DORA: Digitale Betriebsstabilität im Finanzsektor
Cyberkriminalität nimmt konstant zu. Die Zahl der Cyberangriffe auf österreichische Unternehmen ist im Vergleich zum Vorjahr um mehr als 200 Prozent gestiegen.
Zu diesem Ergebnis kommt die Studie „Cyber Security in Österreich 2023“im Auftrag von KPMG und dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrums Sicheres Österreich. Verwiesen wird in der Studie auf die schwerwiegenden Konsequenzen. So sind es nach einem Cyberangriff neben dem Reputationsverlust vor allem die Betriebsunterbrechung und die Kosten für die Aufarbeitung des Cyberangriffs, die den finanziellen Schaden in die Höhe treiben.
Mehr Cyberresilienz
Besonders im Fokus stehen Unternehmen aus der Finanzbranche. Damit diese auch im Falle eines erfolgreichen Angriffs oder anderer IT-Probleme ihren Betrieb aufrechterhalten können, hat die EU den Digital Operational Resilience Act (DORA) verabschiedet.
Ziel der EU-Verordnung, die am 16. Januar 2023 in Kraft getreten ist (Umsetzungsfrist: 17. Januar 2025), ist es, die digitale Betriebsstabilität des europäischen Finanzsektors zu stärken und systemische IT-Risiken zu reduzieren. Der Act gilt für alle Arten von Finanzinstituten (von Banken und Zahlungsdienstleistern über Versicherer bis hin zu Ratingagenturen oder Pensionskassen) und für IT-Drittanbieter (CloudComputing-Services, SaaS-Anbieter, Rechenzentren, . . .).
Betroffen sind mehr als 22.000 Finanzunternehmen und IKTDienstleister in der EU, die nunmehr verpflichtet sind, Systeme aufzubauen, mit denen unter anderem eine entsprechende Risikoeinschätzung erfolgt, erkannte Angriffe ordnungsgemäß gemeldet werden oder die eigene IT-Infrastruktur laufend auf mögliche Schwachstellen überprüft wird.
Neue Herausforderungen
Für Unternehmen des Finanzsektors ergeben sich mit DORA demnach eine Reihe von neuen Herausforderungen, die aus den erhöhten Sorgfaltsund Berichtspflichten resultieren. Dazu zählen eine revisionssichere Dokumentation von Auslagerungen, gesetzeskonforme Verträge und jederzeitige Auskunftsfähigkeit.
Die neue EU-Verordnung führt insgesamt dazu, dass Unternehmen in Zukunft ihre Strategien, Richtlinien und Verfahren zu Risikoidentifikation und -analyse nochmals neu bewerten und gegebenenfalls zu überarbeiten haben. Auch für das Vertragsmanagement ergeben sich eine Reihe von Aufgaben, die es so schnell wie möglich in Angriff zu nehmen gilt.
Expert:innen-Talk
Wie lassen sich die EU-Vorgaben effizient und zuverlässig umsetzen? Wie kann die Digitalisierung dabei helfen? Welche besonderen Herausforderungen ergeben sich bei der Auslagerung von IKT-Dienstleistungen an Dritte? Antworten auf diese und weitere Fragen liefern Expert:innen in einer Diskussion am 1. Februar 2024 (siehe Info-Kasten).