Zum Inhalt springen
Vorbereitung auf die DORA-Frist 2025

Dieser Blog wurde erstmals im Jahr 2025 veröffentlicht und wurde aktualisiert.

Mit der Verabschiedung des Digital Operational Resilience Act (DORA) durch die EU wurde ein grundlegender Wandel in der Herangehensweise von Finanzinstituten an Cybersicherheit, Risikomanagement und Betriebskontinuität eingeläutet. Zum ersten Mal erwähnten die Regulierungsbehörden die Identitätssicherheit nicht nur am Rande, sondern verankerten sie direkt im Rahmen der Compliance.

Diese Entwicklung trägt einer Tatsache Rechnung, die vielen Sicherheitsexperten seit Jahren bekannt ist: Die Identität ist die Grundlage der digitalen Sicherheit und ein Dreh- und Angelpunkt für die betriebliche Widerstandsfähigkeit. Sehen wir uns an, was sich geändert hat, welche Auswirkungen DORA auf die Identitätssicherheit haben wird, vor welchen Herausforderungen Finanzinstitute stehen und wie sich CISOs vorbereiten müssen, um sicherzustellen, dass ihre Organisationen die DORA-Anforderungen bis zum Stichtag 2025 erfüllen.

Identitätssicherheit ist nicht mehr nur Aufgabe der IT-Abteilung

Nach DORA muss jeder digitale Vorgang innerhalb eines Finanzinstituts - vom Zahlungsverkehr über das Kunden-Onboarding bis hin zu den Handelssystemen - sicher, widerstandsfähig und ständig verfügbar sein. Und das stellt die Identitätssicherheit an die erste Stelle. Denn wenn Sie nicht überprüfen können, wer wann und von wo aus auf was zugreift, bricht Ihre Identitätsstrategie zusammen.

In der neuen DORA-Regelungsrealität ist Identität nicht länger eine Back-Office-IT-Funktion. Sie ist jetzt ein strategischer Imperativ, der von Risikoverantwortlichen, Compliance-Beauftragten und Geschäftsführern gleichermaßen wahrgenommen wird.

Die Auswirkungen von DORA auf die Identitätssicherheit

Mehrere Artikel in DORA fordern direkt oder implizit robuste Identitäts- und Zugriffsmanagement-Funktionen (IAM). Zum Beispiel:

  • Zugangskontrolle und Governance: DORA schreibt vor, dass die Institutionen die Zugriffsrechte der Benutzer in Echtzeit verwalten und regelmäßige Zugriffsüberprüfungen durchführen, um eine Ausweitung der Privilegien und einen unbefugten Zugriff zu verhindern.
  • Anforderungen an die Authentifizierung: Starke Authentifizierungsmethoden, wie z. B. die Multi-Faktor-Authentifizierung (MFA), sollen Systeme vor unberechtigtem Zugriff schützen.
  • Operative Kontinuität: Die Institutionen müssen sicherstellen, dass kritische Funktionen bei Cybervorfällen, Ausfällen oder Störungen verfügbar bleiben. Dazu gehört auch die Aufrechterhaltung von Identitätsdiensten unter Zwang.
  • Überwachung und Aufdeckung von Anomalien: Unternehmen müssen Cyber-Vorfälle schnell erkennen, darauf reagieren und sich davon erholen. Identitätsbezogene Anomalien, wie ungewöhnliche Zugriffsmuster, sind wichtige Indikatoren.

Diese Anforderungen unterstreichen den Bedarf an einem modernen, risikobewussten Identitätssicherheitsprogramm.

2025 ist das Jahr, in dem die Einhaltung der Vorschriften in die Durchsetzungsphase übergeht, d. h. Unternehmen, die die DORA-Vorschriften nicht einhalten, müssen mit Geldbußen in Höhe von entweder 2% des durchschnittlichen weltweiten Umsatzes oder 1% des durchschnittlichen Tagesumsatzes rechnen, wobei zusätzlich tägliche Geldbußen auf nicht konforme Unternehmen erhoben werden, bis sie die Vorschriften einhalten. Es steht also viel auf dem Spiel.

Herausforderungen im Bereich der Identität für Finanzinstitute

Trotz erhöhter Investitionen in die Sicherheit haben viele Finanzinstitute immer noch mit identitätsbezogenen Lücken in ihren Sicherheits- und Betriebsfunktionen zu kämpfen:

  • Veraltete IAM-Systeme die nicht anpassungsfähig und sichtbar sind
  • Siloisierte Identitätswerkzeuge in Umgebungen vor Ort und in der Cloud
  • Schwache Authentifizierungsmethoden die anfällig für Phishing sind
  • Manuelle Governance-Prozesse die die Berichterstattung über die Einhaltung der Vorschriften langsam und fehleranfällig machen

Durch diese Herausforderungen sind Unternehmen nicht nur Angreifern, sondern auch der Kontrolle durch die Behörden und Geldstrafen ausgesetzt.

Was dies für CISOs bedeutet

CISOs im Finanzsektor müssen die Führung bei der Ausrichtung der Identitätsstrategie auf DORA übernehmen. Das bedeutet:

  • Übernahme von risikobasierter Zugang Modelle, die Kontrollen auf der Grundlage von Kontext und Verhalten anpassen
  • Sicherstellung Geschäftskontinuität mit hybrider Ausfallsicherung für Authentifizierung und Zugang
  • Stärkung der Steuerung mit automatischer Bereitstellung, Überprüfung und Zugriffszertifizierung
  • Umarmung passwortlose Authentifizierung gemeinsame Angriffsvektoren zu eliminieren
Anwendungsszenarien für DORA: Beispiele aus der Praxis

Der Wortlaut der DORA-Vorschriften ist eindeutig – doch die Umsetzung sieht je nach Größe, Struktur und Ausgangslage der jeweiligen Organisation unterschiedlich aus. Die folgenden Szenarien veranschaulichen, wie Finanzdienstleistungsunternehmen mit unterschiedlichen Profilen die Einhaltung der DORA-Vorschriften in der Praxis angehen.

Szenario 1: Eine große europäische Bank bereitet sich auf DORA vor

Herausforderung Eine große EU-Privatkundenbank, die in zwölf Ländern tätig ist, steht vor einem weit verbreiteten Problem: Ihre Identitätsinfrastruktur ist durch jahrzehntelange Übernahmen gewachsen, was dazu geführt hat, dass sie nun über sieben separate IAM-Systeme, uneinheitliche MFA-Richtlinien in den verschiedenen Geschäftsbereichen und Zugriffsprüfungszyklen verfügt, deren Abschluss bis zu dreißig Tage in Anspruch nimmt. Gemäß den Anforderungen von Artikel 9 der DORA zur Zugriffskontrolle und kontinuierlichen Governance stellt diese Fragmentierung sowohl eine Compliance-Lücke als auch ein operatives Risiko dar.

Geltende DORA-Anforderungen

  • Artikel 9: Rahmenwerk für das IKT-Risikomanagement, Zugriffskontrolle und Durchsetzung des Prinzips der geringsten Berechtigungen
  • Artikel 10: Erkennung von ungewöhnlichen Aktivitäten und IKT-bezogenen Vorfällen
  • Artikel 17: Verfahren zum Management von IKT-bezogenen Vorfällen

Umsetzungsschritte

  1. Identitätssysteme auf einer einheitlichen Plattform zusammenführen (RSA ID Plus) zur Unterstützung von Cloud-, On-Premises- und Hybrid-Umgebungen in allen Tochtergesellschaften.
  2. Führen Sie eine phishing-resistente MFA ein (RSA iShield Key 2 Reihe) für alle privilegierten und Administrator-Konten innerhalb von neunzig Tagen.
  3. Automatisieren Sie Workflows zur Zugriffsberechtigung und -bereitstellung mithilfe von RSA Governance & Lebenszyklus, wodurch manuelle Überprüfungen anhand von Tabellenkalkulationen ersetzt werden.
  4. Aktivieren RSA Risiko AI zur kontinuierlichen Verhaltensanalyse und zur Erkennung von Anomalien in Echtzeit.
  5. Richten Sie einen zentralisierten IAM-Prüfpfad ein, der direkt in die DORA-Compliance-Berichts-Dashboards einfließt.

Erfolgskennzahlen

  • Der Überprüfungszyklus für den Zugang wurde von dreißig Tagen auf drei Tage verkürzt
  • 100% privilegierte Konten, die innerhalb von sechzig Tagen nach der Plattformbereitstellung für die phishing-resistente MFA registriert wurden
  • Prüfungsfähige Zugriffszertifizierungsberichte, die automatisch vierteljährlich erstellt werden
  • Bei der ersten DORA-Behördenprüfung wurden keine Vorfälle im Zusammenhang mit der Authentifizierung festgestellt

Wichtigste Erkenntnis Die Konsolidierung ist nicht nur ein Compliance-Projekt – sie ist ein Projekt zur Stärkung der Widerstandsfähigkeit. Eine einheitliche IAM-Plattform beseitigt die blinden Flecken, die an den Schnittstellen zwischen nicht miteinander verbundenen Systemen bestehen – genau dort, wo Angreifer nach Schwachstellen suchen.

Szenario 2: Mittelständisches Finanzdienstleistungsunternehmen, das eine hybride Infrastruktur verwaltet

Herausforderung Kernhandelssysteme vor Ort, kundenorientierte Anwendungen in Azure und eine Mischung aus SaaS-Tools im gesamten Unternehmen. Bei Cloud-Ausfällen oder Netzwerkstörungen vor Ort kam es in der Vergangenheit vor, dass Mitarbeiter aufgrund von Authentifizierungsfehlern stundenlang keinen Zugriff auf kritische Systeme hatten – ein direkter Verstoß gegen die Anforderungen an die Betriebskontinuität gemäß Artikel 11 des DORA.

Geltende DORA-Anforderungen

  • Artikel 11: Geschäftskontinuität und Notfallwiederherstellung im IKT-Bereich
  • Artikel 9: Zugriffskontrollen für Netzwerke und Systeme
  • Artikel 30: Vertragliche Anforderungen an externe IKT-Dienstleister

Umsetzungsschritte

  1. Bereitstellen RSA ID Plus Hybrid Failover um sicherzustellen, dass Authentifizierungsdienste auch bei Ausfall von Cloud- oder lokalen Komponenten verfügbar bleiben – mit automatischem Failover zwischen den Umgebungen in weniger als 60 Sekunden.
  2. Implementieren RSA Mobile Lock um Gerätezustandsprüfungen für Mitarbeiter durchzusetzen, die von mobilen oder nicht verwalteten Geräten aus auf Handelssysteme zugreifen.
  3. Erfassen Sie alle Abhängigkeiten bei der Authentifizierung durch Drittanbieter im IKT-Bereich und überprüfen Sie die vertragliche Einhaltung der DORA-Vorschriften gemäß Artikel 30.
  4. Führen Sie vierteljährlich Disaster-Recovery-Simulationen durch, die Ausfallszenarien des Authentifizierungssystems umfassen, und dokumentieren Sie dabei die Wiederherstellungszeitziele (RTOs) und Wiederherstellungspunktziele (RPOs) zur Überprüfung durch die Aufsichtsbehörden.

Erfolgskennzahlen

  • Die Verfügbarkeit der Authentifizierung bei Infrastrukturausfällen verbesserte sich von 67% auf 99,9%
  • Die RTO für Identitätsdienste wurde von 4 Stunden auf unter 3 Minuten verkürzt
  • Alle IKT-Verträge mit Drittanbietern wurden innerhalb des zwölfmonatigen Vorbereitungszeitraums aktualisiert und um die von DORA vorgeschriebenen Bestimmungen zur Ausfallsicherheit ergänzt.
  • Die Ergebnisse der Wiederherstellungssimulation wurden dokumentiert und stehen zur Prüfung durch die zuständige Behörde bereit

Wichtigste Erkenntnis Bei der Betriebskontinuität im Rahmen von DORA geht es nicht nur darum, Angriffe zu verhindern, sondern auch darum, den Betrieb während solcher Angriffe aufrechtzuerhalten. Ein hybrides Failover für die Authentifizierung ist für die Einhaltung der DORA-Vorgaben ebenso entscheidend wie eine starke Authentifizierung selbst.

Szenario 3: Reaktion einer Vermögensverwaltungsgesellschaft auf einen Cybervorfall gemäß DORA

Herausforderung Ein in der EU ansässiger Vermögensverwalter mit einem verwalteten Vermögen von 40 Milliarden Euro wird Opfer eines auf Zugangsdaten abzielenden Angriffs auf seine Fondsverwaltungsplattform. Im Rahmen einer “Man-in-the-Middle”-Phishing-Kampagne wird ein Dienstkonto kompromittiert, was eine laterale Bewegung innerhalb des Netzwerks ermöglicht. Gemäß dem Rahmenwerk der DORA zur Klassifizierung und Meldung von Vorfällen muss das Unternehmen seine zuständige Behörde innerhalb von 24 Stunden nach Einstufung des Vorfalls als „schwerwiegend“ benachrichtigen – und innerhalb von 72 Stunden einen Zwischenbericht sowie innerhalb eines Monats einen Abschlussbericht vorlegen.

Geltende DORA-Anforderungen

  • Artikel 17: Management, Einstufung und Meldung von IKT-bezogenen Vorfällen
  • Artikel 19: Meldepflichten und Fristen bei schwerwiegenden Vorfällen
  • Artikel 9: Authentifizierungs- und Zugriffskontrollen, die während des Vorfalls weiterhin funktionsfähig bleiben müssen

Chronologie des Vorfalls und Maßnahmen

  • Stunde 0: RSA Risk AI erkennt ungewöhnliches Authentifizierungsverhalten – ein Dienstkonto, das sich von einem untypischen Standort aus anmeldet und auf Systeme zugreift, die außerhalb seines normalen Zugriffsmusters liegen. Bis zum Abschluss der Untersuchung wird automatisch eine Zugriffssperre ausgelöst.
  • Stunde 2: Das Sicherheitsteam bestätigt den Angriff. Das Konto wird über RSA ID Plus in weniger als 60 Sekunden deaktiviert. Die laterale Bewegung wird eingedämmt.
  • Stunde 6: Eine interne Einstufung bestätigt, dass dieser Vorfall aufgrund der Auswirkungen auf die Verfügbarkeit der Kernsysteme die Schwelle für einen “schwerwiegenden Vorfall” gemäß DORA erfüllt.
  • Stunde 18: Erstmeldung bei der zuständigen Behörde – innerhalb der 24-Stunden-Frist – unter Angabe der Art des Vorfalls, der Gründe für die Einstufung und der ergriffenen Sofortmaßnahmen zur Eindämmung.
  • Stunde 60: Zwischenbericht – innerhalb der vorgeschriebenen Frist von 72 Stunden – mit vollständiger Zeitachse des Vorfalls, Ursachenanalyse (phishbare MFA beim kompromittierten Konto), betroffenen Systemen und Abhilfemaßnahmen eingereicht.
  • Woche 4: Der abschließende Vorfallsbericht wurde eingereicht; darin enthalten sind die Nachbetrachtung des Vorfalls, die umgesetzten Kontrollverbesserungen (Einführung einer Phishing-resistenten MFA für alle Dienstkonten) sowie Änderungen an den Überwachungsschwellenwerten.

Erfolgskennzahlen

  • Der Vorfall konnte innerhalb von zwei Stunden nach seiner Entdeckung unter Kontrolle gebracht werden
  • Alle drei DORA-Meldungsfristen wurden eingehalten – 24 Stunden (Erstmeldung), 72 Stunden (Zwischenmeldung), 1 Monat (Endmeldung)
  • Dank des Failovers der Authentifizierung kam es während des Vorfalls zu keinerlei Unterbrechungen bei den Fondsverwaltungsdienstleistungen
  • Sofortige Abhilfemaßnahme: 100% der Dienstkonten wurden innerhalb von 30 Tagen nach dem Vorfall auf eine phishing-resistente Authentifizierung umgestellt

Wichtigste Erkenntnis Die Anforderungen von DORA an die Meldung von Vorfällen belohnen Organisationen, die bereits in schnelle Erkennung und Eindämmung investiert haben. RSA Risiko AI Durch Verhaltensanalysen konnte die Zeit vom Beginn eines Angriffs bis zu dessen Eindämmung von einem potenziellen Durchschnitt von 254 Tagen (der Branchenstandard bei Anmelde- und Passwortdiebstählen) auf unter 2 Stunden verkürzt werden – wodurch sich die Compliance-Erklärung von “Wir wurden angegriffen” zu “Wir haben den Angriff im Rahmen des DORA-Konzepts erkannt, eingedämmt und gemeldet” wandelte.”

RSAs Ansatz für DORA-konforme Identitätssicherheit

RSA unterstützt Finanzinstitute bei der Operationalisierung der Identität als Grundpfeiler der Ausfallsicherheit. Unsere auf Sicherheit ausgerichtete Identitätsplattform, RSA ID Plus, ist für regulierte Umgebungen wie das Finanzwesen konzipiert.

Zusammen bieten diese Lösungen die erforderlichen Kontrollen, um DORA zu erfüllen - und Ihr Unternehmen über die Einhaltung der Vorschriften hinaus zu stärken.

DORA markiert einen Wendepunkt für die Identität bei Finanzdienstleistungen. Es erhebt IAM von einem technischen Anliegen zu einem regulatorischen Auftrag - und zu einem strategischen Enabler für die operative Widerstandsfähigkeit.

Finanzinstitute, die Sicherheitsstrategien auf der Grundlage von Identitätsprüfungen anwenden, werden nicht nur die DORA-Anforderungen erfüllen, sondern auch einen Wettbewerbsvorteil in Bezug auf Sicherheit, Flexibilität und Kundenvertrauen erlangen. Jetzt ist es an der Zeit, Ihre Identitätsstrategie zu überdenken, bevor die DORA-Durchsetzung beginnt.

Häufig gestellte Fragen zur Einhaltung der DORA-Vorschriften
Wie lautet die genaue Frist für die Einhaltung der DORA-Vorschriften durch Finanzinstitute?

Das Gesetz über digitale Betriebsresilienz (DORA) trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 — das Datum, ab dem alle betroffenen Finanzinstitute und kritischen IKT-Drittanbieter die Vorschriften einhalten mussten und die Durchsetzungsbefugnisse in allen 27 EU-Mitgliedstaaten in Kraft traten. Für Institute, die die Anforderungen noch nicht erfüllt haben, gibt es keine Übergangsfrist; die zuständigen Behörden können ab diesem Datum Ermittlungen einleiten und Sanktionen verhängen.

Für Institutionen, die noch auf die vollständige Einhaltung der Vorschriften hinarbeiten, besteht die Priorität darin, ein dokumentiertes, aktiv weiterentwickeltes Compliance-Programm nachzuweisen – insbesondere bei komplexen, veralteten Identitätsinfrastrukturen, die nicht von heute auf morgen modernisiert werden können.

Welche konkreten Sanktionen drohen bei Nichteinhaltung der DORA-Vorschriften?

DORA sieht ein zweistufiges Sanktionssystem vor. Finanzinstitute müssen mit Geldstrafen von bis zu 2% des weltweiten Jahresumsatzes insgesamt oder 1% des durchschnittlichen täglichen weltweiten Umsatzes—je nachdem, was nach Einschätzung der zuständigen Behörde zutrifft—wobei der Tagessatz als fortlaufende Geldbuße gilt, bis die Vorschriften eingehalten werden. Einzelne Führungskräfte, die für Verstöße verantwortlich gemacht werden, müssen mit persönlichen Geldbußen von bis zu €1,000,000.

Kritische IKT-Anbieter von Drittanbietern (CTPPs) Die von den europäischen Aufsichtsbehörden benannten Unternehmen sind einem höheren Risiko ausgesetzt: bis zu €5,000,000 pro Verstoß, wobei die Geldbußen auf individueller Ebene bis zu €500,000, zuzüglich täglicher Strafgebühren von bis zu 1% des durchschnittlichen täglichen weltweiten Umsatzes für bis zu sechs Monate. Über Geldstrafen hinaus können die zuständigen Behörden Verstöße gegen die DORA öffentlich bekannt geben – was ein Reputationsrisiko mit sich bringt, das für regulierte Finanzinstitute die finanziellen Kosten der Geldstrafe selbst übersteigen kann.

Welche Finanzinstitute unterliegen den DORA-Anforderungen?

DORA gilt für praktisch den gesamten Finanzsektor der EU. Zu den erfassten Unternehmen zählen Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Krypto-Asset-Dienstleister (CASPs), zentrale Wertpapierverwahrstellen, zentrale Gegenparteien, Handelsplätze, Verwalter alternativer Investmentfonds, Versicherungs- und Rückversicherungsunternehmen, Ratingagenturen, Wirtschaftsprüfungsgesellschaften für Unternehmen von öffentlichem Interesse sowie Crowdfunding-Dienstleister.

Entscheidend ist, dass der Geltungsbereich von DORA über Institute mit Hauptsitz in der EU hinausgeht. Auch Nicht-EU-Finanzunternehmen, die innerhalb der EU tätig sind, sowie externe IKT-Dienstleister – einschließlich Cloud-Anbieter –, die Dienstleistungen für unter die DORA fallende Finanzunternehmen in der EU erbringen, unterliegen gemäß den vertraglichen Bestimmungen in Artikel 30 den Anforderungen der DORA. In den USA ansässige Finanzdienstleistungsunternehmen mit Geschäftstätigkeit in der EU oder mit Kunden in der EU sollten nicht davon ausgehen, dass sie nicht in den Anwendungsbereich fallen.

Welche Maßnahmen zur Identitätssicherheit schreibt DORA konkret vor?

DORA schreibt keine bestimmten Technologien vor, doch die in den Artikeln 9 und 10 festgelegten Anforderungen an das Risikomanagement und die Zugriffskontrolle lassen sich direkt in verbindliche IAM-Funktionen umsetzen. Finanzinstitute müssen Folgendes umsetzen:

  • Starke Authentifizierung Für alle Systeme gilt: Es werden ausdrücklich Richtlinien und Protokolle für die Multi-Faktor-Authentifizierung (MFA) erwartet, wobei für privilegierte und risikoreiche Zugriffe phishingresistente Methoden empfohlen werden.
  • Zugriffskontrolle nach dem Prinzip der geringsten Berechtigungen: Benutzer und Systeme sollten nur über die für ihre Aufgaben erforderlichen Zugriffsrechte verfügen, die kontinuierlich überprüft und in Echtzeit angepasst werden.
  • Zugriffssteuerung: Es sind regelmäßige, dokumentierte Zugriffsprüfungen und Zertifizierungszyklen erforderlich, verbunden mit einer automatisierten Zuweisung und Entziehung von Zugriffsrechten, um eine schleichende Ausweitung von Zugriffsrechten zu verhindern.
  • Anomalieerkennung: Durch die kontinuierliche Überwachung von Authentifizierungs- und Zugriffsmustern lassen sich ungewöhnliche Aktivitäten, die auf eine Kompromittierung hindeuten, erkennen und entsprechend darauf reagieren.
  • Betriebskontinuität für Identitätsdienste: Die Authentifizierungsinfrastruktur muss während Cybervorfällen und Ausfällen verfügbar bleiben, wobei Wiederherstellungsziele dokumentiert sein müssen.
  • Pflege des Prüfpfads: Es müssen umfassende, manipulationssichere Protokolle aller Identitäts- und Zugriffsereignisse für behördliche Überprüfungen und die Untersuchung von Vorfällen zur Verfügung stehen.

RSA ID Plus für Finanzdienstleistungen entspricht direkt jeder dieser Anforderungen.

Inwiefern unterscheidet sich DORA von anderen EU-Finanzvorschriften wie der PSD2?

Die Zahlungsdiensterichtlinie 2 (PSD2) legte den Schwerpunkt insbesondere auf die Sicherheit digitaler Zahlungen und verpflichtete Zahlungsdienstleister, schwerwiegende Vorfälle innerhalb von zwei Stunden nach ihrer Feststellung den Aufsichtsbehörden zu melden. DORA ersetzt die Vorschriften der PSD2 zur Meldung von Vorfällen für alle Unternehmen, die beiden Rechtsrahmen unterliegen – die Europäische Bankenaufsichtsbehörde hat ihre PSD2-Leitlinien zur Meldung schwerwiegender Vorfälle mit Wirkung zum 17. Januar 2025 offiziell aufgehoben und durch den harmonisierten Rahmen von DORA ersetzt.

Der wesentliche Unterschied liegt im Anwendungsbereich: PSD2 betraf die Zahlungssicherheit; DORA umfasst die gesamte IKT-Risikolage aller Finanzinstitute bei allen Betriebs- und Sicherheitsvorfällen – nicht nur bei zahlungsbezogenen Vorfällen. Auch der Zeitplan für die Meldung von Vorfällen im Rahmen von DORA ist strukturierter: 24 Stunden für die Erstmeldung, 72 Stunden für einen Zwischenbericht und ein Monat für einen Abschlussbericht. DORA führt zudem eine direkte Aufsichtskompetenz über kritische IKT-Drittanbieter ein – ein Mechanismus zur Rechenschaftspflicht, für den es in der PSD2 keine Entsprechung gibt.

Was geschieht, wenn ein Finanzinstitut im Rahmen von DORA von einem Cybervorfall betroffen ist?

Gemäß den Artikeln 17 und 19 der DORA müssen Institutionen einen festgelegten Prozess zur Reaktion auf und Meldung von Vorfällen befolgen. Zunächst muss der Vorfall erkannt, protokolliert und klassifiziert werden – DORA definiert Kriterien dafür, was einen “schwerwiegenden” Vorfall ausmacht, basierend auf den Auswirkungen auf die Verfügbarkeit der Dienste, der Anzahl der betroffenen Kunden, der geografischen Ausbreitung und den wirtschaftlichen Auswirkungen. Sobald der Vorfall als schwerwiegend eingestuft wurde, beginnt die Meldefrist:

  1. Erstmeldung an die zuständige Behörde innerhalb von 24 Stunden als schwerwiegender Vorfall eingestuft
  2. Zwischenbericht innerhalb 72 Stunden mit einer detaillierten Darstellung des Vorfalls, der ergriffenen Eindämmungsmaßnahmen und einer ersten Einschätzung der Ursachen
  3. Abschlussbericht innerhalb ein Monat des Zwischenberichts, einschließlich einer umfassenden Analyse nach dem Vorfall, dauerhafter Abhilfemaßnahmen und der daraus gewonnenen Erkenntnisse

Während des gesamten Vorfalls müssen Identitäts- und Authentifizierungsdienste betriebsbereit bleiben. DORA schreibt ausdrücklich vor, dass Geschäftskontinuitätspläne die IKT-Infrastruktur einschließlich der Zugangs- und Authentifizierungssysteme abdecken müssen – Institutionen dürfen einen laufenden Vorfall nicht als Rechtfertigung dafür heranziehen, dass Authentifizierungssysteme nicht verfügbar sind.

Können cloudbasierte Identitätslösungen die DORA-Anforderungen erfüllen?

Ja, vorausgesetzt, die cloudbasierte Lösung und ihre Vertragsbedingungen erfüllen die Anforderungen von DORA an externe IKT-Anbieter gemäß Artikel 30. Cloud-Identitätsanbieter müssen vertragliche Garantien hinsichtlich der Verfügbarkeit der Dienste, der Fristen für die Benachrichtigung bei Vorfällen, der Prüfungsrechte und der Datenübertragbarkeit bieten. Institutionen, die sich ausschließlich auf einen Cloud-Authentifizierungsdienst ohne hybride Failover-Fähigkeit verlassen, könnten Schwierigkeiten haben, die von DORA geforderte Betriebskontinuität nachzuweisen.

RSA ID Plus wurde speziell für diese Herausforderung entwickelt: Es unterstützt die Authentifizierung in der Cloud, in Hybridumgebungen und vor Ort über eine einzige Plattform, mit hybride Ausfallsicherung Dadurch wird sichergestellt, dass Authentifizierungsdienste auch dann verfügbar bleiben, wenn die Cloud-Verbindung unterbrochen ist. Das bedeutet, dass die Vorteile des Cloud-Managements in Bezug auf die Einhaltung von Vorschriften – zentralisierte Verwaltung, automatische Updates, Skalierbarkeit – genutzt werden können, ohne das Risiko eines Single-Point-of-Failure einzugehen, das von den Aufsichtsbehörden genau unter die Lupe genommen wird.

Welche Unterlagen sind erforderlich, um die Einhaltung der DORA-Vorschriften nachzuweisen?

DORA verpflichtet Finanzinstitute, folgende Unterlagen aufzubewahren und auf Verlangen vorzulegen:

  • Dokumentation zum Rahmenwerk für das IKT-Risikomanagement—Richtlinien, Verfahren und Kontrollmaßnahmen, die auf die Anforderungen von DORA abgestimmt sind und mindestens einmal jährlich vom Leitungsgremium geprüft und genehmigt werden
  • Auf Zugriffsprotokolle zugreifen—dokumentierte, mit Zeitstempeln versehene Zertifizierungszyklen für Zugriffsrechte, die die Durchsetzung des Prinzips der geringsten Berechtigungen sowie die zeitnahe Aufhebung der Zugriffsrechte für ausgeschiedene Mitarbeiter und bei Änderungen der Rollen belegen
  • Ereignisregister—ein vollständiges Protokoll aller IT-Vorfälle mit Angaben zu deren Einstufung, zeitlichem Ablauf, Eindämmungsmaßnahmen und Ergebnissen
  • Meldungen über schwerwiegende Vorfälle—alle eingereichten Meldungen (Erst-, Zwischen- und Abschlussmeldungen) zu allen Vorfällen, die die Kriterien der DORA für schwerwiegende Vorfälle erfüllen
  • IKT-Verträge mit Drittanbietern—Vereinbarungen mit allen IKT-Dienstleistern, die den Anforderungen von Artikel 30 entsprechen, einschließlich Anbietern von Cloud-Authentifizierungs- und Identitätsmanagement-Lösungen
  • Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Notfallwiederherstellung—dokumentierte, getestete Pläne zur Verfügbarkeit des Authentifizierungssystems mit aufgezeichneten RTO-/RPO-Ergebnissen aus Simulationen

RSA Governance & Lebenszyklus automatisiert die Erstellung und Pflege von Zugriffsprotokollen und Compliance-Berichten und verkürzt so die Zeit für die Erstellung auditfähiger Unterlagen von Wochen auf Stunden.

Sie könnten auch interessiert sein an...

Demo anfordern

Demo anfordern