.png)
Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Der Digital Operational Resilience Act (DORA) der Europäischen Union wird die Finanzdienstleistungsbranche im Januar 2025 neu gestalten. Es setzt einen neuen Standard für Cybersicherheit und betriebliche Resilienz.
Die Umstellung auf DORA bringt zwar ihre Herausforderungen mit sich, bietet Unternehmen aber auch die Möglichkeit, ihre Abläufe zu stärken und sich auf die komplexe Bedrohungslandschaft von heute vorzubereiten.
In The Segment: A Zero Trust Leadership Podcast habe ich mit zwei Führungskräften im Bereich Security Compliance gesprochen – Tristan Morgan, Managing Director of Cybersecurity bei BT, und Mark Hendry, Digital Services Partner bei Evelyn Partners –, die ihre Erkenntnisse zum Umgang mit DORA-Compliance geteilt haben.
Über Tristan Morgan und Mark Hendry
Tristan leitet den Bereich Cybersicherheit bei BT , einem Unternehmen, das Sicherheits-, Cloud- und Netzwerkdienste für globale multinationale Unternehmen weltweit anbietet. Seine Erfahrung im Bereich Cybersicherheit für die britische Regierung und andere Länder hat ihm einen starken Hintergrund in der Sicherung komplexer digitaler Ökosysteme und der Sicherstellung von Compliance verschafft.
Bei Evelyn Partners begleitet Mark Kunden durch komplexe Herausforderungen bei der Einhaltung von Cybersicherheitsvorschriften . Er verfügt über umfangreiche Erfahrung in digitalen regulatorischen Bereichen, einschließlich der DSGVO, und konzentriert sich auf Programme zur Änderung regulatorischer Vorschriften. Er bietet seinen Kunden wertvolle Einblicke in die digitale Transformation und die Anpassung an neue Vorschriften wie DORA.
DORA: Ein ganzheitlicher Ansatz für die Cyber-Resilienz von Banken
DORA ist eine große Veränderung in der Art und Weise, wie die Banken- und Finanzbranche mit Resilienz umgeht, sowohl in Bezug auf den Betrieb als auch auf die Cybersicherheit. Anstelle von separaten Regeln für jedes Land behandelt DORA die Cyber-Resilienz als eine koordinierte Anstrengung in der gesamten EU.
"DORA hebt das Thema Resilienz auf ein höheres Niveau", erklärt Tristan. "Es erkennt die Auswirkungen an, die nicht nur auf der Ebene eines einzelnen Landes, sondern auf einer breiteren geografischen Ebene auftreten können."
Mark merkte an, dass er es für die "größte Resilienzintervention bei Finanzdienstleistungen seit dem Crash von 2008" hält. Nach 2008 ging es vor allem um finanzielle Widerstandsfähigkeit und darum, Bargeld im System zu halten, erklärte Mark. Heute ist die Weltwirtschaft zunehmend vernetzt, und die Gesellschaft verlässt sich in hohem Maße auf die digitale Infrastruktur des Bankensektors.
Mit der zunehmenden Vernetzung der Finanzinstitute in der EU wächst das Risiko durch Cyberbedrohungen und die Störungen, die sie verursachen können, rapide. DORA geht dieses Problem an, indem es eine einheitliche Strategie fördert und Unternehmen dabei hilft, ihre kritischen Abläufe zu schützen, egal wo sie sich befinden.
"Wenn man unterschiedliche Interpretationen von Cybersicherheit und Resilienz hat, dann gibt es keine Harmonisierung – man bewegt sich nicht alle in die gleiche Richtung", sagte Tristan. "Sicherheit ist ein Teamsport, und man muss Informationen zwischen Organisationen austauschen, um gemeinsam besser zu sein."
Mit DORA folgen Finanzorganisationen in der EU einem Regelwerk. Dies trägt dazu bei, die allgemeine Verteidigung der Branche gegen Sicherheitsverletzungen und Ransomware-Angriffe zu stärken. Es macht es auch für Unternehmen einfacher, die Vorschriften einzuhalten, wenn sich die Branche verändert und wächst.
Bei Cyber-Resilienz geht es ums Überleben, nicht nur um Sicherheit
Resilienz steht bei DORA im Vordergrund. Es geht nicht nur darum, Sicherheitsverletzungen zu stoppen, sondern auch sicherzustellen, dass Unternehmen im Falle einer Sicherheitsverletzung weiterarbeiten können.
Die jüngsten Cyberangriffe auf die Finanzbranche haben gezeigt, wie störend sie sein können und wie sie sich auf die gesamte Branche und sogar auf die Welt auswirken können.
"Resilienz ist alles", sagte Tristan. "Wenn es zu einer Sicherheitsverletzung kommt, geht es nicht darum, ob das Geschäft aufhört. Es geht darum, den Betrieb trotz des Verstoßes aufrechtzuerhalten."
Da es immer mehr Cyberbedrohungen gibt, ist es für Unternehmen, insbesondere im Bankwesen, wichtig, einen reibungslosen Betrieb aufrechtzuerhalten. Ein Verstoß im Bankensektor kann das Leben und die Arbeitsplätze von Menschen beeinträchtigen. Bei Cyber-Resilienz geht es ums Überleben, nicht nur darum, sicher zu bleiben.
Verwendung einer Zero-Trust-Strategie zur Erreichung der DORA-Konformität
DORA erwähnt Zero Trust nicht explizit. Aber die zugrunde liegenden Prinzipien von Zero Trust stimmen eng mit den Zielen der DORA überein.
Zu Marks Punkt: "Wenn Sie eine Suche in DORA durchgeführt haben und nach Begriffen wie 'Segmentierung' oder 'sofortige Trennung von Elementen des Netzwerks zur Eindämmung von Bedrohungen' gesucht haben, ist Zero Trust absolut drin."
Tristan erläuterte die vier entscheidenden Bereiche, in denen eine Zero-Trust-Strategie Ihnen helfen kann, die DORA-Anforderungen zu erfüllen:
- Identifizieren Kritische Anlagen und Bedrohungen: Verschaffen Sie sich einen Überblick über Ihr Netzwerk, damit Sie verstehen, was am anfälligsten ist und zuerst behoben werden muss.
- Bereiten Sie sich proaktiv auf Angriffe vor: Entwickeln Sie Sicherheitskontrollen, die Angriffe eindämmen , bevor sie kritische Ressourcen und Daten erreichen können.
- Geringste Rechte: Die geringsten Rechte sind ein Kernprinzip von Zero Trust und stellen sicher, dass Benutzer, Anwendungen und Dienste nur den minimalen Zugriff haben, den sie zum Ausführen ihrer Rollen benötigen. Dies verlangsamt Angreifer, wenn sie versuchen, sich durch das Netzwerk zu bewegen.
- Schnell Reagieren und Wiederherstellen von Incidents: Wenn es zu einer Sicherheitsverletzung kommt, ist es entscheidend, dass sie in der Lage ist, sie so schnell wie möglich zu erkennen, einzudämmen und zu reagieren. Zero-Trust-Lösungen wie Illumio lassen sich in Erkennungsplattformen integrieren, um diesen Prozess zu automatisieren.
Die Regeln von DORA orientieren sich an den Best Practices von Zero-Trust und zeigen den zukunftsorientierten Ansatz des Unternehmens. Durch die Aufnahme dieser Prinzipien in die Compliance-Regeln hilft DORA Banken, sich vor Bedrohungen zu schützen und auch während eines Angriffs einsatzbereit zu bleiben.
Sind Sie bei der DORA-Konformität im Rückstand? Hier ist, was zu tun ist
Um die DORA-Compliance zu erreichen, müssen Finanzorganisationen den Prozess durchdacht und strategisch angehen. Sowohl Tristan als auch Mark betonten, dass eine proaktive Planung unerlässlich ist.
Der Januar ist da, bevor Sie sich versehen. Wenn Sie befürchten, dass Ihr Unternehmen bereits im Rückstand ist, markieren Sie Empfehlungen, die Sie in Betracht ziehen sollten:
- Was wird am meisten wehtun, wenn es zu einem Angriff kommt
- Was Sie jetzt priorisieren müssen
- Was kann in die Planung des nächsten Jahres einfließen
Unternehmen sollten sich zuerst auf Bereiche mit hoher Wirkung konzentrieren. Erstellen Sie einen langfristigen Compliance-Plan, der Ihnen nachhaltigen Schutz bietet, nicht nur kurzfristige Lösungen.
Hören, abonnieren und rezensieren Sie The Segment: A Zero Trust Leadership Podcast
Möchten Sie mehr erfahren? Hören Sie sich die ganze Folge auf unserer Website, Apple Podcasts, Spotify oder wo auch immer Sie Ihre Podcasts erhalten, an. Sie können auch das vollständige Transkript der Episode lesen.
Laden Sie unser kostenloses E-Book herunter, Strategies for DORA Compliance: Key Role of Zero Trust Segmentation, um alles zu erfahren, was Sie über DORA wissen müssen.
