DORA
Was ist DORA?
DORAEU-Verordnung 2022/2554 ueber die digitale operationale Resilienz im Finanzsektor, anwendbar ab dem 17. Januar 2025.
Die Verordnung ueber die digitale operationale Resilienz im Finanzsektor (DORA, Verordnung EU 2022/2554) ist eine unmittelbar geltende EU-Verordnung, die das IKT-Risikomanagement, die Vorfallsmeldung, Resilienztests und die Anforderungen an Drittparteienrisiken fuer Finanzunternehmen harmonisiert. Sie wurde im Dezember 2022 verabschiedet, gilt seit dem 17. Januar 2025 und erfasst Banken, Zahlungsinstitute, Versicherer, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen und kritische IKT-Drittdienstleister. DORA verlangt einen dokumentierten IKT-Risikomanagementrahmen, die Klassifizierung und Meldung wesentlicher IKT-Vorfaelle, Threat-Led Penetration Testing (TLPT) fuer bedeutende Institute sowie vertragliche Sicherungen fuer das IKT-Outsourcing. Die europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) erlassen technische Standards und beaufsichtigen kritische Anbieter direkt.
● Beispiele
- 01
Eine europaeische Retail-Bank fuehrt einen TLPT durch und meldet einen wesentlichen IKT-Vorfall innerhalb der aufsichtsrechtlichen Fristen.
- 02
Ein als kritischer IKT-Drittdienstleister eingestufter Cloud-Anbieter unterliegt der direkten EU-Aufsicht.
● Häufige Fragen
Was ist DORA?
EU-Verordnung 2022/2554 ueber die digitale operationale Resilienz im Finanzsektor, anwendbar ab dem 17. Januar 2025. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet DORA?
EU-Verordnung 2022/2554 ueber die digitale operationale Resilienz im Finanzsektor, anwendbar ab dem 17. Januar 2025.
Wie funktioniert DORA?
Die Verordnung ueber die digitale operationale Resilienz im Finanzsektor (DORA, Verordnung EU 2022/2554) ist eine unmittelbar geltende EU-Verordnung, die das IKT-Risikomanagement, die Vorfallsmeldung, Resilienztests und die Anforderungen an Drittparteienrisiken fuer Finanzunternehmen harmonisiert. Sie wurde im Dezember 2022 verabschiedet, gilt seit dem 17. Januar 2025 und erfasst Banken, Zahlungsinstitute, Versicherer, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen und kritische IKT-Drittdienstleister. DORA verlangt einen dokumentierten IKT-Risikomanagementrahmen, die Klassifizierung und Meldung wesentlicher IKT-Vorfaelle, Threat-Led Penetration Testing (TLPT) fuer bedeutende Institute sowie vertragliche Sicherungen fuer das IKT-Outsourcing. Die europaeischen Aufsichtsbehoerden (EBA, EIOPA, ESMA) erlassen technische Standards und beaufsichtigen kritische Anbieter direkt.
Wie schützt man sich gegen DORA?
Schutzmaßnahmen gegen DORA kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DORA?
Übliche alternative Bezeichnungen: Digital Operational Resilience Act, Verordnung (EU) 2022/2554.
● Verwandte Begriffe
- compliance№ 730
NIS2-Richtlinie
EU-Richtlinie 2022/2555, die Mindestanforderungen an die Cybersicherheit und Meldepflichten fuer wesentliche und wichtige Einrichtungen in der Union verschaerft.
- compliance№ 1144
Drittparteien-Risikomanagement (TPRM)
End-to-End-Disziplin zur Identifikation, Bewertung, Vertragsgestaltung, Überwachung und Offboarding von Drittparteien, damit die durch sie eingebrachten Cyber-, Betriebs- und Compliance-Risiken im Appetit bleiben.
- forensics-ir№ 525
Incident-Response-Plan
Dokumentiertes, freigegebenes Playbook, das festlegt, wie eine Organisation Cybervorfälle vorbereitet, erkennt, eindämmt, bereinigt und auswertet.
- defense-ops№ 813
Penetrationstest
Autorisierter, simulierter Cyberangriff auf Systeme, Anwendungen oder Personen, um ausnutzbare Schwächen vor echten Angreifern zu finden.
- compliance№ 440
DSGVO
Datenschutz-Grundverordnung der Europäischen Union, die die Verarbeitung personenbezogener Daten von Personen in der EU und im EWR regelt.