DORA-Compliance Teil 2: Umgang mit IKT-bezogenen Vorfällen

Geschrieben von Brigitta Finta
DORA-Compliance Teil 2: Umgang mit IKT-bezogenen Vorfällen

Ab dem 17. Januar 2025 ist die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor, kurz DORA, verbindlich. Sie stellt sicher, dass Unternehmen im Finanzwesen besser gegen digitale Bedrohungen gewappnet sind. Die zweite zentrale Säule von DORA umfasst Vorgaben zum Umgang mit IKT-bezogenen Vorfällen. 

Die zunehmende Digitalisierung und Vernetzung haben Finanzunternehmen in den letzten Jahren effizienter gemacht, aber auch anfälliger für Cyberangriffe und technische Störungen. Die Artikel 17 bis 23 des 3. Kapitels der DORA-Verordnung schreiben vor, wie Unternehmen mit IKT-bezogenen Vorfällen umgehen müssen. Dieser Teilbereich zielt darauf ab, im gesamten EU-Finanzsektor einheitliche Standards für die Identifizierung, Meldung und Bewältigung solcher Ereignisse zu schaffen.

Was sind IKT-bezogene Vorfälle?

IKT-bezogene Vorfälle bezeichnen alle Ereignisse, die die Verfügbarkeit, Vertraulichkeit oder Integrität der IT-Systeme eines Unternehmens beeinträchtigen. Dazu zählen:

  • Cyberangriffe wie Phishing oder Ransomware
  • Systemausfälle durch technische Fehler oder menschliches Versagen
  • Datenlecks, die sensible Kunden- oder Unternehmensdaten gefährden

Welche Pflichten gelten für Unternehmen?

Identifizierung und Klassifizierung von Vorfällen

Unternehmen müssen Mechanismen implementiert haben, mit denen sie IKT-bezogene Vorfälle schnell erkennen und ihre Relevanz beurteilen können. DORA schreibt eine Unterscheidung zwischen schwerwiegenden und nicht-schwerwiegenden Vorfällen vor. Als schwerwiegend gelten danach Ereignisse, die die Vertraulichkeit, Verfügbarkeit oder Integrität der Systeme erheblich beeinträchtigen oder betriebliche Abläufe stören. Für die Klassifizierung der Vorfälle sind z. B. die Relevanz der betroffenen Systeme, die Dauer der Störung, die potenziellen finanziellen Schäden oder das Reputationsrisiko zu berücksichtigen.

Reaktion und Bewältigung von Vorfällen

Mit Inkrafttreten der Verordnung müssen Finanzunternehmen strukturierte Reaktionspläne vorlegen können, die sie darüber hinaus regelmäßig testen und bei Bedarf anpassen müssen. Diese Pläne berücksichtigen verschiedene Arten von Vorfällen, priorisieren den Schutz betroffener Daten und definieren Verantwortlichkeiten ebenso wie konkrete Maßnahmen zur Eindämmung von Schäden und zur  Wiederherstellung der Systeme. Für interne Analysen und eine kontinuierliche Verbesserung der Resilienz müssen Unternehmen jeden IKT-bezogenen Vorfall – unabhängig von seiner Schwere – vollständig dokumentieren.

Meldepflichten und Fristen

Eine der zentralen Anforderungen von DORA in diesem Bereich besteht in der Verpflichtung, schwerwiegende IKT-bezogene Vorfälle an zuständige Behörden zu melden. Die Meldungen müssen an nationale Aufsichtsbehörden sowie gegebenenfalls an die Europäische Bankenaufsichtsbehörde (EBA) erfolgen. Als meldepflichtig gelten Vorfälle, die erhebliche Auswirkungen auf die Finanzstabilität, den Betrieb des Unternehmens oder auf Kunden haben könnten sowie Vorfälle, die regulatorische Verpflichtungen gefährden. Betroffene Unternehmen müssen sich in diesen Fällen an klare Prozesse und strenge Fristen halten:

  • Erste Meldung: Stellt ein Unternehmen einen schwerwiegenden IKT-bezogenen Vorfall fest, muss dieser innerhalb von 4 Stunden oder spätestens 24 Stunden nach Bekanntwerden des Vorfalls gemeldet werden. Die Meldung muss erste Informationen wie die Art des Vorfalls, betroffene Systeme und eine erste Einschätzung der Auswirkungen enthalten.
  • Detaillierter Bericht: Innerhalb von 3 Werktagen nach der ersten Meldung ist ein umfassender Bericht abzugeben. Dieser sollte genaue Informationen über Ursache, Umfang und getroffene Maßnahmen enthalten.
  • Abschlussbericht: Sobald der Vorfall behoben ist, muss das betroffene Unternehmen einen Abschlussbericht einreichen, der eine Bewertung der Auswirkungen und Vorschläge zur Vermeidung ähnlicher Vorfälle enthält.

DORA-Compliance: Checkliste Meldepflichten

  • Sind alle schwerwiegenden IKT-Vorfälle in Ihrem Unternehmen klar definiert?
  • Haben Sie einen strukturierten Meldeprozess inklusive vorgeschriebenen Fristen implementiert?
  • Sind Ihre Mitarbeiter auf die Anforderungen und Abläufe geschult?
  • Verfügen Sie über ein System zur automatisierten Erstellung von Meldeberichten?
  • Werden Vorfälle regelmäßig dokumentiert und analysiert?

Für eine starke Sicherheitsinfrastruktur

Die Meldepflichten von DORA sind eine wesentliche Säule, um die digitale Resilienz im Finanzsektor zu stärken. Unternehmen, welche die Vorgaben konsequent umsetzen, profitieren von einer starken Sicherheitsinfrastruktur und vermeiden mögliche Sanktionen der Aufsichtsbehörden.

Erfahren Sie mehr darüber, wie Tresorit Finanzunternehmen dabei unterstützt, ihre Daten sicher und DORA-konform zu verwalten.

Vorgeschlagene Artikel