DORA-Compliance Teil 5: Informationsaustausch

Im Zeitalter wachsender digitaler Bedrohungen sind Transparenz und Zusammenarbeit entscheidende Faktoren, um Risiken zu minimieren. Mit der fünften Säule der Verordnung regt DORA Finanzunternehmen an, Informationen und Erkenntnisse über Cyberbedrohungen nach sicheren Standardverfahren auszutauschen. 

Starke kollektive Resilienz

Die fünfte Säule der DORA-Verordnung (Kapitel VI, Artikel 45 und49) fokussiert den freiwilligen, standardisierten Informationsaustausch zwischen Unternehmen, Behörden und anderen Akteuren des Finanzsektors. Ziel ist es, durch den Dialog über Erkenntnisse, Bedrohungsanalysen und bewährte Verfahren die „Situational Awareness“ zu verbessern und die Resilienz im gesamten EU-Finanzsektor zu stärken.

Welche Pflichten bestehen für Unternehmen?

Unternehmen können sich nach standardisierten und sicheren Verfahren effizient über IKT-bezogene Risiken, Vorfälle und Schwachstellen austauschen. Eine Verpflichtung hierzu besteht aber nicht. Der Dialog mit Behörden, Kunden und anderen Unternehmen soll dabei unterstützen, Risiken koordiniert bewältigen zu können. Hiermit will die Europäische Kommission Threat Intelligence Sharing fördern: Indem sich alle Akteure über Bedrohungsanalysen, Risiken, Sicherheitswarnungen sowie bewährte Abwehrmethoden schnell und transparent austauschen, können auch andere Unternehmen bei Bedarf rechtzeitig Maßnahmen ergreifen. Für den Informationsaustausch müssen sich alle Beteiligten an strenge Vertraulichkeitsanforderungen halten, um die Integrität aller Akteure zu wahren. Finanzunternehmen haben der zuständigen Aufsicht lediglich mitzuteilen, sobald ihr Mitwirken in solchen Information-Sharing-Vereinbarungen bestätigt wurde oder dieses endet.

Vorteile eines aktiven Informationstauschs

• Frühzeitiges Erkennen von Risiken
• Rechtzeitiges und passgenaues Gegensteuern bei Bedrohungslagen
• Förderung von effizienten Netzwerkeffekten
• Stärkung der Resilienz des gesamten Finanzsektors
• Nachhaltige Verbesserung der Sicherheitslage im europäischen Finanzmarkt
• Vereinfachte Einhaltung regulatorischer Vorgaben

Praxisbeispiel

Innerhalb einer Information-Sharing-Vereinbarung eines Branchenverbands werden beteiligte Mitgliedsunternehmen über eine neue Ransomware-Kampagne informiert. Durch die schnelle und gezielte Verteilung der Analysen und Warnungen an einen großen Verteilen können alle Empfänger sofort präventive Maßnahmen ergreifen und z. B. Mitarbeiter gezielt schulen sowie Sicherheitsrichtlinien aktualisieren. Durch dieses koordinierte Vorgehen können potenzielle Millionenverluste ebenso wie Reputationsschäden abgewendet werden.

DORA-Compliance: Checkliste Informationsaustausch

• Kooperationsnetzwerke: Kennen Sie alle potenziellen Partner für den Informationsaustausch, wie Branchenverbände, CERTs (Computer Emergency Response Teams) und Behörden?
• Definierte Prozesse: Haben Sie interne Abläufe für die Meldung und Weitergabe von sicherheitsrelevanten Informationen festgelegt?
• Effizienter Datenschutz: Sorgen implementierte Sicherheitsmechanismen für den ausreichenden Schutz der sensiblen Informationen
• Mitarbeiterschulungen: Sind Ihre Teams über die Bedeutung des Informationsaustauschs und den Umgang mit sensiblen Daten umfassend geschult?
• Technische Infrastruktur: Nutzen Sie sichere Plattformen und Tools, um den Austausch effizient und datenschutzkonform zu gestalten?

Zusammenarbeit fördert Sicherheit

Der durch DORA geförderte Informationsaustausch ermöglicht es Unternehmen, ihre Sicherheitsstrategien gezielt zu verbessern und ihre Resilienz gegenüber digitalen Bedrohungen zu stärken. Durch das Teilen von Wissen und die gegenseitige Unterstützung leisten Organisationen nicht nur einen wichtigen Beitrag zur eigenen Sicherheit, sondern zur Stabilität und Widerstandsfähigkeit des gesamten Finanzsektors.

Erfahren Sie mehr darüber, wie Tresorit Finanzunternehmen dabei unterstützt, ihre Daten sicher und DORA-konform zu verwalten.