In einer Ära, in der Cyberbedrohungen und betriebliche Störungen immer häufiger auftreten, hat die Europäische Union im Dezember 2022 einen bedeutenden Schritt unternommen, um den europäischen Finanzsektor zu schützen: die Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act oder DORA).
DORA (Digital Operational Resilience Act) ist eine Verordnung, die darauf abzielt, die IT-Sicherheit und die betriebliche Widerstandsfähigkeit von Finanzinstituten und ICT-Dienstleistern in der EU zu verbessern. Diese Verordnung betrifft mehr als 22 Finanzinstitute und ICT-Dienstleister in der EU, darunter Banken, Versicherungen und Investmentgesellschaften.
DORA betrifft nicht nur IT-Abteilungen, sondern auch Beschaffungs- und Finanzabteilungen. Die IT ist für Technologie und Betrieb zuständig während die Beschaffungs- und Finanzleitung die Einhaltung von Vorschriften bei Drittanbietern überwacht.
In diesem Artikel werden wir die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor im Detail beleuchten. Wir werden außerdem besprechen, wie Fachleute in Beschaffung und Finanzen sich auf die DORA-Regelungen vorbereiten können.
Worum geht es in der Verordnung über die digitale operationale Resilienz im Finanzsektor ?
DORA (Digital Operational Resilience Act) ist eine wegweisende Verordnung der Europäischen Union, die die Sicherheit im gesamten EU-Finanzsektor stärken soll. Offiziell in Kraft getreten am 16. Januar 2023, wird DORA ab dem 17. Januar 2025 anwendbar sein.
Diese DORA-Verordnung zielt darauf ab, ein harmonisiertes und umfassendes Rahmenwerk zu schaffen, das die Fähigkeit der Finanzinstitute stärkt, digitalen Risiken und Störungen zu widerstehen und darauf zu reagieren.
Damit soll die Stabilität und Sicherheit des Finanzsektors der EU angesichts wachsender digitaler Bedrohungen gewährleistet werden. DORA gilt für alle Finanzdienstleistungsinstitutionen in der EU, wie Banken, Versicherungen, Pensionsfonds, Börsen und ICT-Systemanbieter.
DORA stärkt außerdem die Europäischen Aufsichtsbehörden (ESAs), zu denen die EBA, EIOPA und ESMA gehören. Diese Behörden überwachen die Umsetzung und Durchsetzung von DORA, um den Finanzsektor vor digitalen Bedrohungen zu schützen.
Welche Ziele verfolgt die DORA-Verordnung?
Um die Sicherheit des EU-Finanzsektors zu stärken, umfasst DORA ein Regelwerk, um die folgenden Punkte zu stärken und zu verbessern:
- IT-Sicherheit: DORA fordert von Finanzinstituten, strenge IT-Sicherheitsmaßnahmen zu implementieren. Dadurch sollen sie sich vor Cyber-Bedrohungen schützen und die Integrität ihrer digitalen Systeme gewährleisten.
- Operative Resilienz: Institutionen müssen starke Rahmenwerke entwickeln, um schnell auf digitale Störungen reagieren zu können. Dadurch können sie effektiv bleiben und ihre operative Resilienz stärken.
- Risikomanagement: DORA setzt hohe Standards für das Risikomanagement und stellt sicher, dass Finanzinstitute umfassende Strategien zur Identifizierung, Analyse und Minderung digitaler Risiken haben.
- Aufsicht und Koordination: Die Verordnung stärkt die Aufsichtsbefugnisse der zuständigen Behörden, und unterstützt deren Zusammenarbeit und Informationsaustausch. Das Ziel ist, grenzüberschreitende Risiken zu bekämpfen und einheitliche Standards in der EU sicherzustellen.
Was sind die fünf Kernkomponenten von DORA?
DORA umfasst fünf zentrale Komponenten, die zusammen die digitale operative und Cyber-Resilienz der Finanzsysteme in europäischen Märkten stärken:
- IKT-Risikomanagementstrategie : Finanzinstituten müssen Strategien zur Identifizierung, Bewertung und Minderung von Risiken für Informations- und Kommunikationstechnologien (IKT) entwickeln. Dies umfasst unter anderem regelmäßige Risikobewertungen, die Implementierung von Sicherheitskontrollen und die Einrichtung von Prozessen, um auf Bedrohungen angemessen reagieren zu können, und somit Integrität, Verfügbarkeit und Vertraulichkeit von Informationssystemen jederzeit zu gewährleisten.
- IKT-bezogene Vorfallberichterstattung : DORA schreibt die umgehende Meldung von Cybervorfällen an die zuständigen Behörden vor, um eine koordinierte Reaktion auf Bedrohungen zu ermöglichen sowie Trends und Muster in Cyberangriffen zu erkennen.
- Tests zur digitalen operativen Resilienz : Finanzinstitute müssen regelmäßig Resilienztests, einschließlich szenariobasierter und Penetrationstests, durchführen, um die Wirksamkeit ihrer IKT-Systeme zu analysieren sowie Schwachstellen zu identifizieren und zu beheben.
- Risikomanagement bei IKT-Drittanbietern : Finanzunternehmen müssen eine gründliche Due Diligence und kontinuierliche Risiko-Kontrolle von IKT-Drittanbietern durchführen, um die Einhaltung von Cybersecurity-Standards durch Drittanbieter sicherzustellen und Risiken aus externen Partnerschaften zu mindern.
- Informationsaustausch : DORA ermutigt Finanzinstitute, sich regelmässig über neuste Erkenntnisse und bewährte Lösungen auszutauschen. Diese Zusammenarbeit stärkt die kollektive Cyber-Resilienz und ermöglicht es, sich auf neue Bedrohungen einzustellen und effektiv auf Cybervorfälle zu reagieren.
DORA – Fristen und Deadlines
Für die Umsetzung der DORA-Verordnung, die am 16.01.2023 in Kraft getreten ist, ist eine Frist von zwei Jahren vorgesehen. In dieser Zeit müssen Finanzinstitutionen ihre Prozesse, Systeme und Kontrollen an die Anforderungen von DORA anpassen.
Ab dem 17. Januar 2025 ist die Einhaltung von DORA Anforderungen verpflichtend. Finanzinstitutionen in der gesamten EU müssen bis dahin DORA-Anforderungen in ihre Abläufe integrieren, wobei die europäischen Aufsichtsbehörden (ESAs) deren Einhaltung überwachen, um höchstmögliche Standards in Sachen digitaler Resilienz sicherzustellen. Da sich digitale Bedrohungen weiterentwickeln, wird DORA weiter verfeinert. Finanzinstitutionen müssen eine proaktive Haltung bewahren, indem sie ihre Resilienzstrategien und Compliance-Maßnahmen regelmäßig aktualisieren.
Überholung und Anpassung aller Beschaffungsprozesse an DORA
Finanzinstitute müssen alle Beschaffungsprozesse auf DORA-Compliance überprüfen. Eine solide Sourcing-Strategie und das Management des Konzentrationsrisikos sind entscheidend, um Risiken korrekt zu bewerten und zuverlässige Lieferanten auszuwählen. Verträge sollten DORA-spezifische Klauseln enthalten, um Cybersecurity-Standards zu gewährleisten. Im Lieferantenmanagement sind gründliche Prüfungen und regelmäßige Audits notwendig, um die Erfüllung der DORA-Anforderungen sicherzustellen. Der Procure-to-Pay-Prozess hingegen muss durch sichere Workflows und Systeme für Rechnungsverarbeitung und Zahlungssicherheit optimiert werden. Effektives Risikomanagement und umfassende Berichterstattung sind unerlässlich, um Schwachstellen zu identifizieren und die Compliance aufrechtzuerhalten.
Detaillierte Informationen zu rechtlichen Anforderungen und praktischen Auswirkungen auf einzelne Beschaffungsprozesse finden Sie in unserem Artikel DORA – Fokus Prozessanpassung.
Informationsrepository und -Austausch
Gemäß dem Digital Operational Resilience Act (DORA) müssen Finanzunternehmen ab dem Januar 2025 Informationsregister führen, die ständig auf dem neuesten Stand gehalten werden. Diese Register sollen alle vertraglichen Vereinbarungen über die Nutzung von Informations- und Kommunikationstechnologiediensten (IKT) zwischen dem Finanzunternehmen und IKT-Drittanbietern enthalten, sowie Informationen zu Hardware- und Software-Inventaren, Datenflüssen, Netzwerkkonfigurationen, Berichte über Zwischenfälle etc. Die Unternehmen müssen diese Register jährlich einreichen und auf Anfrage der Finanzaufsicht BaFin zur Verfügung stellen.
DORA verlangt darüber hinaus die sofortige Meldung von Cybervorfällen an Behörden, um eine koordinierte Reaktion und Erkennung von Angriffsmustern zu ermöglichen. Finanzinstitute sollen regelmäßig Informationen und bewährte Praktiken austauschen, um die kollektive Cyber-Resilienz zu stärken und effektiv auf neue Bedrohungen zu reagieren.
Bereit für DORA
DORA (Digital Operational Resilience Act) bringt bedeutende Veränderungen für die Beschaffungsaktivitäten in Finanzinstituten mit sich, um europaweit digitale Resilienz und Cybersicherheit zu stärken. Aber wie genau können sich Beschaffungs- und Finanzabteilungen auf die DORA-Verordnung vorbereiten?
In einem Webinar teilen Thomas Meyer, KPMG, sowie Simone Smits und Arnaud Malardé, beide Ivalua, wertvolle Strategien sowie eine Schritt-für-Schritt-Anleitung, um Beschaffungsprofis bei der Anpassung an sich ständig ändernde Regelungen zu unterstützen.
DORA Compliance mit Ivalua
Obwohl Ivalua nicht direkt von den Europäischen Aufsichtsbehörden (ESAs) überwacht wird, bietet unsere Plattform wichtige Funktionen für Finanzinstitute, die DORA Anforderungen einhalten müssen und dient als unverzichtbares digitales Repository.
Dieses Repository ist mehr als nur eine Vertragsdatenbank. In den regulatorischen technischen Standards (RTS) von DORA wird es als Sammlung von 14 miteinander verbundenen Datenbanken beschrieben, die durch fünf eindeutige Kennungen verknüpft sind, um eine nahtlose Kommunikation zu gewährleisten.
Darüber hinaus ermöglicht die Plattform die Überwachung der Dienstleistungslieferkette mit Transparenz bis hin zu den Tier-N-Unterauftragnehmern, was die Einhaltung der Anforderungen bezüglich Transparenz und Überwachung in der Lieferkette sicherstellt. Dieser umfassende Ansatz unterstützt eine robuste Compliance und stärkt die operative Resilienz.
Die Handhabung komplexer Anforderungen mit zahlreichen Datentabellen oder sogar Datenbanken und Kennungen ist besonders bei einer Multi-Tenant-Architektur herausfordernd. Während viele S2P-Anbieter Schwierigkeiten haben, ihr Datenmodell in erforderlichem Maße zu erweitern, unterstützt Ivalua alle neuen und spezifischen Datenpunkte.
Um den Anforderungen der DORA-Verordnung gerecht zu werden, benötigen Kunden mindestens die folgenden Schlüsselmodule:
- Modul für Lieferantenbeziehungen: Unverzichtbar für die Due-Diligence-Prüfung von Lieferanten, die Verwaltung von Lieferanteninformationen, den Betrieb eines Risikozentrums, die Verfolgung der Lieferantenperformance sowie das Handling von Problemerkennung und Verbesserungsplänen.
- Sourcing-Modul: Zum Risikomanagement vor dem Abschluss neuer Verträge.
- Modul für Vertragsmanagement: Bietet Vertragstemplates, in die alle DORA-spezifischen Klauseln – wie die Zusammenarbeit mit zuständigen Behörden, Datenintegrität und Zugänglichkeit, Exit-Strategien und Migrationsbestimmungen – eingebettet werden können.
Sehen Sie sich eine Demo der Source-to-Pay-Plattform von Ivalua an, die alle Anforderungen von DORA erfüllt.
Fazit
Die Einhaltung der DORA-Vorgaben ist für Finanzinstitute von entscheidender Bedeutung, um eine robuste digitale Betriebsresilienz zu gewährleisten und sich gegen zunehmende Cyberbedrohungen zu schützen. Es ist unerlässlich, sich frühzeitig mit den notwendingen Vorbereitungen zur DORA Compliance zu beginnen, da dies eine gründliche Analyse und danach die Integration umfassender Lösungen erfordert.
Ivalua wurde entwickelt, um die DORA-Compliance zu erfüllen und bietet eine nahtlose und effiziente Möglichkeit, die notwendigen regulatorischen Anforderungen zu verwalten.
Lesen Sie den neuesten Ivalua Report zum Thema DORA: Navigating DORA’s Requirements for Procurement and Finance Leaders.