DORA

DIGITAL OPERATIONAL RESILIENCE ACT (DORA) | Bureau Veritas

Der Digital Operational Resilience Act (DORA) zielt darauf ab, die betriebliche Resilienz zu stärken. Außerdem werden IT-Bedrohungen verringert und die Fähigkeit von Finanzunternehmen in der EU verbessert, ICT-bezogene Vorfälle verhindert und bewältigt. DORA tritt am 17. Januar 2025 in Kraft und ist Teil der EU-Bemühungen, den digitalen Sektor zu regulieren. 

DORA gilt für alle Finanzinstitute in der EU und erfordert von einigen Unternehmen zusätzliche IT-Sicherheitsmaßnahmen – selbst wenn sie bereits Rahmenwerken wie ISO 27001 oder COBIT erfolgen.

DORA VERSTEHEN: WAS UNTERNEHMEN WISSEN MÜSSEN

DORA gilt für Finanzinstitute einschließlich (aber nicht beschränkt auf) Kredit- und Zahlungsinstitute, Wertpapierfirmen, Versicherungsunternehmen und -vermittler, Pensionsfonds und Handelsplattformen. Die Verordnung setzt einen regulatorischen Rahmen für digitale betriebliche Resilienz. Dazu gehören unter anderem die Bereiche des IT-Risikomanagements, obligatorische Vorfallmeldungen, Dokumentation von Testplänen, Risikomanagement bei Dritten sowie Schulungen und Governance. Die Einhaltung der Vorschriften stellt sicher, dass Unternehmen die richtigen Systeme für alle Arten von ICT-bezogenen Störungen und Bedrohungen (einschließlich durch Dritte) implementiert haben.

Die Maßnahmen für betroffene Unternehmen lassen sich in fünf Gruppen einteilen:

  • Risikomanagement 

  • Tests und Audits

  • Verwaltung der Sicherheit von IT-Dienstleistern

  • Vorfallmanagement

  • Informationsaustausch

DIE BEDEUTUNG DER DORA-KONFORMITÄT FÜR ORGANISATIONEN

Obwohl DORA eine EU-Verordnung ist, betrifft sie auch Drittanbieter von ICT-Diensten. DORA erlaubt es Unternehmen nur, Verträge mit Anbietern abzuschließen, wenn sie die festgelegten Informationssicherheitsanforderungen erfüllen. Dies umfasst Cloud-Dienste, Netzwerkdienste, Hardware-Dienste und ICT-Beratung.

DORA ist eine komplexe Verordnung, die für viele Organisationen die Verpflichtungen erhöht. Ein falscher oder fehlender Ansatz kann nicht nur Ihre Organisation gefährden, sondern Sie auch dem Risiko rechtlicher und finanzieller Sanktionen aussetzen.

Jeder Verstoß gegen die Anforderungen kann zu einer Geldstrafe von bis zu 2 % des gesamten jährlichen weltweiten Umsatzes oder bis zu 1 % des durchschnittlichen täglichen Umsatzes des Unternehmens weltweit führen.

DORA-KONFORMITÄTSDIENSTLEISTUNGEN VON BUREAU VERITAS

Unsere Experten bei Secura, einem Tochterunternehmen von Bureau Veritas, bieten eine Reihe von Dienstleistungen zur Einhaltung der DORA-Konformität an. Dabei ist es nebensächlich, wo Sie sich auf Ihrer Cybersicherheitsreise befinden.

  • DORA-Boardroom-Training:

    DORA verlangt, dass Geschäftsführer Schulungen absolvieren, um eine effektive Steuerung in Bezug auf Cybersicherheitsfragen nachzuweisen. Wir haben in Zusammenarbeit mit De Clercq Lawyers ein DORA-Boardroom-Training entwickelt, das Einblicke in die Risikomanagementmaßnahmen bietet, die Organisationen mindestens nach DORA ergreifen müssen. Dieser eintägige Kurs kann an einem Ort Ihrer Wahl durchgeführt werden.

  • DORA-Gap-Assessment:

    Unser spezialisiertes Team kann eine DORA-Gap-Analyse durchführen und Ihnen einen detaillierten Überblick über Ihr aktuelles Sicherheitsreifegradniveau verschaffen. Mit Hilfe des umfangreichen Maßnahmen-Katalogs von Bureau Veritas/Secura haben Sie im nächsten Schritt die Möglichkeit, die geforderten Verpflichtungen DORA-konform umzusetzen. Der Service basiert auf unserer bewährten Sicherheitsreifegradbewertung.

  • DORA-Implementierungsdienste:

    Wir bieten eine Reihe von Dienstleistungen zur Implementierung von DORA in Ihrer Organisation an. Der Umfang unserer Lösungen hängt von den Ergebnissen Ihrer DORA-Gap-Analyse ab. Grundsätzlich möglich sind CyberCare-Sicherheitsservices, ein Sicherheitsmanagement, eine Bewusstseins- und Verhaltensunterstützung, eine Vorfallsreaktion und Sicherheitsdienste für Anbieter.

DORA-KONFORMITÄT

Sollten Sie festetellen, dass Ihre Organisation DORA unterliegt, ist es wichtig, frühzeitig mit den Vorbereitungen zur Einhaltung der Vorschriften zu beginnen. Sprechen Sie mit unseren Cybersicherheitsexperten, um mehr über die anfängliche DORA-Bewertung und Planung zu erfahren. Wir präsentieren Ihnen, wie Sie die Strategien und Lösungen umsetzen können, um Risiken zu managen und eine DORA-Konformität zu erreichen.

WELCHE VORTEILE HAT DIE DORA-KONFORMITÄT?

Die Konformität ist für einige Organisationen obligatorisch. Die Einhaltung von DORA bietet allerdings auch andere Vorteile:

  • Verbesserte Cyber-Resilienz und bessere Planung für ICT-Bedrohungen

  • Erhöhtes Verständnis der ICT-Risiken in der gesamten Organisation

  • Größere Kontrolle über die ICT-Lieferketten

  • Verbesserte Vorfallberichterstattung und Informationsaustausch

BUREAU VERITAS als partner für IHRE DORA-KONFORMITÄTSBEDÜRFNISSE.

  • Erfahrenes Team mit jahrzehntelanger Erfahrung in Governance, Risiko und Compliance

  • Eine Reihe von Dienstleistungen, die speziell entwickelt wurden, um Ihre DORA-Bedürfnisse zu erfüllen und Ihnen zu helfen, DORA-konform zu werden

  • Cybersicherheitsexperten in den Bereichen Menschen, Prozesse und Technologie

  • Ein einziger Ansprechpartner und bewährter partnerschaftlicher Ansatz

  • Ein klarer Fahrplan, um DORA-konform zu werden und zu bleiben

  • Unterstützt durch die globale Expertise von Bureau Veritas, einem weltweit führenden Unternehmen in den Bereichen Prüfung, Inspektion und Zertifizierung

Häufig gestellte Fragen

  • WIE VERHÄLT SICH DORA ZU BESTEHENDEN RAHMENBEDINGUNGEN WIE z.B. ISO 27001?

    Bestehende Risikorahmenbedingungen wie NIST und ISO 27001 bieten Leitlinien zur Einhaltung verschiedener Gesetze durch Prozesse wie Schulung des Personals, Durchführung von Audits und Tests, Vorfallmanagement und Lieferkettenrisikomanagement. Diese Arten von Risikorahmenwerken sind eine gute Ergänzung zu DORA. Die Einhaltung dieser Standards bedeutet jedoch nicht automatisch, dass Sie DORA-konform sind.

  • WIE WIRD DORA DIE ANFORDERUNGEN AN DIE VORFALLREAKTION ÄNDERN?

    Das Vorfallsmanagement ist ein kritischer Aspekt zur Gewährleistung der Sicherheit und Kontinuität von Diensten. Mit DORA haben Unternehmen Pläne vorzuweisen, um im Falle eines Vorfalls mit Mitarbeitern, externen Interessengruppen, Medien und Kunden zu kommunizieren. Auch interne Eskalationsverfahren sind festzulegen. Darüber hinaus müssen größere Vorfälle dem relevanten oberen Management und dem „Leitungsorgan“ mit einer Erklärung der Auswirkungen, der Reaktion und der zusätzlichen Kontrolle gemeldet werden, die infolge des Vorfalls eingeführt werden sollen.

  • WIE SIEHT DER DORA-ZEITPLAN AUS?

    Die erste Charge der DORA-Richtlinienprodukte wurde am 17. Januar 2024 veröffentlicht und DORA gilt ab dem 17. Januar 2025.

NICHT DEN PASSENDEN SERVICE GEFUNDEN?

Finden Sie weitere Dienstleistungen im Solution Finder oder lassen Sie uns Ihre Nachricht zukommen