Thought Leadership
Die neue EU-DORA-Verordnung soll die digitale operative Widerstandsfähigkeit des Finanzsektors stärken. Dazu gehören überarbeitete Vorschriften und Richtlinien in Bezug auf Cyberrisiko-Management, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.
Eine einheitliche, sichere und hybride Datenplattform ist dabei essentiell, um den neuen Anforderungen in Zeiten von Drittanbieter-Cloud-Infrastrukturen gerecht zu werden. Auf sich allein gestellt, werden die Finanzinstitute ein solch komplexes Unterfangen nur schwer stemmen können, doch externe Partner helfen beim Aufbau und Betrieb.
Die Stabilität des Finanzsektors ist die Basis für eine funktionierende Gesellschaft. So ist es kein Wunder, dass die EU bestrebt ist, diesen mit Regularien und Vorschriften abzusichern. Die Absicht hinter den Maßnahmen: eine übermäßige Risikobereitschaft verhindern, eine angemessene Kapitalausstattung sicherstellen und die Wahrscheinlichkeit von Insolvenzen oder Finanzkrisen verringern. Nur wenn Bürger, Unternehmen, Ämter und weitere Organisationen Finanzinstituten vertrauen, funktionieren Wirtschaft und Warenkreislauf.
In diesem Zusammenhang ist der Einfluss digitaler Technologien wie etwa Hybrid- und Multi-Cloud-Infrastrukturen kritisch zu prüfen. In der Vergangenheit haben diese bereits Abläufe gestrafft, Innovationen angeregt und Kostenoptimierung beschleunigt. Trotzdem wären die Behörden unvorsichtig, wenn sie sich nicht mit den inhärenten Cyber-Risiken befassen würden, die mit digitalen, internetbasierten Technologielösungen von Drittanbietern verbunden sind.
Die EU unternimmt aus diesem Grund wichtige Schritte, um den Umgang mit Daten zu vereinheitlichen und fokussiert sich auf eine Reduzierung von Cyberrisiken im Finanzsektor. Die Einführung des Digital Operational Resilience Act (DORA) wird sich sowohl auf die Finanzunternehmen als auch auf die Technologiedienstleister in der Finanzbranche auswirken. Doch was beinhaltet DORA eigentlich?
Das Wichtigste zu DORA
DORA ist eine Verordnung der Europäischen Kommission, die im Januar 2023 in Kraft trat und bis Januar 2025 umgesetzt werden muss. Da der Finanzsektor bei der Erbringung von Finanzdienstleistungen zunehmend von Informations- und Kommunikationstechnologien (ICT) und ICT-Serviceprovidern (ICTSP) abhängig ist, soll DORA die operative Widerstandsfähigkeit des EU-Finanzsektors gegen Cyber-Bedrohungen und -Vorfälle verbessern. DORA konzentriert sich darauf, die Stabilität digitaler Dienstleistungen von Finanzunternehmen (FI) wie Banken, Aktiengesellschaften und Marktinfrastruktur-Bereitstellern sicherzustellen.
Die wichtigsten Ziele und Anforderungen von DORA sind:
- Durchsetzung: Cyber-Risikomanagement im Finanzsektor umfassend anwenden und EU-weit einschlägige Vorschriften harmonisieren.
- Risikomanagement: FIs müssen konstant Cyber-Risiken identifizieren, bewerten und managen, Strategien zum Schutz von Systemen und Daten entwickeln sowie Pläne zur Aufrechterhaltung des Geschäftsbetriebs erstellen.
- Reporting: Berichterstattung über Vorfälle, Belastbarkeitstests und Risikomanagement durch Dritte für FIs sind verpflichtend.
- Controlling: Einrichtung eines Überwachungsrahmen für kritische ICT-Serviceprovider wie Cloud-Plattformen und Datenanalysedienste.
- Kooperation: Informationsaustausch über Cyber-Bedrohungen bei Einhaltung der gängigen Datenschutzgesetze ermöglichen.
Mit einer einheitlichen Datenplattform zur DORA-Compliance
Die neuen Verpflichtungen für Finanzinstitute, die sich durch DORA ergeben, können mit einer einheitlichen Datenplattform erfüllt werden. Diese bietet in erster Linie eine Shared Data Experience (SDX) für konsistente Datensicherheit, Governance und Kontrolle über den gesamten Datenlebenszyklus und alle Umgebungen hinweg – ganz gleich ob Public Cloud, Private Cloud oder On-Premises. Mit SDX können FIs einmalig Datenzugriffskontrollen und -richtlinien festlegen, die dann automatisch für Daten und Analysen in hybriden und Multi-Cloud-Implementierungen durchgesetzt werden, selbst wenn Daten und Workloads zwischen ihnen verschoben werden. Dies hilft den Finanzunternehmen, die Anforderungen von DORA in Bezug auf solides Cyberrisiko-Management und den Schutz von Systemen und Daten zu erfüllen.
Diese Datenflexibilität trägt weiterhin dazu bei, Bedenken in Bezug auf die Abhängigkeit von Cloud-Anbietern zu zerstreuen. Zudem garantiert sie eine hohe Ausfallsicherheit im laufenden Betrieb.
Die einheitliche Datenplattform ermöglicht, die einfache Verwaltung und Kontrolle des gesamten Datenlebenszyklus durch die Integration von Streaming, Analyse-Tools und maschinellem Lernen auf einer einzigen Oberfläche. Dies ist eine wichtige Unterstützung bei der Entwicklung kritischer Anwendungen für aktuelle und zukünftige Anforderungen. Ein solcher Ansatz unterstützt zudem die durch DORA festgelegten Ziele für das Cyberrisiko-Management.
Eine solche Plattform eigenständig umzusetzen, ist wenig ratsam. Es handelt sich um ein komplexes und langfristiges IT-Projekt, das für die ausgelasteten IT-Abteilungen der Finanzinstitute kaum zu stemmen ist. Hier können externe Partner Abhilfe schaffen. Diese beraten bei der Auswahl von Lösungen, helfen bei der Implementierung und unterstützen auf Wunsch den laufenden Betrieb.
Fazit: Einheitliche Plattform – volle Übersicht
Auch wenn die neuen DORA-Anforderungen auf den ersten Blick einschüchternd wirken, so ist DORA-Compliance kein Hexenwerk. Als erstes braucht es eine einheitliche, sichere und flexible hybride Datenplattform. Diese unterstützt die Finanzinstitute dabei, die Schlüsselanforderungen der EU-DORA-Verordnung in Bezug auf Cyberrisiko-Management, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität zu erfüllen. Externe Partner wiederum helfen bei der Auswahl und Implementierung der geeigneten technischen Lösung und liefern damit ebenso ihren Beitrag, die digitale operative Widerstandsfähigkeit des Finanzsektors zu verbessern.
(pd/Cloudera)
