Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Wird der Bankensektor in der EU auf die DORA-Konformität vorbereitet sein?

Maritza Marie Dubec
Leitender Content-Marketing-Manager
Illumio Editorial
November 27, 2024
23 min. lesen

Im Januar 2025 stehen Finanzinstitute in Europa vor einer großen Bewährungsprobe: dem Digital Operational Resilience Act (DORA).  

DORA kombiniert IKT-Risiko- und Resilienzregeln in einem einheitlichen Framework. Aber werden Finanzorganisationen bereit sein?

Viele kämpfen gegen die Zeit. Enge Zeitpläne und sich ändernde Standards erschweren die Vorbereitung.

Raghu Nandakumara, Senior Director of Industry Solutions Marketing bei Illumio, erklärt: "Banken hätten früher von klareren technischen Standards profitiert. Die Standards kamen in zwei Wellen: eine Anfang 2022 und die zweite Mitte 2024. Damit blieben weniger als 12 Monate vor Ablauf der Frist am 17. Januar."

DORA auspacken

Was benötigt DORA bis zum Ablauf der Frist? Es geht nicht nur um den Schutz von Systemen. Der Fokus liegt darauf, kritische Dienste am Laufen zu halten – auch bei Störungen.

Um die DORA-Standards zu erfüllen, müssen Finanzinstitute:

  • Testen Sie IKT-Systeme regelmäßig
  • Managen Sie Risiken mit Drittanbietern
  • Stellen Sie sicher, dass wichtige Dienste in jedem Fall betriebsbereit bleiben
"DORA hat einen klaren Fokus: die Auswirkungen von Vorfällen zu reduzieren. Der Ansatz? Gehen Sie davon aus, dass es zu Verstößen kommen wird." – Raghu Nandakumara

Die 6 größten Herausforderungen der DORA-Compliance

1. Enge Zeitpläne, sich entwickelnde Standards

Die Regeln, die die Anforderungen von DORA erläutern, die so genannten technischen Regulierungsstandards (RTS), wurden erst spät veröffentlicht. Die erste Version kam im Januar 2024 heraus, die zweite folgte im Juli. Mit weniger als einem Jahr Vorbereitungszeit hat sich die Erfüllung der Anforderungen zu einem Wettlauf gegen die Zeit entwickelt.

2. Verwaltung von Drittanbietern

Drittanbieter – wie Hyperscaler und Managed Service Provider (MSPs) – sind der Schlüssel zu Finanzdienstleistungen. Aber hier ist die Herausforderung: Wer entscheidet, ob ein Anbieter in den Geltungsbereich von DORA fällt? "Entscheidet das Finanzinstitut oder die Aufsichtsbehörde?", fragt Raghu.

Für kleinere MSPs sind die Hürden noch höher. Compliance hängt von ihrer Rolle in den Finanzprozessen ab. Ohne klare Regeln ist es schwierig zu wissen, was erforderlich ist. Um dies zu beheben, sind zwei Dinge erforderlich:

  • Klarere Richtlinien
  • Stärkere Zusammenarbeit mit Anbietern
3. Governance und Führung aufeinander abstimmen

DORA stellt die operative Resilienz ganz oben auf die Führungsagenda. Die Boards müssen:

  • Legen Sie klare ICT-Risikogrenzen fest
  • Überwachen Sie größere Vorfälle
  • Stellen Sie sicher, dass die richtigen Ressourcen vorhanden sind

Vielen Organisationen fehlt es jedoch an der Struktur und dem Bewusstsein, um diese Ziele zu erreichen.

4. Testen und stetige Verbesserung

Das Testen spielt eine Schlüsselrolle für die DORA-Compliance. Organisationen müssen:

  • Durchführung jährlicher Resilienztests für IKT-Systeme
  • Führen Sie alle drei Jahre erweiterte Penetrationstests durch
"Tests helfen, Lücken zu identifizieren und Verbesserungspläne zu entwickeln, um den Fortschritt bis zur Reife voranzutreiben. Diese Tests sind jedoch ressourcenintensiv und erfordern Teamarbeit zwischen Abteilungen und Anbietern. – Raghu Nandakumara
5. Aufbau einer resilienten Kultur

Bei DORA geht es nicht darum, Kästchen anzukreuzen. Es geht darum, vorbereitet zu bleiben. Die Führung muss:

  • Fördern Sie die Teamarbeit zwischen den Abteilungen

Ein kultureller Wandel kann für den langfristigen Erfolg entscheidend sein.

6. Qualifikationslücke: Wachsender Druck

Die weltweite Lücke zwischen 4 Millionen Arbeitskräften im Bereich Cybersicherheit – schätzungsweise 4 Millionen – verschärft die Herausforderungen von DORA. Ein starkes Compliance-Programm kann diesen Druck verringern. Es vereinfacht den Aufwand und bietet gleichzeitig breitere betriebliche Vorteile.

"Die neuen Mandate von DORA erhöhen den Druck auf die Sicherheits-, Richtlinien- und Audit-Teams." – Raghu Nandakumara

Wie passen DORA und Zero Trust zusammen?

Erwähnt DORA Zero Trust? Nicht direkt. Aber die Schlüsselideen – wie der Zugriff auf die geringsten Rechte und die kontinuierliche Überwachung – stimmen eng überein.

Die Zero-Trust-Philosophie "Never Trust, Always Verify" reduziert das Risiko, indem jeder Benutzer, jedes Gerät, jede Anwendung und jeder Workload authentifiziert wird, bevor er Zugriff auf .

Wie hilft es bei den größten Cyberrisiken von heute?

  • Stoppt Ransomware: Reduzieren Sie die Auswirkungen von Ransomware-Angriffen , indem Sie die Ausbreitung im Netzwerk begrenzen.
  • Verwaltet Risiken von Drittanbietern: Beschränken Sie den Zugriff von Anbietern auf kritische Systeme. Kontrollieren Sie, wie viel Zugriff Anbieter auf kritische Systeme haben.

Countdown bis zum 17. Januar

Die Uhr tickt. Tests, Aufsicht durch Dritte und Resilienzplanung sind nicht optional. Es erfordert proaktive Strategien und einen kulturellen Wandel hin zu Resilienz.  

Raghu erklärte: "Die EU will Fortschritt, nicht Perfektion. Sie wollen sehen, wie Organisationen die Anforderungen interpretieren und was sie erreicht haben."

Sind Sie daran interessiert, mehr über DORA-Compliance zu erfahren? Laden Sie unser kostenloses eBook herunter, Strategien für DORA-Compliance: Die Schlüsselrolle der Mikrosegmentierung. Finden Sie heraus, wie Mikrosegmentierung die Sicherheit Ihres Unternehmens verbessern kann.

Verwandte Themen

Banking & Financial Services

Verwandte Artikel

Unsere Lieblings-Zero-Trust-Geschichten vom August 2023
Cyber Resilience

Unsere Lieblings-Zero-Trust-Geschichten vom August 2023

Hier sind einige der Zero-Trust-Geschichten und -Perspektiven, die uns in diesem Monat besonders aufgefallen sind.

Read more
Kennen Sie die Punktzahl: Die Gefährdung von Schwachstellen erklärt
Cyber Resilience

Kennen Sie die Punktzahl: Die Gefährdung von Schwachstellen erklärt

Wie wir den Vulnerability Exposure Score berechnen, der es Unternehmen ermöglicht, branchenübliche Schwachstellenbewertungsmessungen mit dem Kontext aus ihrer Umgebung zu kombinieren.

Read more
Cybersicherheitsprognosen für 2021
Cyber Resilience

Cybersicherheitsprognosen für 2021

In der Annahme, dass die Cloud alles löst, übersehen zu viele Unternehmen die Endpunktsicherheit. Hier erfahren Sie, was dies für DevSecOps und Cyberrisiken bedeutet.

Read more
BT und Illumio: Vereinfachung der DORA-Compliance
Cyber Resilience

BT und Illumio: Vereinfachung der DORA-Compliance

Erfahren Sie, wie Sie die Cyber-Resilienz erhöhen, IKT-Risiken managen und Ihr Finanzinstitut auf die DORA-Compliance-Frist im Januar 2025 vorbereiten können.

Read more
So erreichen Sie DORA-Konformität mit Illumio
Cyber Resilience

So erreichen Sie DORA-Konformität mit Illumio

Lernen Sie die drei Tools kennen, die in der Illumio Zero Trust Segmentation (ZTS) Platform verfügbar sind und Ihnen helfen, DORA-Compliance aufzubauen.

Read more
Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Cyber Resilience

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance

Tristan Morgan, Managing Director of Cybersecurity bei BT, und Mark Hendry, Digital Services Partner bei Evelyn Partners, erhalten Einblicke in die DORA-Compliance.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more