Fotografie einer Bankenszene: Vorne links ist eine blonde, langhaarige Bankmitarbeiterin in Anzug und mit Brille von hinten zu sehen, die ihrem Kollegen - der ihr gegenüber sitzt - ein Papierdokument zeigt; ihr Kollege ist ein Mann mittleren Alters mit grauen Haaren, grauem Bart, Brille und Anzug, der interessiert mit der Dame diskutiert

Digital Operational Resilience Act (DORA)

Cybersicherheit für das Finanzwesen.
Sichere und performante IT-Netzwerke.

DORA verstehen und umsetzen

Finanzdaten zählen zu den besonders schutzbedürftigen Informationen. Banken und Finanzdienstleister verfügen bereits über umfangreiche Sicherheitsmaßnahmen, dennoch bestehen weiterhin Anforderungen an deren Ausbau und Weiterentwicklung.

Mit der zunehmenden Nutzung von Informations- und Kommunikationstechnologien (IKT) sowie der fortschreitenden digitalen Vernetzung im Finanzsektor steigen die Anforderungen an eine regelkonforme Absicherung dieser Systeme.

Der regulatorische Rahmen hierfür wird durch den „Digital Operational Resilience Act“ (DORA) vorgegeben. Ziel dieser Verordnung ist es, die Cybersicherheit und digitale Resilienz im Finanzwesen zu stärken und zu vereinheitlichen. Dazu definiert DORA umfassende Anforderungen an die IT-Sicherheit.

Informationen zu den konkreten Maßnahmen, den betroffenen Institutionen sowie zur Unterstützung bei der Umsetzung durch LANCOM Produkte finden Sie auf unserer DORA-Themenseite.

DORA-Whitepaper mit FAQ anfordern

DORA-Anforderungen kompakt zusammengefasst

Für wen gilt der DORA?

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • Wertpapierfirmen
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • Einrichtungen der betrieblichen Altersvorsorge
  • IKT-Drittdienstleister für Finanzunternehmen

Ausnahmen:

  • Versicherungs- und Rückversicherungsunternehmen bzw. -vermittler, wenn: Nebentätigkeit und / oder Kleinst- oder kleine bzw. mittlere Unternehmen
  • Kleinstunternehmen: Ausnahmen und Erleichterungen hinsichtlich einzelner Anforderungen bzw. weniger strenge Anforderungen hinsichtlich der Häufigkeit, der Art und der programmatischen Ausgestaltung ihrer Resilienztests

Was fordert der DORA?

  • Risikomanagement (Kapitel II, Artikel 5-16)
  • Behandlung, Klassifizierung und Berichterstattungen IKT-bezogener Vorfälle (Kapitel III, Artikel 17-23)
  • Test der Resilienz (Kapitel IV, Artikel 24-27)
  • Management des Drittparteienrisikos (Kapitel V, Artikel 28-30)
  • Pflichten für kritische IKT-Drittdienstleister (Kapitel V, Artikel 31-44)

Wie wird die Umsetzung überprüft?

Nationale Aufsichtsbehörde in Deutschland: BaFin (Bundesanstalt für Finanzaufsicht) in Zusammenarbeit mit der Deutschen Bundesbank

EU-Aufsichtsbehörde: Als bedeutend eingestufte Kreditinstitute werden direkt von der Europäischen Zentralbank (EZB) beaufsichtigt

Erwartbare Folgen bei Nichteinhaltung:

  • Ermittlungs-, Inspektions- und Befragungsbefugnisse
  • Anordnung von Korrektur- und Abhilfemaßnahmen
  • Zwangsgelder
  • Unterlassungsanweisungen
  • Strafrechtliche Sanktionen
  • Veröffentlichung von Sanktionen inkl. Angabe der natürlichen oder juristischen Person und Art des Verstoßes auf offizieller Webseite der Behörden

DORA-Details, FAQ und Ratschläge aus rechtlicher Sicht

Die regulatorischen Anforderungen des Digital Operational Resilience Act (DORA) führen bei Finanzunternehmen und deren Dienstleistern zu einem erhöhten Informationsbedarf hinsichtlich der konkreten Umsetzung. Insbesondere besteht Klärungsbedarf zu den praktischen Auswirkungen einzelner Vorschriften und deren Auslegung.

Zur Einordnung der rechtlichen Anforderungen hat LANCOM in Zusammenarbeit mit der Kanzlei reuschlaw eine Stellungnahme sowie ein ergänzendes FAQ-Dokument erstellen lassen. Das daraus entstandene Whitepaper bietet eine strukturierte Übersicht über die wesentlichen Inhalte des DORA und beantwortet zentrale Fragestellungen zur praktischen Umsetzung.

Das Whitepaper steht kostenfrei zur Verfügung und dient als Informationsgrundlage für die Auseinandersetzung mit den Anforderungen des DORA.

DORA-Whitepaper kostenlos anfordern

Coverbild des LANCOM Whitepapers "DORA-IT-Compliance im Finanzsektor": Weiß-dunkelblauer Hintergrund (1/2 oben weiß und 1/2 unten dunkelblau) mit Fotografie einer Bankberatungssituation zwischen einer jungen Frau und einem Mann mittleren Alters mit grauen Haaren und Brille, sowie dem Titel des Whitepapers und dem R&S sowie LANCOM Logo

Unterstützung der IT-Sicherheit für Finanzdaten durch sichere und performante IT-Netzwerke

Als deutscher IT-Netzwerk Hersteller unterstützen wir Finanzunternehmen und IKT-Dienstleister im Finanzsektor mit DSGVO-konformer und sicherer Hardware, Software, Cloud-Steuerung und Remote Access-Infrastruktur. Sie dient u.a. dazu den Digital Operational Resilience Act (DORA) umzusetzen.

Wie? Das zeigen wir Ihnen gerne im folgenden Abschnitt.

Sichere und performante IT-Netzwerke

Erfahren Sie hier, wie Sie mit LANCOM Produkten und Lösungen zur Erfüllung der einzelnen Vorgaben aus dem DORA beitragen können:

Icon: Aufgespannter Regenschirm über zwei Zahnrädern platziert

Risikomanagement (Kapitel II, Artikel 5-16)

DORA-Anforderungen:

  • Governance- und Kontrollrahmen für IKT-Risiken und zum Schutz von Hard- und Software
  • Prozesse zur Identifizierung, zum Schutz, zur Prävention, zur Erkennung und zur Reaktion auf IKT-Risiken
  • Implementierungsaufwand muss im angemessenen Verhältnis zu jeweiligem Risiko stehen
  • Verantwortung für Umsetzung, Management und Überwachung liegt bei Leitung des Finanzunternehmens

LANCOM Umsetzung und Lösungsmehrwert:

  • 24/7 überwachte Netzwerksicherheit und schnelle Reaktionszeiten im Ernstfall dank systemweiten Sicherheitseinstellungen in der zentralen Management-Plattform (LANCOM Management Cloud), inkl. SIEM-Integration
  • Next-Generation UTM-Firewalls mit Application Management und Deep Packet Inspection, Content- und Paketfilter, Anti-Virus / Anti-Malware / Anti-Spam, Intrusion Detection / Prevention System, uvm.
  • Zentrale, transparente Konfiguration von Betriebsvorgaben für das gesamte Netzwerk
  • Redundanz- und Backup-Funktionen in Core und Distribution Switches sowie in Routern und Gateways für Geschäftskontinuität
  • Cloud-gesteuerte, feingranulare Zugriffsrechtevergabe auf Anwendungsebene 
  • Regelmäßige, automatisierbare Softwareupdates inklusive Feature Updates, Bugfixes und Security Updates
  • Transparentes Lifecycle Management für eine langfristig planbare Firmware-Wartung
  • DSGVO-Konformität in allen Geräten und Softwares für Digitale Souveränität
Icon: Datenzentrum (3D-Scheibe), das hierarchisch über drei mit ihm vernetzten Vierecken steht

Behandlung, Klassifizierung und Berichterstattungen IKT-bezogener Vorfälle (Kapitel III, Artikel 17-23)

DORA-Anforderungen:

  • Einrichtung von Prozess für Behandlung IKT-bezogener Vorfälle (kohärente und integrierte Überwachung, Ursachenermittlung und Dokumentation)
  • Definition eines „IKT-bezogenen Vorfalls“ als vom Finanzunternehmen nicht geplantes Ereignis, das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit zahlungsbezogener Daten hat
  • Klassifizierung nach Anzahl der betroffenen Kunden und Transaktionen, der Dauer, der geografischen Ausbreitung, den wirtschaftlichen Auswirkungen und der Kritikalität der betroffenen Dienste
  • Meldepflicht an Behörden bei schwerwiegenden Vorfällen

LANCOM Umsetzung und Lösungsmehrwert:

  • Umfassendes und konstantes 24/7-Netzwerkmonitoring durch die LANCOM Management Cloud (LMC) inkl. Echtzeit-Gerätestatus, leicht auswertbaren Dashboards, Alerting-Funktionen und (Security-)Reports
  • Transparente Security-Audit-Reportings der UTM-Firewalls zu Angriffsversuchen
  • Einfache Integration gängiger Security Information and Event Management (SIEM)-Systeme
  • Automatische, proaktive WLAN-Anomalie-Erkennung in der LMC inkl. Troubleshooting-Tipps
  • Selbstlernende, automatische WLAN-Optimierung mit LANCOM Active Radio Control™ 2.0
Icon: Drei Personen mit einem darüber abgebildeten Warndreieck mit Ausrufezeichen

Management des Drittparteienrisikos (Kapitel V, Artikel 28-30)

DORA-Anforderungen:

  • Entwicklung einer Strategie für das IKT-Drittparteienrisiko
  • Führen eines aktuellen Informationsregisters über die Art und den Umfang der Nutzung aller von IKT-Drittdienstleistern erbrachten Leistungen
  • Risikoanalyse vor Abschluss jeder derartigen vertraglichen Vereinbarung, z.B. angemessene Informationssicherheitsstandards oder Konzentrationsrisiko (Abhängigkeitsartige Exposition ggü. Dienstleister mit kritischen Folgen bei Nichtverfügbarkeit oder Defiziten)
  • Festlegung von vertraglichen Mindestanforderungen, u.a. zu Dienstleistungen, Unteraufträgen, Standorten, Datenschutz, Dienstleistungsgüte, Kostentransparenz, Kündigung, uvm.

LANCOM Umsetzung und Lösungsmehrwert:

Icon: Zwei Hände, die miteinander einschlagen mit darüber platziertem Schriftstück

Pflichten für kritische IKT-Drittdienstleister (Kapitel V, Artikel 31-44)

DORA-Anforderungen:

  • Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister
  • Klassifizierungsmechanismus für Art und Ausmaß der Abhängigkeit des Finanzsektors von IKT-Drittdienstleistern
  • Berücksichtigung der fehlenden Substituierbarkeit der jeweiligen IKT-Drittdienstleister

LANCOM Umsetzung und Lösungsmehrwert:

Langjährige Erfahrung im Finanzsektor: Referenzprojekte und Kundenstimmen

LANCOM setzt bereits viele Jahre Netzwerkinfrastrukturprojekte im und mit dem Finanzsektor um. Unsere Firewalls, Router, Switches, Access Points und die LANCOM Management Cloud sichern bereits diverse Banken und Finanzunternehmen ab.

Kleiner Einblick gefällig? Sehen Sie sich gerne unsere aktuellsten Referenzen an!

Bestens geschützte Finanzen

Kundendaten im Finanzbereich gehören zu den sensibelsten Informationen und sind ein begehrtes Ziel für Hacker. Deshalb ist es umso entscheidender, diese Daten angemessen zu sichern. Die Otto M. Schröder Bank AG hat ihr Filial-WLAN aus diesem Grund modernisiert. Mit netzwerksicheren Komponenten ohne Hintertüren, Content-Filtern und Funktionen für hohe Verfügbarkeit ist die Bank bestens gegen Netzwerkausfälle und Cyberangriffe gewappnet. Dank der LANCOM Management Cloud konnte die Umstellung reibungslos erfolgen, ohne den laufenden Geschäftsbetrieb zu beeinträchtigen.

Otto M. Schröder Bank Referenz lesen

Vertragsabschlussszene in weißem Bürogebäude: Rückansicht von brünetter Frau mit Pferdeschwanz und Sakko, die die Hand einer anderen kurzhaarigen Frau mit freundlichem Lächeln in Businesskleidung schüttelt; Daneben sitzen zwei lächelnde Kollegen in Anzug mit Laptop am selben Tisch und sehen den beiden Frauen zufrieden zu

Zukunftstaugliche IT für Kreditinstitute

Die irische, über 65.000 Mitglieder starke St. Canice’s Credit Union modernisierte ihr veraltetes Netzwerk, um in Zukunft erhöhte Sicherheit, Skalierbarkeit und zentrale Verwaltung zu gewährleisten. In Zusammenarbeit mit BITS und LANCOM wurde daher eine widerstandsfähige Cloud-basierte Lösung (LANCOM Management Cloud) implementiert, inkl. zentraler Steuerung, 24/7-Überwachung und proaktiven Warnmeldungen. Das IT-Team kann nun nicht nur schneller reagieren und Ausfallzeiten minimieren, sondern hat nun eine robuste, leichter managebare und ausbaufähige Netzwerkinfrastruktur, die reibungslos während des laufenden Betriebs  installiert wurde.

St. Canince's Credit Union Referenz lesen (EN)

Logo der St Canice's Credit Union

Ihre Fragen beantworten wir gerne!

Lassen Sie uns ins Gespräch kommen

Freundliche Sales-Mitarbeiter mit Headset nehmen Kundenanruf in Büro an

Haben Sie Fragen zu unseren Produkten oder Lösungen oder möchten Sie ein Projekt mit uns besprechen? Wir finden gemeinsam die passende Lösung.

Nutzen Sie bitte unser Kontaktformular, so erreicht Ihre Anfrage direkt die richtigen Expert:innen.

Vertrieb Deutschland: +49 (0)2405 49936 333
Vertrieb International: +49 (0)2405 49936 122