Montag, 20. Juni 2022

Digital Operational Resilience Act (DORA): Cybersicherheit – ein Muss

IKT-Vorfälle in internen und externen IKT-Systemen: operative Aspekte – mehr als eine Pflicht

Ralf Kluge, Senior IT-Auditor/-Consultant, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft, Neu-Isenburg

I. Einführung

In diesem Beitrag werden spezifisch die operativen Aspekte von DORA konkretisiert. Im Besonderen liegt hier der Fokus auf IKT-Systemkonfiguration und IKT-Verbindungen sowie dem Umgang mit IKT-Vorfällen.

II. Information und Cybersicherheit

DORA verlangt von den Finanzunternehmen, dass sie alle IKT-bezogenen Geschäftsfunktionen, die diese Funktionen unterstützenden Informationsbestände sowie die IKT-Systemkonfigurationen und -Verbindungen mit internen und externen IKT-Systemen kontinuierlich identifizieren, klassifizieren und angemessen dokumentieren. Dementsprechend müssen die Finanzinstitute mindestens einmal jährlich (und bei Bedarf) die Angemessenheit der Klassifizierung der Informationsressourcen und aller relevanten Unterlagen überprüfen. 

Eine weitere Vorschrift besagt, dass Finanzunternehmen bei jeder größeren Änderung der Netz- und Informationssysteminfrastruktur oder der Prozesse oder Verfahren, die sich auf ihre Funktionen, unterstützenden Prozesse oder Informationsbestände auswirken, eine Risikobewertung durchführen müssen. 

Die Finanzunternehmen müssen außerdem die Funktionsweise der IKT-Systeme und -Werkzeuge kontinuierlich überwachen und kontrollieren sowie die Risikoauswirkungen durch den Einsatz geeigneter IKT-Sicherheits- und Ausfallsicherheitsinstrumente, -strategien und -verfahren minimieren. 

Gemäß der vorgeschlagenen Verordnung müssen Strategien und Protokolle für starke Authentifizierungsmechanismen auf der Grundlage einschlägiger Normen und spezieller Kontrollsysteme implementiert werden, um den Zugang zu den kryptografischen Schlüsseln zu verhindern, wenn Daten auf Grundlage der Ergebnisse genehmigter Datenklassifizierungs- und Risikobewertungsverfahren verschlüsselt werden. 

1. Erkennung, Reaktion und Wiederherstellung 

DORA verlangt von den Finanzunternehmen, dass sie mehrere Kontrollebenen einrichten, Warnschwellen und -kriterien festlegen, um IKT-bezogene Vorfälle zu erkennen und darauf zu reagieren. Die Unternehmen müssen automatische Warnmechanismen für die Mitarbeiter einrichten, die für die Reaktion auf IKT-Vorfälle zuständig sind. 

Finanzinstitute sind außerdem verpflichtet:  [...]
Beitragsnummer: 21714

Weiterlesen?

Dies ist ein kostenloser Beitrag aus unserem Beitragsarchiv.

Um diese Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach auf Beitragsarchiv klicken.

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "Beitragsarchiv" Ihre Beiträge anschauen.

Beitrag teilen:

Produkte zum Thema:

Produkticon
NEUE BAIT – Neuerungen aufsichtskonform umsetzen

89,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
Cybersicherheit im Fokus: DORA und BCM als Säulen der Resilienz

In einer Welt, die zunehmend von digitalen Technologien geprägt ist, rücken Cybersicherheit und Resilienz immer stärker in den Mittelpunkt der strategischen U

02.05.2024

Beitragsicon
DORA-Herausforderung für Auslagerungen und die digitale Transformation

Der Artikel analysiert, wie DORA neue Anforderungen an das Outsourcing und die IT-Sicherheit im Finanzsektor stellt, um die digitale Resilienz der Institute z

09.12.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.