann beispielsweise eine DORA-konforme Sicherheitsstrategie entwickelt und implementiert werden sowie die Rahmenbedingungen für Incident-Erkennung und Meldung umgesetzt werden.
Für DORA-Konformität sind die Punkte Risikomanagement und digitale Resilienz besonders relevant. Auch IKT-Dienstleister der Finanzunternehmen, die als „kritisch” eingestuft werden, müssen künftig im Rahmen ihrer vertraglichen Pflichten gegenüber ihren Auftraggebern die Einhaltung dieser Anforderungen nachweisen. TÜV SÜD kann im Rahmen einer detaillierten Prüfung herausarbeiten, wo es in der bestehenden Cybersecurity-Strategie noch Schwachstellen gibt und gemeinsam mit dem Unternehmen Verbesserungen erarbeiten.
Mitarbeitende ins Boot holen
Finanzunternehmen und kritische IKT-Dienstleister, die ihren Auftraggebern gegenüber Nachweise erbringen und gleichzeitig ihre allgemeine Cyberresilienz steigern möchten, müssen ihre Mitarbeitenden durch Cybersicherheits-Trainings abholen. Auch Schulungen der Führungskräfte sind erforderlich, um die Einhaltung der DORA-Vorschriften mit der Geschäftsstrategie in Einklang zu bringen. Die TÜV SÜD Akademie bietet daher ein umfangreiches Schulungsprogramm zum Thema Cybersecurity – von Awareness-Workshops bis hin zu speziellen Trainings für Entscheidungsträger.
„Die Angriffsmethoden Cyberkrimineller wandeln sich schnell, deshalb gilt: Finanzunternehmen müssen kontinuierlich ihre ergriffenen Maßnahmen überprüfen und verbessern“, ergänzt Skalt. „Auch wenn bis Ende April die erstmalige Meldepflicht für das Informationsregister gemeistert wurde.“
Weitere Informationen zu den DORA-Services von TÜV SÜD finden Sie unter tuvsud.com/en/themes/cybersecurity/digital-operational-resilience-act
„DORA bringt die Finanzbranche und ihre IKT-Dienstleister dazu, wirksame Maßnahmen für eine bessere Cyberresilienz zu ergreifen“, meint Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Seit Anfang des Jahres greifen die regulatorischen Vorgaben vollumfänglich. Wir sehen bei den Finanzunternehmen aktuell einen Bedarf an einer externen Konformitätsüberprüfung der bisher ergriffenen Maßnahmen.“
DORA Compliance: A never ending story
Die meisten Finanzunternehmen haben mittlerweile ihre Systeme und Prozesse entsprechend der DORA-Vorgaben angepasst. Wer seine bisher ergriffenen Maßnahmen von einem neutralen Dritten überprüfen lassen möchte, kann auf die TÜV SÜD DORA Assessments zurückgreifen. Mithilfe von Compliance Audits werden Lücken in der Umsetzung der Verordnung aufgedeckt und ein klarer Fahrplan zu deren Schließung entwickelt. So kann beispielsweise eine DORA-konforme Sicherheitsstrategie entwickelt und implementiert werden sowie die Rahmenbedingungen für Incident-Erkennung und Meldung umgesetzt werden.
Für DORA-Konformität sind die Punkte Risikomanagement und digitale Resilienz besonders relevant. Auch IKT-Dienstleister der Finanzunternehmen, die als „kritisch” eingestuft werden, müssen künftig im Rahmen ihrer vertraglichen Pflichten gegenüber ihren Auftraggebern die Einhaltung dieser Anforderungen nachweisen. TÜV SÜD kann im Rahmen einer detaillierten Prüfung herausarbeiten, wo es in der bestehenden Cybersecurity-Strategie noch Schwachstellen gibt und gemeinsam mit dem Unternehmen Verbesserungen erarbeiten.
Mitarbeitende ins Boot holen
Finanzunternehmen und kritische IKT-Dienstleister, die ihren Auftraggebern gegenüber Nachweise erbringen und gleichzeitig ihre allgemeine Cyberresilienz steigern möchten, müssen ihre Mitarbeitenden durch Cybersicherheits-Trainings abholen. Auch Schulungen der Führungskräfte sind erforderlich, um die Einhaltung der DORA-Vorschriften mit der Geschäftsstrategie in Einklang zu bringen. Die TÜV SÜD Akademie bietet daher ein umfangreiches Schulungsprogramm zum Thema Cybersecurity – von Awareness-Workshops bis hin zu speziellen Trainings für Entscheidungsträger.
„Die Angriffsmethoden Cyberkrimineller wandeln sich schnell, deshalb gilt: Finanzunternehmen müssen kontinuierlich ihre ergriffenen Maßnahmen überprüfen und verbessern“, ergänzt Skalt. „Auch wenn bis Ende April die erstmalige Meldepflicht für das Informationsregister gemeistert wurde.“
Weitere Informationen zu den DORA-Services von TÜV SÜD finden Sie unter tuvsud.com/en/themes/cybersecurity/digital-operational-resilience-act
