Worum geht es genau bei DORA? Wer ist davon betroffen und wie kann A1 helfen? Experten von Deloitte Risk Advisory und A1 informieren über die Fakten.
Der Digital Operational Resilience Act (DORA) ist eine neue europäische Verordnung für ein einheitliches, wirksames und umfassendes Management digitaler Risiken auf den Finanzmärkten. Neben Banken und Versicherungsunternehmen gilt DORA auch für Handelsplätze, Einrichtungen der betrieblichen Altersversorgung wie Pensionskassen, Anbieter und Börsen von Krypto-Dienstleistungen, Crowdfunding-Plattformen, Versicherungsvermittler und weitere Finanzunternehmen. Anbieter von IKT-Services – wie Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren, die Dienstleistungen für Finanzunternehmen erbringen, unterliegen dem DORA-Regime, wenn sie als „kritische IKT-Anbieter“ eingestuft werden. Das betrifft Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren – beispielsweise A1.
Cyberattacken nehmen zu
„Unternehmen sind durch die Bedrohungslage vermehrt Risiken ausgesetzt“, sagt Georg Schwondra, Partner bei Deloitte Risk Advisory, „insbesondere Cyberrisiken, Datenschutzverletzungen und Unterbrechungen der Lieferkette.“ Daher müssen Firmen ihre Sicherheitsmaßnahmen verbessern und in neue Technologien und Services investieren. „Eines der häufigsten Themen, das wir sehen, ist Phishing“, betont Christoph Moser, Director Security bei A1, „Angreifer versuchen sich Zugang zu Daten zu schaffen, über SMS oder E-Mails, bei denen man auf Links klicken soll, die auf gefälschte Websites führen, auf denen man Zugangsdaten eingeben soll.“ Mosers Tipp: „Nur direkt in der originalen Website oder über eine App einsteigen, nie über einen Link. Ein zweites Thema ist Ransomware. Hier werden die Daten verschlüsselt, sind nicht mehr abrufbar und nur gegen Lösegeld wieder offen für das Unternehmen. „Nicht zahlen“, ist hier der erste Tipp, als Prävention rät Moser dazu, Schutz aufzubauen – beispielsweise Backups, die offline arbeiten.
Ausgehend von solchen alltäglichen Szenarien, soll der Digital Operational Resilience Act einen EU-weiten Rechtsrahmen für die digitale Resilienz und Cybersicherheit mit Fokus auf Finanzdienstleister bilden. Durch diese Harmonisierung sollen die bisherigen länderspezifischen Anforderungen auf einen sicheren Nenner gebracht werden. Es handelt sich dabei um eine Anpassung bzw. Erweiterung von bestehenden Vorschriften wie NIS II. Diese Richtlinie ist bis Oktober 2024 umzusetzen. „DORA ist seit Jänner 2023 in Kraft, es ist eine EU-Verordnung, die Unternehmen im Jänner 2025 umzusetzen haben“, erklärt Christa Jahnsen, Partnerin bei Deloitte Risk Advisory.
Mehr Sicherheit für Finanzdienstleister
Worum geht es nun genau bei DORA? Unternehmen müssen sich fünf Handlungsfeldern widmen. Im Bereich der operativen Widerstandsfähigkeit sind bessere Abwehr von Cyberangriffen und technischen Störungen sowie gezielte Maßnahmen zur Prävention und Vermeidung von Cyberangriffen vorgeschrieben. Das betrifft etwa die Bereiche Netzwerk-, Cloud-, und Endpointsecurity sowie Object Security. Beim Risikomanagement geht es um Identifizierung, Bewertung und Überwachung digitaler Risiken und, damit einhergehend, die Einführung von Mechanismen zur Risikominderung und -kontrolle. Dazu zählen vor allem standardisierte Testverfahren durch geeignete Experten, wie beispielsweise A1. Ein Schlagwort hierbei ist „Vulnerability Management”. Im Rahmen des Kapitels Governance und Verantwortlichkeit ist die klare Definition von Rollen und Verantwortlichkeiten in Finanzinstituten vorgeschrieben. Das betrifft u. a. die Zusammenarbeit mit Aufsichtsbehörden und Meldung von Sicherheitsvorfällen, schließt aber auch Security-Consulting oder „Health Check“-Tests in Fragen der Sicherheit mit ein. Eng damit verbunden ist die Bewertung der Drittanbieter-Risiken, wenn beispielsweise Services an IKT-Unternehmen – wie A1 – ausgelagert sind. Hier ist die Sicherstellung angemessener Sicherheitsstandards bei Dienstleistern gefordert. Ein Thema, das auch für A1 von großer Bedeutung ist. Mit der Verpflichtung zu einem umfassenden Krisenmanagement und klar strukturierten Wiederherstellungsplänen sowie einer standardisierten Reaktion auf eventuelle Vorfälle schließt sich der DORA-Kreis.
Kontinuierliche Überwachung von Systemen, permanente Updates, neueste Technologien, Managementprozesse zur Überwachung und Protokollierung von „IKT-bezogenen Vorfällen“, Bewertung der Netzsicherheit, szenariobasierte Tests – das sind nur einige der Aufgaben, die nun auf die Unternehmen warten. In allen diesen und noch mehr Bereichen spielen die A1 Experten eine große Rolle – und zwar von beiden Seiten. „Von DORA sind eben nicht nur die Mitglieder der Finanzindustrie betroffen, sondern auch die relevanten IKT-Dienstleister“, betont Christa Jahnsen.
A1 als wichtiger Partner bei Security
„Wir sind selbst ein kritischer Infrastrukturbetreiber, und wir sind als A1 auch Drittanbieter von IKT-Dienstleistungen“, erklärt Christoph Moser. Genau diese Doppelrolle erhöht die Sicherheit für Businesskunden von A1. „Wir benötigen nachweislich hohe Sicherheitsstands und können diese auch durch NIS-Zertifizierung, ISO-Zertifikate oder das Cybertrust Label in Gold klar belegen“, sagt Moser. Als „Security-Sparringspartner“ kann A1 wertvolle Inputs liefern. „Wir erarbeiten einen risikobasierten Ansatz, der für jedes Unternehmen maßgeschneidert ist“, sagt Moser, „Was sind meine kritischen Services und Produkte, was brauche ich, um diese am Laufen zu halten? Davon ausgehend, können wir entsprechende Services und Lösungen entwickeln.“ Der Vorteil für die Kunden von A1: Sie können sich auf ihr Kerngeschäft konzentrieren. Und dank umfassender Services von A1, wie Exoscale, Netzwerkschutz, Endgeräteschutz, cloudbasierten Sicherheitslösungen, aktivem Risikomanagement sowie Beratung im Rahmen von NIS, können Unternehmen beruhigt nach vorne schauen.
