DORA verpflichtet Finanzunternehmen zu hoher IT-Sicherheit
Cyberkriminalität bedroht auch und gerade den Finanzsektor, denn die dort verwalteten Daten
sind in weiten Teilen sehr wertvoll und sensibel. Einen verbindlichen Standard für den effektiven
Schutz dieses Datenschatzes gibt es bisher nicht. Anfang nächsten Jahres jedoch soll sich das
ändern: Im Januar tritt die Verordnung zur digitalen operationalen Resilienz (DORA) EU-weit in
Kraft. Sie soll die Finanz-IT-Sicherheit auf eine neue Stufe heben und die Unternehmen auch im
Falle eines schwerwiegenden Cybervorfalls funktionsfähig halten. Einbezogen werden neben
fast sämtlichen Finanzunternehmen auch Dienstleister wie Rechenzentren und Cloud-Betreiber,
die mit der Finanzindustrie kooperieren.
Im Wesentlichen schreibt DORA zur Steigerung der Resilienz ein umfassendes
Risikomanagement und strenge Meldepflichten vor. Dazu gehören etwa eine Strategie für ITSicherheit, neue Verantwortlichkeiten und konkrete Pläne für das Vorgehen bei Problemen.
Anspruchsvoll für die Finanzunternehmen wird vor allem das vorgesehene Monitoring von
Drittanbieterrisiken, für die sie am Ende mit geradestehen müssen. Gravierende Vorkommnisse
müssen der Aufsichtsbehörde künftig innerhalb von 24 Stunden mitgeteilt werden.