
Auf die Plätze, fertig, DORA!
Der Digital Operational Resilience Act (DORA) wird seit 2023 langsam in Europa eingeführt, wie ich in diesem Beitrag im März hervorgehoben habe. Im Januar 2025 wird er in vollem Umfang in Kraft treten. Wir könnten freche Bemerkungen darüber machen, dass Dora ein Zeichentrickfilm für Kinder oder ein Designated Outdoor Refreshment Area (DORA) ist. Doch DORA ist ein ernsteres Thema.
DORA ist eine europäische Verordnung, die jedoch von US-Unternehmen eingehalten werden muss, die in Europa geschäftlich tätig sind. Kurz gesagt: DORA legt verbindliche Standards für Finanzunternehmen und deren externe Technologiedienstleister zur Verwaltung ihrer Informations- und Kommunikationstechnologie (IKT)-Risiken fest.
Marshall England, Vice President of Marketing bei FortifyData, einem Unternehmen für Cyberrisikomanagement, sagt, dass Unternehmen und Managed Service Provider (MSPs) auf DORA vorbereitet sein müssen.
„Finanzdienstleister und ihre MSP-Partner müssen ihre Bleistifte für einen umfassenden Cyber-Risikomanagementplan, ein Lieferantenrisikomanagement und die Berichterstattung über Vorfälle spitzen, die mit den europäischen Aufsichtsbehörden geteilt werden können“, erklärt England.
Compliance und regulatorische Kontrolle werden intensiviert
Die in London ansässige Cybersecurity-Expertin und Risikoberaterin Alina Timofeeva berichtet, dass der jüngste globale Ausfall DORA noch größer erscheinen lässt. „Ich gehe davon aus, dass die bestehenden Vorschriften, einschließlich DORA, besser eingehalten werden und die Regulierungsbehörden strenger sind“, sagt Timofeeva und fügt hinzu, dass das Maß der Einhaltung der Vorschriften derzeit unterschiedlich ist.
„Ich gehe davon aus, dass die Unternehmen in den Gesprächen mit den Aufsichtsbehörden mindestens die vollständige Einhaltung der Level 3-Vorgaben hinsichtlich der Hauptrisiken und der bestehenden oder geplanten Kontrollrahmen nachweisen wollen und dass es sich dabei nicht nur um eine bloße Abhakübung handelt“, erklärt Timofeeva. Darüber hinaus weist sie darauf hin, dass die Banken ihre Vorbereitungen für DORA beschleunigen müssen. Sie müssen eine Selbsteinschätzung hinsichtlich der Anforderungen vornehmen, Lücken identifizieren und die entsprechenden Schritte unternehmen, um diese zu schließen.
„Nach der Durchführung einer DORA-Bereitschaftsbewertung und der Sensibilisierung des Managements und des Vorstands für die digitale Widerstandsfähigkeit würde ich mir vorstellen, dass die wichtigsten Schritte die Erhöhung der Widerstandsfähigkeit und die End-to-End-Resilienz sind“, sagt sie.
Größeres Bewusstsein und erweiterte Fähigkeiten sind erforderlich
Zu den Resilienzbereichen, auf die Sie sich konzentrieren sollten, gehören:
- Strategische Entwicklung und Verbesserung des Rahmens für die betriebliche Resilienz, die Governance und das Betriebsmodell.
- Identifizierung aller kritischen Geschäftsservices und deren Zuordnung zu Daten, Technologie, Dritten, Personen und Prozessen, um zu definieren, wie die Resilienz für jeden Service entwickelt werden kann.
- Erhöhung der Incident-Management-Funktionen, so dass die Richtlinien für den Umgang mit Vorfällen durch die Integration von Analysen (einschließlich prädiktiver Analysen) verbessert und standardisiert werden. Definieren Sie in diesem Zusammenhang die Liste der Frühwarnzeichen, implementieren Sie Funktionen, um diese zu verfolgen, und definieren Sie Protokolle für die Reaktion auf Vorfälle, die mit bestimmten Frühwarnzeichen verbunden sind.
- Definition und Einführung eines umfassenden Testprogramms auf der Grundlage eines risikobasierten Ansatzes. Dazu gehören bedrohungsgesteuerte Penetrationstests und Verknüpfungstests mit der IKT-Risikotoleranz.
- Festlegung einer klaren Strategie für Dritte, um die Einhaltung der Vorschriften durch Dritte zu gewährleisten. Überprüfen Sie bestehende und relevante Verträge mit Dritten anhand eines risikobasierten Ansatzes. Berücksichtigen Sie die wichtigsten Rollen und Verantwortlichkeiten, Risiken und Kontrollen für das Modell der gemeinsamen Eigentümerschaft.
Timofeeva fügt hinzu, dass es auch wichtig ist, dass Unternehmen den Vorstand und die Geschäftsleitung stärker in das IKT-Risikomanagement einbeziehen, da dies ein stärkeres Bewusstsein für IKT-Risiken und die Fähigkeit zur Erstellung zuverlässiger Berichte erfordert.
Für diejenigen, die eine Auffrischung zu DORA benötigen, finden Sie den vollständigen Gesetzestext hier.
Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.