DORA

Ziel der DORA-Regulierung (Digital Operational Resilience Act) ist ein EU weiter Rahmen für das Management von Cybersicherheit und IKT-Risiken im Finanzsektor.
Dora_Circle
DORA Pillars
DORA Pillars

aye4fin ist Ihr DORA Compliance Partner

Mit der wachsenden Abhängigkeit von digitalen Technologien steigt nicht nur die Gefahr durch Cyberangriffe, sondern auch die potenziellen Folgen solcher Angriffe nehmen an Schwere zu. Neben Cyberangriffen stellen auch unbeabsichtigte und nicht böswillige IT-Probleme, wie Softwarefehler oder Systemausfälle, ein erhebliches Risiko in der digitalisierten Finanzwelt dar.
Bereits geltende Regelwerke für Finanzakteure (z.b. Aufsichtsrechtliche IT-Anforderungen wie BAIT, VAIT, KAIT und ZAIT) sollen mit der neuen DORA-Verordnung in Einklang gebracht werden.
Da wir unsere Kunden bei Compliance-Bemühungen unterstützt haben, wissen wir, dass Effizienz der Schlüssel zum Erreichen der gewünschten Resilienzhaltung und gleichzeitiger Sicherstellung der Einhaltung der DORA-Anforderungen ist.

Risk

IKT Risikomanagement

  • Interne Governance- und Kontrollrahmen für ein wirksames und umsichtiges Management von IKT-Risiken.
  • Identifizierung und Klassifizierung von allen IKT-gestützten Unternehmensfunktionen.
  • IKT-Sicherheitstools, Richtlinien und Verfahren für Schutz und Prävention.
  • Mechanismen zur Erkennung von anomalen Aktivitäten.
  • Richtlinie und Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung.
  • Kommunikationspläne für Offenlegung von schwer-wiegenden IKT-bezogenen Vorfällen.
ICT

Management des IKT-Drittparteirisikos

  • Mindestens einmal pro Jahr: Bericht zur Anzahl neuer Vereinbarung über die Nutzung von IKT-Drittdienstleistungen, Kategorien, vertragliche Vereinbarungen und bereitgestellten Funktionen.
  • Wesentliche Elemente der vertraglichen Vereinbarung zwischen Finanzunternehmen und IKT-Drittpartei.
  • Pflege eines Informationsregisters bezüglich sämtlicher vertraglicher Vereinbarungen zwischen den Parteien.
Sharing

Informationsaustausch

  • Freiwilliger Informationsaustausch mit anderen Finanzunternehmen, um Best Practices in Bezug auf digitale Resilienz und Cybersicherheit zu fördern
  • Zusammenarbeit zwischen vertrauenswürdigen Gemeinschaften von Finanzunternehmen
  • Mechanismen zur Überprüfung und Nutzung gemeinsamer Informationen.
  • Die Aufsichtsbehörden können für ein ausgewogenes Verhältnis zwischen Cybersicherheit und Datenschutz sorgen.
Incident

Management von IKT-Vorfällen und Cyber-Security:

  • Bestimmung eines individuellen Prozesses für die Behandlung von IKT-Bezogenen Vorfällen.
  • Klassifizierung von IKT-Vorfällen und Cyberbedrohungen anhand spezifischer Kriterien.
  • U.a. nach Relevanz, Dauer, Kritikalität und Ausbreitung.
  • Meldung von Vorfällen an die Aufsicht und Kunden, sowie freiwillige Meldung von jeglichen Cyberbedrohungen gegenüber Kunden und anderen Finanzunternehmen.
  • Zentralisierung der Meldung von Vorfällen über die ESA in Abstimmung mit der EZB und der ENISA.
Digital Operation

Testen der digital operational Resilienz

  • Entwicklung eines Programmes für das Testen der digitalen operationalen Resilienz, auf mindestens jährlicher Basis.
  • Katalog der Testarten.
  • Durchführung von erweiterten Tests (TLPT), mindestens alle drei Jahre, mit anschließender Meldung an die Behörden.
  • Anforderungen an die Tester.
  • Sicherstellung, dass Tests von unabhängigen internen oder externen Parteien durchgeführt werden.
Making a plan

Projektbeispiele

Making a plan