Im Dschungel von DORA, NIS2 und dem Cyber Resilience Act

Der „Digital Operational Resilience Act“, kurz DORA, ist eine finanzsektorweite Regulierung der Europäischen Union und zielt darauf ab, die digitale Resilienz von Finanzinstituten zu stärken. ITSM spielt eine zentrale Rolle bei der Umsetzung dieser Vorschriften, insbesondere bei der Überwachung und Sicherstellung der Betriebsbereitschaft von IT-Systemen und -Prozessen.

Eine Verordnung ist ein verbindlicher Rechtsakt, den alle EU-Länder in vollem Umfang umsetzen müssen.

DORA richtet sich an eine breite Palette von Organisationen im Finanzsektor, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und andere Finanzmarktinfrastrukturen. Auch Drittanbieter von IT-Dienstleistungen, die für diese Organisationen tätig sind, fallen unter die Verordnung.

• Risikomanagement: Organisationen müssen umfassende Risikomanagement-Rahmenwerke implementieren, die sich auf IT- und Cyberrisiken konzentrieren.
• Incident Reporting: Verpflichtung zur Meldung von schwerwiegenden IT-Sicherheitsvorfällen an die zuständigen Aufsichtsbehörden.
• Operational Resilience Testing: Regelmäßige Tests der operativen Resilienz, einschließlich Penetrationstests und anderen Sicherheitsüberprüfungen.
• Abhängigkeiten von Drittanbietern: Strenge Vorschriften zur Überwachung und Kontrolle von IT-Dienstleistern und anderen Drittanbietern.

IT Service Management (ITSM) spielt eine zentrale Rolle bei der Umsetzung der DORA-Anforderungen. ITSM-Teams müssen sicherstellen, dass ihre Systeme und Prozesse robust genug sind, um IT-Störungen zu bewältigen, und dass sie in der Lage sind, schnell auf Cybervorfälle zu reagieren. Ein effektives ITSM kann dazu beitragen, die Betriebskontinuität zu gewährleisten und die Anforderungen von DORA zu erfüllen.

DORA wurde von der Europäischen Union verabschiedet und findet ab dem 17. Januar 2025 Anwendung. Unternehmen sollten sich jetzt vorbereiten, um sicherzustellen, dass sie die Anforderungen rechtzeitig erfüllen können.

Nach der harten Deadline vom 17. Januar 2025 wird die BAFIN beginnen, die Informationsregister der Finanzinstitute einsammeln. Nach der Auswertung dieser Register wird die BAFIN entscheiden können, ob und wo weitere Prüfungen durchgeführt werden. Unternehmen sollten sich darauf einstellen, dass sie jederzeit auskunftsfähig sein müssen, sowohl bei Vor-Ort-Überprüfungen als auch bei Anfragen. Es ist jedoch unwahrscheinlich, dass die Behörden unmittelbar am Stichtag vor der Tür stehen werden. Im Laufe des Jahres 2025 werden die Aufsichtsbehörden mit den DORA-Überprüfungen beginnen, um sicherzustellen, dass alle Unternehmen die neuen Regularien einhalten und ihre IT-Sicherheitsstandards entsprechend angepasst haben.

Unternehmen, die die Anforderungen von DORA nicht erfüllen, riskieren erhebliche Strafen und Sanktionen. Darüber hinaus kann ein Versäumnis, die Vorschriften einzuhalten, zu schwerwiegenden geschäftlichen und reputationsbezogenen Schäden führen.

Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) informiert auf Ihrer Website über den Digital Operational Resilience Act und veröffentlicht regelmäßig relevante Artikel in ihrem Web-Journal.

Ziel von DORA ist es, sicherzustellen, dass Organisationen widerstandsfähig gegenüber IT-Störungen und Cyberangriffen sind. Dabei schafft es ein harmonisiertes Regelwerk für den Umgang mit Cyber-Bedrohungen.

NIS-2 gilt für eine Vielzahl von Sektoren, einschließlich Energie, Transport, Banken, Gesundheitswesen, Wasserver- und -entsorgung, digitale Infrastruktur, öffentliche Verwaltung und mehr. Auch Anbieter von digitalen Diensten wie Cloud-Dienstleister und Online-Marktplätze sind betroffen – also Unternehmen, die eine zunehmend digitalisierte Gesellschaft „am Laufen halten“.

• Risikomanagement: Unternehmen müssen Maßnahmen zur Identifizierung, Bewertung und Minderung von Cybersicherheitsrisiken implementieren.
• Incident Reporting: Verpflichtung zur Meldung von erheblichen Sicherheitsvorfällen an die zuständigen Behörden innerhalb von 24 Stunden.
• Technische und organisatorische Maßnahmen: Einführung strenger Sicherheitsmaßnahmen zur Verhinderung und Minimierung von Sicherheitsvorfällen.
• Supply Chain Security: Sicherstellung der Cybersicherheit entlang der gesamten Lieferkette.
• Business Continuity Management: Planung und Umsetzung von Maßnahmen zur Sicherstellung der Geschäftskontinuität im Falle eines Sicherheitsvorfalls.

Die NIS-2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit und enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU. IT Service Management (ITSM) ist entscheidend für die Einhaltung der NIS-2-Anforderungen, da ITSM-Teams dafür verantwortlich sind, die IT-Infrastruktur und -Prozesse sicher und widerstandsfähig zu gestalten. Dies umfasst die Implementierung von Risikomanagementstrategien, die Entwicklung von Incident-Response-Plänen und die Sicherstellung der Betriebskontinuität.

Die NIS-2-Richtlinie wird ab Oktober 2024 in Kraft treten und ist eine Aktualisierung der bereits 2016 eingeführten Cybersicherheitsvorschriften der EU. Unternehmen sollten sich jetzt vorbereiten, um sicherzustellen, dass sie die Anforderungen rechtzeitig erfüllen können.

Unternehmen, die die Anforderungen der NIS2-Richtlinie nicht erfüllen, riskieren erhebliche Geldstrafen und Sanktionen. Darüber hinaus kann die Nichteinhaltung zu schwerwiegenden geschäftlichen und reputationsbezogenen Schäden führen.

Die EU-Kommission informiert auf ihrer Website umfassend zur NIS-2-Richtlinie im Rahmen der Gesetzgebung für ein höheres Cybersicherheitsniveau. Hier finden sich auch aktuelle News und weiterführende Links, wie zum Beispiel zur NIS-Kooperationsgruppe. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert auf der eigenen Website über die NIS-2-Richtlinie und liefert wertvolle Links zur rechtlichen Grundlage in Deutschland.