DORA
Erfuellen Sie die Anforderungen des EU Digital Operational Resilience Act mit CyberOrigen.
Uebersicht
DORA (Digital Operational Resilience Act) ist eine EU-Verordnung fuer den Finanzsektor. Sie legt einheitliche Anforderungen fuer IKT-Risikomanagement, Vorfallmeldung und Drittanbieter-Risikomanagement fest.
Gueltig ab: 17. Januar 2025
Anwendungsbereich
Erfasste Unternehmen
- Kreditinstitute
- Zahlungsinstitute
- Wertpapierfirmen
- Versicherungsunternehmen
- Pensionsfonds
- Krypto-Asset-Dienstleister
- IKT-Drittdienstleister
Kernbereiche
| Saeule | Beschreibung |
|---|---|
| IKT-Risikomanagement | Governance und Risikorahmen |
| Vorfallmeldung | Einheitlicher Meldemechanismus |
| Resilienztests | Regelmaessige Testanforderungen |
| Drittanbieterrisiko | Ueberwachung von IKT-Anbietern |
| Informationsaustausch | Threat-Intelligence-Austausch |
IKT-Risikomanagement-Rahmen
Artikel 5-16 Anforderungen
| Artikel | Anforderung |
|---|---|
| 5 | IKT-Risikomanagement-Rahmen |
| 6 | IKT-Systeme und -Tools |
| 7 | Identifizierung |
| 8 | Schutz und Praevention |
| 9 | Erkennung |
| 10 | Reaktion und Wiederherstellung |
| 11 | Backup-Richtlinien |
| 12 | Lernen und Weiterentwickeln |
| 13 | Kommunikation |
| 14 | Erweiterte Tests |
CyberOrigen-Zuordnung
| DORA-Artikel | CyberOrigen-Funktion |
|---|---|
| Art. 7 Identifizierung | Asset-Erkennung, Scanning |
| Art. 8 Schutz | Schwachstellen-Behebung |
| Art. 9 Erkennung | Kontinuierliche Ueberwachung |
| Art. 10 Reaktion | Behebungs-Workflow |
| Art. 14 Tests | Penetrationstest-Unterstuetzung |
Erste Schritte
1. Framework aktivieren
- Gehen Sie zu GRC → Frameworks
- Klicken Sie auf Registrieren bei DORA
- Klicken Sie auf Aktivieren
2. IKT-Risikobewertung
Dokumentieren Sie Ihren IKT-Risikorahmen:
- Gehen Sie zu GRC → Risikoregister
- Identifizieren Sie IKT-bezogene Risiken
- Bewerten Sie Auswirkungen auf den Betrieb
- Dokumentieren Sie Kontrollen
3. Drittanbieter-Inventar
Katalogisieren Sie IKT-Dienstleister:
- Gehen Sie zu GRC → Lieferanten
- Fuegen Sie IKT-Anbieter hinzu
- Klassifizieren Sie nach Kritikalitaet
- Verfolgen Sie Vertraege
Schluesselanforderungen
IKT-Vorfallklassifizierung
| Schweregrad | Kriterium | Meldung |
|---|---|---|
| Erheblich | Signifikante betriebliche Auswirkung | Zustaendige Behoerde |
| Wesentlich | Materielle betriebliche Auswirkung | Interne Meldung |
| Gering | Begrenzte Auswirkung | Nur Protokollierung |
Klassifizierungsfaktoren
- Anzahl betroffener Kunden
- Vorfalldauer
- Geografische Ausbreitung
- Datenverluste
- Service-Kritikalitaet
- Wirtschaftliche Auswirkungen
CyberOrigen-Unterstuetzung
- Vorfallerkennung
- Schweregrad-Klassifizierung
- Nachweissammlung
- Zeitachsen-Dokumentation
Resilienztests
Basistests (Alle Unternehmen)
| Test | Haeufigkeit |
|---|---|
| Schwachstellen-Scans | Kontinuierlich |
| Netzwerksicherheitsbewertung | Jaehrlich |
| Gap-Analyse | Jaehrlich |
| Physische Sicherheitspruefung | Jaehrlich |
| Quellcode-Ueberpruefung | Bei Bedarf |
Erweiterte Tests (Bedeutende Unternehmen)
| Test | Anforderung |
|---|---|
| TLPT | Threat-Led Penetration Testing |
| Haeufigkeit | Mindestens alle 3 Jahre |
| Umfang | Kritische Funktionen |
| Anbieter | Unabhaengige Tester |
CyberOrigen-Scanning
- Kontinuierliches Schwachstellen-Scanning
- Konfigurationsbewertung
- Zugangskontrolltests
- Verschluesselungsverifizierung
Drittanbieter-Risikomanagement
Artikel 28-30 Anforderungen
| Anforderung | Beschreibung |
|---|---|
| Due Diligence | Vorvertragliche Bewertung |
| Risikobewertung | Laufende Ueberwachung |
| Vertraege | Spezifische Klauseln erforderlich |
| Exit-Strategie | Dokumentierte Uebergangsplaene |
Kritische Anbieterueberwachung
Fuer kritische IKT-Dienstleister:
- Dedizierte Ueberwachungsfunktion
- Erweiterte Due Diligence
- Konzentrationsrisikobewertung
- Unterauftragnehmer-Kontrollen
CyberOrigen-Funktionen
- Gehen Sie zu GRC → Lieferanten
- Klassifizieren Sie IKT-Anbieter
- Verfolgen Sie Sicherheitsfrageboegen
- Ueberwachen Sie Vertragsbedingungen
- Dokumentieren Sie Exit-Strategien
Informationsaustausch
Artikel 45 Anforderungen
Unternehmen sollten teilnehmen an:
- Threat-Intelligence-Austausch
- Schwachstellen-Offenlegung
- Vorfall-Informationsaustausch
CyberOrigen-Integration
- MISP Threat Intelligence
- Schwachstellen-Korrelation
- Branchen-Benchmarking
Kontrollzuordnung
DORA ordnet sich anderen Frameworks zu:
| DORA-Artikel | ISO 27001 | NIST CSF |
|---|---|---|
| Art. 7 Identifizierung | A.8.8 | ID.AM |
| Art. 8 Schutz | A.8.24 | PR.DS |
| Art. 9 Erkennung | A.8.16 | DE.CM |
| Art. 10 Reaktion | A.5.24 | RS.MI |
| Art. 28 Dritte | A.5.21 | ID.SC |
Nachweissammlung
Automatisierte Nachweise
- Schwachstellen-Scan-Berichte
- Konfigurationsbewertungen
- Vorfallerkennungs-Logs
- Zugangskontroll-Audits
Manuelle Nachweise
- IKT-Risikomanagement-Richtlinie
- Incident-Response-Verfahren
- Drittanbietervertraege
- Testberichte
- Vorstandsberichte
Meldeanforderungen
An zustaendige Behoerde
- Erst-Benachrichtigung bei erheblichem Vorfall
- Vorfallbericht (Zwischenbericht)
- Abschlussbericht (innerhalb 1 Monat)
An Leitungsorgan
- Regelmaessige IKT-Risikoberichte
- Vorfallzusammenfassungen
- Testergebnisse
- Drittanbieterbewertungen
Zeitplan
| Datum | Meilenstein |
|---|---|
| Jan 2023 | DORA in Kraft getreten |
| Jan 2025 | DORA wird anwendbar |
| Laufend | Regulatorische technische Standards |
Haeufige Luecken
| Anforderung | Luecke | Loesung |
|---|---|---|
| Art. 5 | Kein IKT-Rahmen | Dokumentierter Rahmen |
| Art. 9 | Begrenzte Erkennung | Monitoring-Implementierung |
| Art. 14 | Kein Testprogramm | Testplan |
| Art. 28 | Schwache Lieferantenueberwachung | Lieferantenrisikoprogramm |