DORA – Stärkung und Harmonisierung der betrieblichen Widerstandsfähigkeit in der gesamten EU. 

Den vollständigen Artikel finden Sie unter https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

Das DORA der EU ist unvermeidlich und wird weitreichende Auswirkungen über die Union hinaus haben. Es ersetzt frühere branchenspezifische Richtlinien zur betrieblichen Belastbarkeit und überwindet nationale Unterschiede, indem es Richtlinien für wichtige Schwerpunktbereiche im gesamten Finanzbereich harmonisiert
Wertschöpfungskette der Branche, um einen gemeinsamen Rahmen für die gesamte Union zu schaffen. Dieser Einblick untersucht die Makroauswirkungen von DORA und fasst wichtige Abschnitte des vollständigen Textes von DORA zusammen, um Folgendes zu definieren:

1. Was ist DORA und seine 5 Schwerpunktbereiche?
2. Warum ist DORA wichtig?
3. Für wen gilt DORA?
4. DORA-Compliance vs. Non-Compliance.

Digitale Technologien sind für globale Finanz- und Kapitalmarktunternehmen von entscheidender Bedeutung, um komplexe Systeme zu unterstützen. Sie sind entscheidend für die Bereitstellung typischer Geschäftsfunktionen und umsatzgenerierender Aktivitäten. Digitalisierung und die daraus resultierende Vernetzung
Sie ermöglichen eine höhere Effizienz und Kosteneinsparungen, erhöhen aber auch die Risiken der Informations- und Kommunikationstechnologie (IKT) und erhöhen die Anfälligkeit des Finanzsystems für Cyber-Bedrohungen oder -Störungen.

Trotz gezielter politischer und gesetzgeberischer Initiativen auf nationaler Ebene ist sich die Europäische Union (EU) der dringenden Notwendigkeit bewusst, die betriebliche Widerstandsfähigkeit in ihren Mitgliedstaaten zu harmonisieren und zu stärken, um die Integrität und Effizienz der EU zu schützen
Markt, insbesondere angesichts der eskalierenden Cyber-Bedrohungen1 und Störung
Zwischenfälle2. Eine Ansicht, die kürzlich von Liquidnet bestätigt wurde3:

„Die Branche ist nur so stark wie ihr schwächstes Glied […] 2024 wird nicht nur eine stärkere behördliche Kontrolle der Compliance, Risiken und Kontrollen sowie der Technologieinteroperabilität bedeuten, sondern auch die Verantwortung des Einzelnen, dafür zu sorgen, dass das Ökosystem optimal funktioniert.“

Um die anhaltenden Herausforderungen im Bereich Resilienz anzugehen, hat die EU den Digital Operational Resilience Act (DORA) eingeführt, um die IKT-Sicherheit und betriebliche Robustheit für Finanzunternehmen zu stärken.

Was ist DORA und seine 5 Schwerpunktbereiche?

DORA wurde am 14. Dezember 2022 vom Europäischen Parlament und vom Rat angenommen und muss bis zum 17. Januar 2025 eingehalten werden. Die Verordnung zielt darauf ab, die digitale Betriebsstabilität in der gesamten Finanzlandschaft zu konsolidieren und zu verbessern.
wurden bisher in verschiedenen Rechtsakten der Union in einem gemeinsamen Rahmen gesondert behandelt4 für die digitale Betriebsfestigkeit
von Finanzunternehmen, um Verstößen und IKT-Vorfällen besser standzuhalten und sich davon zu erholen.

DORAs 5 Schwerpunktbereiche:

1. IKT-Risikomanagement.
2. Management, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen.
3. Testen der digitalen Betriebsresilienz.
4. IKT-Risikomanagement Dritter.
5. Vereinbarungen zum Informationsaustausch.

Warum ist DORA wichtig?

DORA baut auf früheren branchenspezifischen Richtlinien auf und ersetzt diese, um Unterschiede zu überwinden, und konsolidiert konsequent Richtlinien für Schlüsselbereiche entlang der gesamten Wertschöpfungskette. Es ist einzigartig, weil es einen gemeinsamen Aufsichtsrahmen auf Gewerkschaftsebene einführt
Kritische IKT-Drittanbieter, wie von den Europäischen Aufsichtsbehörden (ESAs) benannt5.

Da der Finanzsektor auf digitale IKT-Systeme angewiesen ist und die Vernetzung zunimmt, werden IKT-Risiken und -Schwachstellen zunehmend störende grenzüberschreitende Auswirkungen in der gesamten Union haben, was die Auswirkungen von Betriebsunterbrechungen und Cyberangriffen verstärkt
Bedrohungen bei Finanzunternehmen. DORA erkennt an, dass die Digitalisierung mittlerweile auch kritische Finanzfunktionen umfasst6 Gefällt mir
Zahlungen, Wertpapierclearing, algorithmischer Handel und Back-Office-Operationen. Ziel ist es, die operative Widerstandsfähigkeit dieser Funktionen zu stärken, um die allgemeine Finanzstabilität aufrechtzuerhalten und das Vertrauen der Verbraucher in die Binnenmärkte zu schützen. DORA möchte bewahren
Stärkung des Marktvertrauens durch Sicherstellung einer reibungslosen Bereitstellung von Finanzdienstleistungen auch in schwierigen Situationen.

Für wen gilt DORA?

DORA gilt für alle Finanzinstitute in der EU und die IKT-Drittanbieter, die Dienstleistungen zu ihrer Unterstützung erbringen. Eine aktuelle Erkenntnis10 angesprochen
Das. Die DORA-Verordnung der EU führt spezifische und präskriptive Anforderungen für alle Finanzmarktteilnehmer ein.

DORA – Finanzunternehmen

Um DORA einzuhalten, müssen Finanzunternehmen ihre IKT-Risikomanagementpraktiken verbessern, einschließlich der Identifizierung, Bewertung und Minderung von Risiken im Zusammenhang mit digitalen Vorgängen. DORA führt außerdem die Pflicht zur sofortigen Meldung von IKT-Vorfällen ein
Bei kritischen Funktionsstörungen wenden Sie sich bitte an die zuständigen Behörden. Darüber hinaus müssen Institutionen regelmäßig verschiedene Störungen simulieren, um die betriebliche Belastbarkeit und Wiederherstellungsfähigkeiten zu testen.

DORA betont insbesondere, dass Finanzunternehmen das IKT-Risiko ihrer Dienstleister durch Dritte bewerten und verwalten und sicherstellen müssen, dass vertragliche Vereinbarungen die betriebliche Belastbarkeit berücksichtigen. Dies bezieht sich auf die Risikokonzentration (DORA Artikel 29).11)
und verfolgt Vorfälle wie den OPRA-Ausfall12und Cyberkriminalität gegen kritische Lieferanten
in der Finanzlieferkette wie der Ion Group-Hack im letzten Jahr13 or
Cloud-Computing-Anbieter14, Wo ein
Ein einzelner Vorfall hat möglicherweise Auswirkungen auf mehrere Finanzunternehmen.

Es ist zu beachten, dass die Auswirkungen von Ausfällen nicht nur auf Unternehmen und Endnutzer beschränkt sind, sondern dass sich die Auswirkungen möglicherweise auch auf die persönlichen Finanzen auswirken, wie die DBS Bank gezeigt hat15 früher
in diesem Jahr.

DORA – Abhängigkeiten von Drittanbietern und betriebliche Belastbarkeit

Finanzinstitute verlassen sich zunehmend auf Drittanbieter, um wichtige Teile ihrer Abläufe und Dienstleistungen bereitzustellen. Folglich wirkt sich DORA auch erheblich auf die Abhängigkeiten von Drittanbietern aus. Zu diesen Dritten gehören Cloud-Dienstanbieter,
Datenanbieter, Softwareentwickler und andere Technologiepartner. Die Auslagerung bestimmter Funktionen kann die Effizienz steigern und die Kosten senken, bringt aber, wie wir bei Ion gesehen haben, auch neue Risiken mit sich. Die Behörden müssen nun über die Widerstandsfähigkeit einzelner Regulierungsbehörden hinausblicken
Unternehmen und beurteilen die allgemeine betriebliche Widerstandsfähigkeit des Sektors.

DORA betont die Bedeutung robuster Risikomanagementpraktiken für Abhängigkeiten von Dritten, um die allgemeine Widerstandsfähigkeit des Finanzsektors im digitalen Zeitalter zu stärken. Diese beinhalten:

1. Breiter Umfang des IKT-Drittparteirisikos – Um die betriebliche Widerstandsfähigkeit im gesamten Finanzdienstleistungssektor zu verbessern, wirft DORA ein weites Netz aus, um das IKT-Drittparteirisiko zu definieren. Zum Beispiel DORA Artikel 3 (18)16 definiert
   IKT-Fremdrisiko als jedes IKT-Risiko – Artikel 3 (5)17 – die sich für ein Finanzunternehmen aus der Nutzung der bereitgestellten IKT-Dienste ergeben können
   durch einen Drittanbieter, Subunternehmer oder Outsourcing-Vereinbarungen.
2. Risikomanagementpraktiken für Drittanbieter – DORA schreibt geeignete Risikomanagementpraktiken für Drittanbieter vor, um die mit Beziehungen zu Drittanbietern verbundenen Betriebsrisiken zu reduzieren und die Widerstandsfähigkeit sicherzustellen. Ziel ist auch die Umsetzung einer harmonisierten
   Regulierungsrahmen für das Risikomanagement von Drittanbietern in der gesamten EU (Artikel 15).18).
3. Kritische IKT-Drittanbieter – DORA erkennt die entscheidende Rolle von IKT-Dienstleistern bei Finanzdienstleistungen an. Wenn ein Dritter als kritisch eingestuft wird, wie in manchen Fällen CJC, muss er die Anforderungen von DORA erfüllen. Insbesondere kritische Dritte
   außerhalb der EU sind verpflichtet, eine Tochtergesellschaft innerhalb der EU zu gründen – Artikel 31 (12)19 – obwohl Präambel (82)20 merkt an
   Die Anforderung „sollte den kritischen IKT-Drittanbieter nicht daran hindern, IKT-Dienste und damit verbundenen technischen Support von Einrichtungen und Infrastrukturen außerhalb der Union bereitzustellen.“

Gina Wee, Chief Information Officer bei CJC, sagte über betriebliche Belastbarkeit und DORA-Compliance: „Von der Implementierung robuster Verschlüsselung und strenger Zugriffskontrolle bis hin zur Durchführung regelmäßiger Audits hält CJC ein hohes Maß an Compliance aufrecht, um die Daten sicherzustellen.“
Sicherheit. In Kombination mit proaktiver Planung, anpassungsfähigen Verfahren und einer Kultur der kontinuierlichen Verbesserung stellen wir einen unterbrechungsfreien Service für unsere Kunden sicher. Wir hoffen, dass unser Engagement für Informationssicherheit, betriebliche Belastbarkeit und Verantwortlichkeit uns hilft
Wir geben den Kunden Sicherheit und Vertrauen in unsere Managed Services.“

DORA-Compliance vs. Non-Compliance

Das Risiko der Nichteinhaltung

Die Nichteinhaltung von DORA kann zu Reputationsschäden, finanziellen Verlusten und behördlichen Strafen führen. Unternehmen, die die Anforderungen von DORA nicht einhalten, riskieren Betriebsstörungen, Unzufriedenheit der Kunden und mögliche rechtliche Konsequenzen.

DORA-Compliance – 3 Überlegungen und Best Practices

Um DORA einzuhalten, müssen Finanzinstitute bestehende Abhängigkeiten von Drittanbietern umfassend abbilden und die Dienste ausgelagerter Funktionen verstehen, um kritische Abhängigkeiten zu identifizieren. Schritt 2 bewertet die Belastbarkeit der abgebildeten Abhängigkeiten
um die betrieblichen Fähigkeiten, Sicherheitsmaßnahmen und Notfallwiederherstellungspläne ihres Dienstanbieters zu bewerten. Schließlich sollten vertragliche Vereinbarungen mit Dritten speziell auf Anforderungen an die betriebliche Belastbarkeit eingehen. Hierzu zählen auch Bestimmungen für Zwischenfälle
Berichterstattung, Geschäftskontinuität und Wiederherstellungszeitziele.

Um die Vorschriften einzuhalten, können Finanzinstitute mehrere Schritte unternehmen, um Best Practices zu implementieren, um eine kontinuierliche Einhaltung von DORA sicherzustellen. Diese beinhalten:

1. Due Diligence – Führen Sie bei der Auswahl von Drittanbietern eine gründliche Due Diligence durch und berücksichtigen Sie dabei deren Erfolgsbilanz, finanzielle Stabilität und betriebliche Belastbarkeit.
2. Szenariotests – Simulieren Sie verschiedene Szenarien mit Dritten, um die Wirksamkeit von Wiederherstellungsplänen zu testen. Dazu sollten Cyberangriffe, Systemausfälle und Naturkatastrophen gehören.
3. Kontinuierliche Überwachung – Überwachen Sie regelmäßig die Leistung und Compliance Dritter und seien Sie darauf vorbereitet, sich anzupassen, falls sich die Belastbarkeitslage ändert.

Letzte Worte:

DORA ist nicht nur eine Verordnung; Es ist eine strategische Gelegenheit, Ihre betriebliche Widerstandsfähigkeit zu verbessern und Vertrauen im digitalen Zeitalter aufzubauen. Als führender Marktdatentechnologie-Beratungs- und Serviceanbieter für globale Finanzmärkte nimmt CJC seine Position ein
als wichtiger Drittanbieter von marktdatenverwalteten Diensten für die Kapitalmarktgemeinschaft ernst genommen. Unabhängig vom Serviceniveau sind DORA-konforme Standards und Transparenz bei CJC, dem mehrfach preisgekrönten Beratungsunternehmen, sofort einsatzbereit.
Managed Services, Cloud-Lösungen, Observability und professionelle kommerzielle Managementdienste für geschäftskritische Marktdatensysteme. CJC ist herstellerneutral und nach ISO 27001 zertifiziert, was den Partnern von CJC die Freiheit gibt, sich auf ihr Kerngeschäft zu konzentrieren.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs