DORA verstehen: Aufbauend auf BAIT und VAIT zur Stärkung der IT-Sicherheit im Finanzsektor
August 19, 2024 at 10:00 PM
by Bersch Management Consultancy GmbH

In einer zunehmend digitalen Finanzwelt sind Cybersicherheit und operative Resilienz wichtiger denn je. Der Digital Operational Resilience Act (DORA) der Europäischen Union stellt einen bedeutenden Schritt dar, um sicherzustellen, dass Finanzinstitute in der Lage sind, Cyber-Bedrohungen und andere operative Störungen zu widerstehen, darauf zu reagieren und sich davon zu erholen. DORA baut auf bestehenden regulatorischen Rahmenwerken wie BAIT (Bankaufsichtliche Anforderungen an die IT) und VAIT (Versicherungsaufsichtliche Anforderungen an die IT) auf und schafft einen umfassenden Ansatz zur IT-Sicherheit und operativen Resilienz.

In diesem Blog werden die Kernaspekte von DORA, die Integration mit BAIT und VAIT sowie die Unterstützungsmöglichkeiten durch Bersch Consulting beleuchtet.

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist Teil der breiteren Strategie der EU zur Stärkung der Resilienz des Finanzsektors. Er legt Anforderungen für Finanzinstitute fest, um sicherzustellen, dass ihre Informations- und Kommunikationstechnologiesysteme (IKT) robust genug sind, um einer Vielzahl von operationellen Risiken, insbesondere im Zusammenhang mit Cybersicherheit, standzuhalten.

Wichtige Komponenten von DORA:

  • IKT-Risikomanagement: DORA verlangt von Finanzunternehmen, ein umfassendes IKT-Risikomanagementsystem zu implementieren und aufrechtzuerhalten. Dies umfasst regelmäßige Risikobewertungen, effektive Minderungsstrategien und robuste interne Kontrollen, um IKT-bezogene Risiken zu verwalten und zu reduzieren.
  • Meldung von Vorfällen: Unter DORA müssen Finanzinstitute bedeutende IKT-bezogene Vorfälle an ihre nationalen Aufsichtsbehörden melden. Dies soll eine zeitnahe Reaktion auf Cyber-Bedrohungen und andere operationelle Störungen gewährleisten.
  • Testen der digitalen operativen Resilienz: DORA führt Anforderungen für das Testen der digitalen operativen Resilienz ein, einschließlich Penetrationstests, szenariobasierter Tests und anderer Stresstests zur Bewertung der Wirksamkeit von IKT-Systemen und Kontrollen.
  • Management von Drittanbietern: DORA legt großen Wert auf das Management von Risiken im Zusammenhang mit Drittanbietern von IKT-Dienstleistungen. Finanzinstitute müssen sicherstellen, dass ihre Drittanbieter denselben hohen Standards in Bezug auf Resilienz und Cybersicherheit entsprechen.

Wie DORA auf BAIT und VAIT aufbaut

DORA steht nicht isoliert, sondern baut auf bestehenden nationalen Vorschriften wie BAIT und VAIT auf, die IT-Anforderungen für Banken bzw. Versicherungen in Deutschland festlegen.

  • BAIT (Bankaufsichtliche Anforderungen an die IT): BAIT legt die IT-Sicherheitsanforderungen für Banken in Deutschland fest. Es deckt Bereiche wie IT-Governance, Informationssicherheit und das Management von IT-Auslagerungen ab. DORA erweitert diese Anforderungen durch die Einführung strengerer und standardisierter IKT-Risikomanagement- und Meldepflichten in der gesamten EU.
  • VAIT (Versicherungsaufsichtliche Anforderungen an die IT): VAIT legt ähnliche IT-Anforderungen für Versicherungsunternehmen in Deutschland fest und konzentriert sich auf IT-Governance, Informationssicherheit und das Management von Drittanbietern. DORA erweitert diese Prinzipien und stellt sicher, dass alle Finanzinstitute in Europa einen harmonisierten Ansatz zur operativen Resilienz verfolgen.

Indem DORA auf den Grundlagen von BAIT und VAIT aufbaut, zielt es darauf ab, einen einheitlichen Standard für das IKT-Risikomanagement im gesamten europäischen Finanzsektor zu schaffen. Dies stärkt nicht nur einzelne Institute, sondern trägt auch zur Stabilität und Resilienz des gesamten Finanzsystems bei.

Wie Bersch Consulting unterstützen kann

Die Umsetzung der Anforderungen von DORA, unter Berücksichtigung der bestehenden Rahmenwerke BAIT und VAIT, kann eine komplexe und ressourcenintensive Aufgabe sein. Bersch Consulting bietet eine Reihe von Dienstleistungen an, um Ihr Unternehmen sicher durch diese regulatorischen Herausforderungen zu führen.

Unsere Dienstleistungen umfassen:

  • IKT-Risikomanagement-Frameworks: Wir helfen Ihnen bei der Gestaltung und Implementierung robuster IKT-Risikomanagement-Frameworks, die den strengen Anforderungen von DORA entsprechen und gleichzeitig mit den Standards von BAIT und VAIT übereinstimmen.
  • Planung der Incident Response: Unsere Experten unterstützen Sie bei der Entwicklung umfassender Incident-Response-Pläne, um sicherzustellen, dass Ihr Unternehmen schnell und effektiv auf IKT-bezogene Vorfälle reagieren kann.
  • Resilienz-Tests: Bersch Consulting bietet Unterstützung bei der Durchführung von Tests zur digitalen operativen Resilienz, einschließlich Penetrationstests und szenariobasierten Tests, um Ihre IKT-Systeme zu bewerten und zu stärken.
  • Drittanbieter-Risikomanagement: Wir unterstützen Sie beim Management von Risiken im Zusammenhang mit Drittanbietern von IKT-Dienstleistungen und stellen sicher, dass diese den strengen Standards von DORA entsprechen.

Die Navigation durch die Komplexität von DORA, BAIT und VAIT erfordert spezialisiertes Wissen und Erfahrung. Bersch Consulting steht Ihnen dabei zur Seite und sorgt dafür, dass Sie nicht nur diese Vorschriften einhalten, sondern auch Ihre operative Resilienz insgesamt stärken.

Kontaktieren Sie Bersch Consulting noch heute, um mehr darüber zu erfahren, wie wir Ihnen helfen können, sich auf DORA vorzubereiten und ein stärkeres, widerstandsfähigeres Finanzunternehmen aufzubauen.

Reden wir darüber
Wir würden uns freuen, von Ihnen zu hören!

Kontakt aufnehmen