Governance Risk Compliance - Header DORA Page

Im Dschungel von DORA, NIS2 und dem Cyber Resilience Act

Die neue Ära der IT-Sicherheit betrifft auch ITSM-Verantwortliche

Die europäische IT-Sicherheitslandschaft steht vor einem großen Wandel. Mit der Einführung von DORA (Digital Operational Resilience Act), NIS2 (Netz- und Informationssystemsicherheits-Richtlinie) und dem kommenden Cyber Resilience Act (CRA) werden Unternehmen gezwungen, ihre IT-Sicherheitsstrategien neu zu überdenken. Besonders Verantwortliche für das IT Service Management (ITSM) müssen sich diesen Herausforderungen stellen, um die Geschäftskontinuität und Resilienz sicherzustellen.

Welche Rolle spielen DORA und NIS-2 für IT-Service-Management Verantwortliche?

Hier sind 4 gute Gründe, warum sich auch IT Service Management Verantwortliche mit den neuen EU-Regulierungen beschäftigen sollten::

Erhöhte Sicherheitsanforderungen

DORA und NIS2 setzen strenge Vorgaben für die Cybersicherheit und den Schutz kritischer Infrastrukturen. ITSM-Teams müssen sicherstellen, dass ihre Systeme und Prozesse diesen Anforderungen entsprechen, um hohe Strafen und Imageschäden zu vermeiden.

Risikomanagement

Die beiden Regelwerke, DORA und NIS2, verlangen ein proaktives Risikomanagement. Ein modernes ITSM-System muss Risiken nicht nur identifizieren, sondern auch bewerten und minimieren können.

Incident Response

Die Fähigkeit, auf Sicherheitsvorfälle schnell und effektiv zu reagieren, wird zur Pflicht. ITSM-Teams müssen Incident-Response-Pläne entwickeln und diese regelmäßig testen.

Kontinuierliche Überwachung und Berichtspflichten

Im IT-Service-Management muss kontinuierlich die Sicherheitslage überwacht werden. Zudem müssen regelmäßig Berichte an die zuständigen Behörden geliefert werden.

Im Dschungel der Security-Regularien

DORA und NIS-2 im direkten Fakten-Vergleich.
Infografik Security-Regularien ITSM GRCM_quadratisch

ITSM und DORA: Was Sie wissen sollten

Der Finanzsektor steht vor neuen Herausforderungen bei der Cybersicherheit

IT Service Management spielt eine zentrale Rolle bei der Umsetzung der DORA-Anforderungen. ITSM-Teams müssen sicherstellen, dass ihre Systeme und Prozesse robust genug sind, um IT-Störungen zu bewältigen, und dass sie in der Lage sind, schnell auf Cybervorfälle zu reagieren. Ein effektives ITSM kann dazu beitragen, die Betriebskontinuität zu gewährleisten und die Anforderungen von DORA zu erfüllen.

FAQ zu DORA

Was ist die DORA-Richtlinie?

Der „Digital Operational Resilience Act“, kurz DORA, ist eine finanzsektorweite Regulierung der Europäischen Union und zielt darauf ab, die digitale Resilienz von Finanzinstituten zu stärken. ITSM spielt eine zentrale Rolle bei der Umsetzung dieser Vorschriften, insbesondere bei der Überwachung und Sicherstellung der Betriebsbereitschaft von IT-Systemen und -Prozessen.

Was ist ein EU-„Act“?

Eine Verordnung ist ein verbindlicher Rechtsakt, den alle EU-Länder in vollem Umfang umsetzen müssen.

Für wen gilt DORA?

DORA richtet sich an eine breite Palette von Organisationen im Finanzsektor, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und andere Finanzmarktinfrastrukturen. Auch Drittanbieter von IT-Dienstleistungen, die für diese Organisationen tätig sind, fallen unter die Verordnung.

Welche Hauptanforderungen stellt DORA?

  • Risikomanagement: Organisationen müssen umfassende Risikomanagement-Rahmenwerke implementieren, die sich auf IT- und Cyberrisiken konzentrieren.
  • Incident Reporting: Verpflichtung zur Meldung von schwerwiegenden IT-Sicherheitsvorfällen an die zuständigen Aufsichtsbehörden.
  • Operational Resilience Testing: Regelmäßige Tests der operativen Resilienz, einschließlich Penetrationstests und anderen Sicherheitsüberprüfungen.
  • Abhängigkeiten von Drittanbietern: Strenge Vorschriften zur Überwachung und Kontrolle von IT-Dienstleistern und anderen Drittanbietern.

Warum ist IT Service Management wichtig für die Erfüllung von DORA?

IT Service Management (ITSM) spielt eine zentrale Rolle bei der Umsetzung der DORA-Anforderungen. ITSM-Teams müssen sicherstellen, dass ihre Systeme und Prozesse robust genug sind, um IT-Störungen zu bewältigen, und dass sie in der Lage sind, schnell auf Cybervorfälle zu reagieren. Ein effektives ITSM kann dazu beitragen, die Betriebskontinuität zu gewährleisten und die Anforderungen von DORA zu erfüllen.

Wann tritt DORA in Kraft?

DORA wurde von der Europäischen Union verabschiedet und findet ab dem 17. Januar 2025 Anwendung. Unternehmen sollten sich jetzt vorbereiten, um sicherzustellen, dass sie die Anforderungen rechtzeitig erfüllen können.

Was passiert nach der harten Deadline vom 17. Januar 2025?

Nach der harten Deadline vom 17. Januar 2025 wird die BAFIN beginnen, die Informationsregister der Finanzinstitute einsammeln. Nach der Auswertung dieser Register wird die BAFIN entscheiden können, ob und wo weitere Prüfungen durchgeführt werden. Unternehmen sollten sich darauf einstellen, dass sie jederzeit auskunftsfähig sein müssen, sowohl bei Vor-Ort-Überprüfungen als auch bei Anfragen. Es ist jedoch unwahrscheinlich, dass die Behörden unmittelbar am Stichtag vor der Tür stehen werden. Im Laufe des Jahres 2025 werden die Aufsichtsbehörden mit den DORA-Überprüfungen beginnen, um sicherzustellen, dass alle Unternehmen die neuen Regularien einhalten und ihre IT-Sicherheitsstandards entsprechend angepasst haben.

Was passiert, wenn ein Unternehmen die DORA-Anforderungen nicht erfüllt?

Unternehmen, die die Anforderungen von DORA nicht erfüllen, riskieren erhebliche Strafen und Sanktionen. Darüber hinaus kann ein Versäumnis, die Vorschriften einzuhalten, zu schwerwiegenden geschäftlichen und reputationsbezogenen Schäden führen.

Wo finden sich weitere Informationen zu DORA?

Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) informiert auf Ihrer Website über den Digital Operational Resilience Act und veröffentlicht regelmäßig relevante Artikel in ihrem Web-Journal.

Was sind die Ziele von DORA?

Ziel von DORA ist es, sicherzustellen, dass Organisationen widerstandsfähig gegenüber IT-Störungen und Cyberangriffen sind. Dabei schafft es ein harmonisiertes Regelwerk für den Umgang mit Cyber-Bedrohungen.

Im Dschungel der Security-Regularien: Fragenhagel mit Bert Kondruß, Director Development

ITSM und NIS-2: Was Sie wissen sollten

Die neue Richtlinie zur Netz- und Informationssicherheit

Die NIS-2-Richtlinie (Network and Information Systems Directive) ist eine EU-Verordnung, die die Cybersicherheit in kritischen Sektoren stärken soll, einschließlich IT-Dienstleistern. Sie baut auf der ursprünglichen NIS-Richtlinie auf und erweitert deren Anwendungsbereich und Anforderungen.

Die NIS-2-Richtlinie erfordert von ITSM-Teams eine umfassende Überprüfung und Anpassung ihrer Sicherheitspraktiken und -prozesse. Es muss sichergestellt werden, dass die ITSM-Prozesse den aktuellen Standards entsprechen und mit korrekten daten arbeiten.

FAQ zu NIS-2

Für wen gilt die NIS-2-Richtlinie?

NIS-2 gilt für eine Vielzahl von Sektoren, einschließlich Energie, Transport, Banken, Gesundheitswesen, Wasserver- und -entsorgung, digitale Infrastruktur, öffentliche Verwaltung und mehr. Auch Anbieter von digitalen Diensten wie Cloud-Dienstleister und Online-Marktplätze sind betroffen – also Unternehmen, die eine zunehmend digitalisierte Gesellschaft „am Laufen halten“.

Welche Hauptanforderungen stellt die NIS-2-Richtlinie?

  • Risikomanagement: Unternehmen müssen Maßnahmen zur Identifizierung, Bewertung und Minderung von Cybersicherheitsrisiken implementieren.
  • Incident Reporting: Verpflichtung zur Meldung von erheblichen Sicherheitsvorfällen an die zuständigen Behörden innerhalb von 24 Stunden.
  • Technische und organisatorische Maßnahmen: Einführung strenger Sicherheitsmaßnahmen zur Verhinderung und Minimierung von Sicherheitsvorfällen.
  • Supply Chain Security: Sicherstellung der Cybersicherheit entlang der gesamten Lieferkette.
  • Business Continuity Management: Planung und Umsetzung von Maßnahmen zur Sicherstellung der Geschäftskontinuität im Falle eines Sicherheitsvorfalls.

Warum ist IT Service Management wichtig für die Erfüllung der NIS-2-Richtlinie?

Die NIS-2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit und enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. IT Service Management (ITSM) ist entscheidend für die Einhaltung der NIS-2-Anforderungen, da ITSM-Teams dafür verantwortlich sind, die IT-Infrastruktur und -Prozesse sicher und widerstandsfähig zu gestalten. Dies umfasst die Implementierung von Risikomanagementstrategien, die Entwicklung von Incident-Response-Plänen und die Sicherstellung der Betriebskontinuität.

Wann tritt die NIS-2-Richtlinie in Kraft?

Die NIS-2-Richtlinie wird ab Oktober 2024 in Kraft treten und ist eine Aktualisierung der bereits 2016 eingeführten Cybersicherheitsvorschriften der EU. Unternehmen sollten sich jetzt vorbereiten, um sicherzustellen, dass sie die Anforderungen rechtzeitig erfüllen können.

Was passiert, wenn ein Unternehmen die NIS-2-Anforderungen nicht erfüllt?

Unternehmen, die die Anforderungen der NIS2-Richtlinie nicht erfüllen, riskieren erhebliche Geldstrafen und Sanktionen. Darüber hinaus kann die Nichteinhaltung zu schwerwiegenden geschäftlichen und reputationsbezogenen Schäden führen.

Wo finden sich weitere Informationen zu NIS-2?

Die EU-Kommission informiert auf ihrer Website umfassend zur NIS-2-Richtlinie im Rahmen der Gesetzgebung für ein höheres Cybersicherheitsniveau. Hier finden sich auch aktuelle News und weiterführende Links, wie zum Beispiel zur NIS-Kooperationsgruppe. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert auf der eigenen Website über die NIS-2-Richtlinie und liefert wertvolle Links zur rechtlichen Grundlage in Deutschland.

Sicher durch den Security-Dschungel: USU Digital Breakfast

ITSM GRC Digital Breakfast Header schmal

Erfolgreiche Strategien für DORA & NIS2

Unsere Expert:innen teilen ihr Wissen, damit Ihre Compliance-Strategie nicht nur den regulatorischen Anforderungen entspricht, sondern auch optimal auf die spezifischen Bedürfnisse Ihres Unternehmens abgestimmt ist. Es erwarten Sie spannende Keynotes, Einblicke aus der Praxis und ein offener Austausch.

Live-Webinar: Toolgestützte Umsetzung Schritt für Schritt

21. November 2024 | 10:00 - 10:45 Uhr

Deep-Dive: Erfolgreiche Implementierung von NIS-2 in der Praxis

In diesem Webinar zeigen wir, wie unsere integrierte Lösung Sie bei der Einhaltung der NIS-2-Regularien unterstützt, indem sie Risikomanagement und Schwachstellenmanagement in den Fokus rückt. Unsere Experten erläutern außerdem, wie Business Impact Analysis und Business Continuity Management effektiv eingesetzt werden können, um Bedrohungen zu bewerten und die Resilienz zu stärken.

Jetzt anmelden

22. November 2024 | 10:00 - 10:45 Uhr

Deep-Dive: Erfolgreiche Umsetzung der DORA-Verordnung in der Praxis

In unserer Live-Demo zeigen wir Ihnen Schritt für Schritt, wie Sie die Anforderungen der DORA-Verordnung erfolgreich umsetzen. Anhand praxisnaher Use Cases demonstrieren wir, wie Sie diese Richtlinien effizient in Ihre IT-Prozesse integrieren, um die digitale Resilienz Ihres Unternehmens nachhaltig zu stärken.

Jetzt anmelden

ITSM und der Cyber Resilience Act (CRA): Was Sie wissen sollten

Vorbereitung auf die Zukunft der Cybersicherheit von digitalen Produkten

Der Cyber Resilience Act (CRA) ist eine wegweisende EU-Verordnung, welche bereits am 12. März 2024 vom Europäischen Parlament beschlossen wurde und die voraussichtlich 2027 in Kraft tritt. Sie zielt darauf ab, die Sicherheit von Produkten mit digitalen Elementen in der EU zu stärken. Der CRA legt strenge Anforderungen an die Cybersicherheit fest und verpflichtet Herstellen von Produkten mit digitalen Elementen, Sicherheitslücken proaktiv zu identifizieren und zu beheben, zum Beispiel mit Sicherheitsupdates.

Darunter fallen Software- wie auch Hardwareprodukte. Besonders für IT Service Management bedeutet dies, dass umfassende Sicherheitsmaßnahmen integriert und kontinuierlich überwacht werden müssen. Der CRA fordert robuste Sicherheitsprotokolle und regelmäßige Sicherheitsüberprüfungen von den Herstellern, um den Schutz vor Cyberangriffen zu gewährleisten. Unternehmen, die diese Standards nicht erfüllen, riskieren hohe Strafen und schwerwiegende Auswirkungen auf ihre Geschäftskontinuität. Weitere Informationen zum CRA finden sich auf der Website der Europäischen Kommission unter Gesetz zur Cyberresilienz.

Ihre Lösung für Governance, Risk & Compliance mit USU ITSM

Erfahren Sie, wie USU mit dem Governance, Risk & Compliance Manager (GRCM) sowie dem Service Risk Manager (SERM) Ihr GRC Management verbessern und vereinfachen kann.

Transparente Berichts- und Audit-Planung

Effiziente Planung und Durchführung von Regelaufgaben.

Business Impact Analysen

Bewertung der Auswirkungen von Ausfällen auf Geschäftsprozesse und IT Services.

Automatischer Import von Schwachstellenmeldungen

Integration aktueller Bedrohungsinformationen vom BSI.

Compliance und Kontinuität

Sicherstellung der Einhaltung aller regulatorischen Vorgaben.

Risikomanagement

Risikomanagement von Enterprise-, Business- und IT Services ohne Medienbrüche und auf Basis der operativen Realität.

GRC-Management mit USU

Erfahren Sie, wie USU mit dem Governance, Risk & Compliance Manager (GRCM) sowie dem Service Risk Manager (SERM) Ihr GRC Management verbessern und vereinfachen kann.

Lassen Sie uns persönlich sprechen!

Die meisten Fragen lassen sich im direkten Kontakt am besten klären. Wir freuen uns darauf, Ihre Fragen und Wünsche telefonisch zu beantworten.

Daniel Decker
Community Developer
Daniel Decker

Kontaktieren Sie uns!

Haben Sie Fragen? Kontaktieren Sie uns und vereinbaren Sie einen Termin für eine individuelle Beratung zur USU IT Service Management Suite.