Montag, 20. Juni 2022

Digital Operational Resilience Act (DORA): Cybersicherheit – ein Muss

IKT-Vorfälle in internen und externen IKT-Systemen: operative Aspekte – mehr als eine Pflicht

Ralf Kluge, Senior IT-Auditor/-Consultant, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft, Neu-Isenburg

I. Einführung

In diesem Beitrag werden spezifisch die operativen Aspekte von DORA konkretisiert. Im Besonderen liegt hier der Fokus auf IKT-Systemkonfiguration und IKT-Verbindungen sowie dem Umgang mit IKT-Vorfällen.

II. Information und Cybersicherheit

DORA verlangt von den Finanzunternehmen, dass sie alle IKT-bezogenen Geschäftsfunktionen, die diese Funktionen unterstützenden Informationsbestände sowie die IKT-Systemkonfigurationen und -Verbindungen mit internen und externen IKT-Systemen kontinuierlich identifizieren, klassifizieren und angemessen dokumentieren. Dementsprechend müssen die Finanzinstitute mindestens einmal jährlich (und bei Bedarf) die Angemessenheit der Klassifizierung der Informationsressourcen und aller relevanten Unterlagen überprüfen. 

Eine weitere Vorschrift besagt, dass Finanzunternehmen bei jeder größeren Änderung der Netz- und Informationssysteminfrastruktur oder der Prozesse oder Verfahren, die sich auf ihre Funktionen, unterstützenden Prozesse oder Informationsbestände auswirken, eine Risikobewertung durchführen müssen. 

Die Finanzunternehmen müssen außerdem die Funktionsweise der IKT-Systeme und -Werkzeuge kontinuierlich überwachen und kontrollieren sowie die Risikoauswirkungen durch den Einsatz geeigneter IKT-Sicherheits- und Ausfallsicherheitsinstrumente, -strategien und -verfahren minimieren. 

Gemäß der vorgeschlagenen Verordnung müssen Strategien und Protokolle für starke Authentifizierungsmechanismen auf der Grundlage einschlägiger Normen und spezieller Kontrollsysteme implementiert werden, um den Zugang zu den kryptografischen Schlüsseln zu verhindern, wenn Daten auf Grundlage der Ergebnisse genehmigter Datenklassifizierungs- und Risikobewertungsverfahren verschlüsselt werden. 

1. Erkennung, Reaktion und Wiederherstellung 

DORA verlangt von den Finanzunternehmen, dass sie mehrere Kontrollebenen einrichten, Warnschwellen und -kriterien festlegen, um IKT-bezogene Vorfälle zu erkennen und darauf zu reagieren. Die Unternehmen müssen automatische Warnmechanismen für die Mitarbeiter einrichten, die für die Reaktion auf IKT-Vorfälle zuständig sind. 

Finanzinstitute sind außerdem verpflichtet:  [...]
Beitragsnummer: 21714

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei MeinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "FCH MeinAbo" Ihr

aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Beitrag teilen:

Produkte zum Thema:

Produkticon
10. Fachtagung Informationssicherheit

1.500,00 € exkl. 19 %

05.09.2022 - 06.09.2022

Produkticon
NEUE BAIT – Neuerungen aufsichtskonform umsetzen

89,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
Digital Operational Resilience Act (DORA): Ein risikobasierter Ansatz

Finanzsystem-Teilnehmer werden zu Sicherheitsvorkehrungen verpflichtet, um Cyber-Angriffe und andere IKT-Risiken einzudämmen

17.06.2022

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.