Fotografie einer Bankenszene: Vorne links ist eine blonde, langhaarige Bankmitarbeiterin in Anzug und mit Brille von hinten zu sehen, die ihrem Kollegen - der ihr gegenüber sitzt - ein Papierdokument zeigt; ihr Kollege ist ein Mann mittleren Alters mit grauen Haaren, grauem Bart, Brille und Anzug, der interessiert mit der Dame diskutiert

Digital Operational Resilience Act (DORA)

Höchste Cybersicherheit für das Finanzwesen.
DORA-konforme IT-Netzwerke für Banken und Co.

DORA verstehen und umsetzen

Kaum etwas ist so sensibel und so oft Ziel von Cyberangriffen wie Finanzdaten. Obgleich Banken und andere Finanzdienstleister bereits umfangreiche Sicherheitsmaßnahmen an den Tag legen, gibt es hier noch Ausbaupotenzial.

Denn: Der Einsatz von Informations- und Kommunikations­technologien (IKT) und die digitale Vernetzung steigen auch im Finanzsektor stetig an und müssen vorschriftsgemäß abgesichert werden.

Die entsprechende Vorschrift ist in diesem Fall der „Digital Operational Resilience Act“, kurz DORA. Er soll das Level der Cybersicherheit und digitalen Resilienz im Finanzwesen erhöhen und standardisieren und legt zu diesem Zweck weitreichende IT-Sicherheitsmaßnahmen fest.

Welche Maßnahmen der DORA vorschreibt, für wen sie gelten und wie LANCOM Produkte Sie dabei unterstützen, diese umzusetzen und zu erfüllen, lesen Sie hier auf unserer DORA-Themenseite.

Exklusives DORA-Whitepaper mit FAQ anfordern

DORA-Anforderungen kompakt zusammengefasst

Für wen gilt der DORA?

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • Wertpapierfirmen
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • Einrichtungen der betrieblichen Altersvorsorge
  • IKT-Drittdienstleister für Finanzunternehmen

Ausnahmen:

  • Versicherungs- und Rückversicherungsunternehmen bzw. -vermittler, wenn: Nebentätigkeit und / oder Kleinst- oder kleine bzw. mittlere Unternehmen
  • Kleinstunternehmen: Ausnahmen und Erleichterungen hinsichtlich einzelner Anforderungen bzw. weniger strenge Anforderungen hinsichtlich der Häufigkeit, der Art und der programmatischen Ausgestaltung ihrer Resilienztests

Was fordert der DORA?

  • Risikomanagement (Kapitel II, Artikel 5-16)
  • Behandlung, Klassifizierung und Berichterstattungen IKT-bezogener Vorfälle (Kapitel III, Artikel 17-23)
  • Test der Resilienz (Kapitel IV, Artikel 24-27)
  • Management des Drittparteienrisikos (Kapitel V, Artikel 28-30)
  • Pflichten für kritische IKT-Drittdienstleister (Kapitel V, Artikel 31-44)

Wie wird die Umsetzung überprüft?

Nationale Aufsichtsbehörde in Deutschland: BaFin (Bundesanstalt für Finanzaufsicht) in Zusammenarbeit mit der Deutschen Bundesbank

EU-Aufsichtsbehörde: Als bedeutend eingestufte Kreditinstitute werden direkt von der Europäischen Zentralbank (EZB) beaufsichtigt

Erwartbare Folgen bei Nichteinhaltung:

  • Ermittlungs-, Inspektions- und Befragungsbefugnisse
  • Anordnung von Korrektur- und Abhilfemaßnahmen
  • Zwangsgelder
  • Unterlassungsanweisungen
  • Strafrechtliche Sanktionen
  • Veröffentlichung von Sanktionen inkl. Angabe der natürlichen oder juristischen Person und Art des Verstoßes auf offizieller Webseite der Behörden

DORA-Details, FAQ und Ratschläge aus rechtlicher Sicht

Die rechtlichen Forderungen und Rahmenbedingungen des Digital Operational Resilience Acts machen viele Finanzunternehmen und ihre Dienstleister nervös. Was muss beachtet werden? Was bedeuten die einzelnen Paragrafen in der Praxis? Die wenigsten IKT-Dienstleister, Systemhäuser, Banken oder Finanzinstitute sind Rechtsexpert:innen.

Darum hat LANCOM zwei erfahrene Rechtsanwälte von reuschlaw um eine Stellungnahme und ein informatives FAQ zum DORA gebeten. Das Ergebnis ist ein verständlich formuliertes Paper, das alle wichtigen Informationen zum DORA bereitstellt und die am häufigsten gestellten Fragen beantwortet.

Nutzen Sie gerne unser exklusives, kostenloses Whitepaper, um sich umfassend zum DORA zu informieren und bestens vorbereitet zu sein:
 

DORA-Whitepaper kostenlos anfordern

Coverbild des LANCOM Whitepapers "DORA-IT-Compliance im Finanzsektor": Weiß-dunkelblauer Hintergrund (1/2 oben weiß und 1/2 unten dunkelblau) mit Fotografie einer Bankberatungssituation zwischen einer jungen Frau und einem Mann mittleren Alters mit grauen Haaren und Brille, sowie dem Titel des Whitepapers und dem R&S sowie LANCOM Logo

DORA-Umsetzung mit LANCOM: Höchste IT-Sicherheit für Finanzdaten

Als deutscher Vollsortiment-Netzwerktechnikausstatter unterstützen wir Finanzunternehmen und IKT-Dienstleister im Finanzsektor mit DSGVO-konformer und hochsicherer Hardware, Software, Cloud-Steuerung und Remote Access-Infrastruktur, den Digital Operational Resilience Act (DORA) umzusetzen.

Wie? Das zeigen wir Ihnen gerne im folgenden Abschnitt.

So setzen Sie den DORA mit LANCOM gesetzeskonform um

Erfahren Sie hier, wie Sie mit LANCOM Produkten und Lösungen die einzelnen Maßnahmen aus dem DORA erfüllen können:

Icon: Aufgespannter Regenschirm über zwei Zahnrädern platziert

Risikomanagement (Kapitel II, Artikel 5-16)

DORA-Anforderungen:

  • Governance- und Kontrollrahmen für IKT-Risiken und zum Schutz von Hard- und Software
  • Prozesse zur Identifizierung, zum Schutz, zur Prävention, zur Erkennung und zur Reaktion auf IKT-Risiken
  • Implementierungsaufwand muss im angemessenen Verhältnis zu jeweiligem Risiko stehen
  • Verantwortung für Umsetzung, Management und Überwachung liegt bei Leitung des Finanzunternehmens

LANCOM Umsetzung und Lösungsmehrwert:

  • 24/7 überwachte Netzwerksicherheit und schnelle Reaktionszeiten im Ernstfall dank systemweiten Sicherheitseinstellungen in der zentralen Management-Plattform (LANCOM Management Cloud), inkl. SIEM-Integration Service
  • Next-Generation UTM-Firewalls mit Application Management und Deep Packet Inspection, Content- und Paketfilter, Anti-Virus / Anti-Malware / Anti-Spam, Intrusion Detection / Prevention System, uvm.
  • Zentrale, transparente Konfiguration von Betriebsvorgaben für das gesamte Netzwerk
  • Redundanz- und Backup-Funktionen in Core und Distribution Switches sowie in Routern und Gateways für höchste Geschäftskontinuität
  • Cloud-gesteuerte, feingranulare Zugriffsrechtevergabe auf Anwendungsebene nach aktuellem, hochsicheren Zero-Trust-Prinzip mit LANCOM Trusted Access
  • Regelmäßige, automatisierbare Softwareupdates inklusive Feature Updates, Bugfixes und Security Updates
  • Transparentes Lifecycle Management für eine langfristig planbare Firmware-Wartung
  • 100% Backdoor-Freiheit und DSGVO-Konformität in allen Geräten und Softwares für höchste Digitale Souveränität
Icon: Datenzentrum (3D-Scheibe), das hierarchisch über drei mit ihm vernetzten Vierecken steht

Behandlung, Klassifizierung und Berichterstattungen IKT-bezogener Vorfälle (Kapitel III, Artikel 17-23)

DORA-Anforderungen:

  • Einrichtung von Prozess für Behandlung IKT-bezogener Vorfälle (kohärente und integrierte Überwachung, Ursachenermittlung und Dokumentation)
  • Definition eines „IKT-bezogenen Vorfalls“ als vom Finanzunternehmen nicht geplantes Ereignis, das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit zahlungsbezogener Daten hat
  • Klassifizierung nach Anzahl der betroffenen Kunden und Transaktionen, der Dauer, der geografischen Ausbreitung, den wirtschaftlichen Auswirkungen und der Kritikalität der betroffenen Dienste
  • Meldepflicht an Behörden bei schwerwiegenden Vorfällen

LANCOM Umsetzung und Lösungsmehrwert:

  • Umfassendes und konstantes 24/7-Netzwerkmonitoring durch die LANCOM Management Cloud (LMC) inkl. Echtzeit-Gerätestatus, leicht auswertbaren Dashboards, Alerting-Funktionen und (Security-)Reports
  • Transparente Security-Audit-Reportings der UTM-Firewalls zu Angriffsversuchen
  • Einfache Integration gängiger Security Information and Event Management (SIEM)-Systeme
  • Automatische, proaktive WLAN-Anomalie-Erkennung in der LMC inkl. Troubleshooting-Tipps
  • Selbstlernende, automatische WLAN-Optimierung mit LANCOM Active Radio Control™ 2.0
Icon: Ein Pfeil von rechts drückt mehrere Schichten neben einem Schutzschild ein, ohne es zu erreichen

Test der Resilienz (Kapitel IV, Artikel 24-27)

DORA-Anforderungen:

  • Einrichtung eines Testprogramms für die digitale operationale Resilienz
  • Schwachstellenbewertungen
  • Open-Source-Analysen
  • Netzwerksicherheitsbewertungen
  • Überprüfungen der physischen Sicherheit
  • Quellcodeprüfungen
  • Kompatibilitätstests
  • Leistungstests
  • Bedrohungsorientierte Penetrationstests (sog. Threat-Led Penetration Testing, TLPT)

LANCOM Umsetzung und Lösungsmehrwert:

  • Enge Zusammenarbeit mit Autobahn-Security für Schwachstellenanalysen und Penetrationstests
  • 100% Backdoor-freie Hard- und Software
  • Security-Dashboards in der LANCOM Management Cloud und intuitive Steuerungsplattform für Firewalls für umfangreiche Auswertungen der eigenen Netzwerksicherheit
  • Gesamtes Netzwerkportfolio aus einer Hand für höchste Interkompatibilität
  • ISO 27001-Zertifizierung der Firma LANCOM Systems GmbH in den Bereichen LANCOM Management Cloud (LMC) sowie Service- und Support-Prozesse
  • ISO 27001-Zertifizierung des Cloud-Hosting-Dienstleisters nach IT-Grundschutz (BSI)
Icon: Drei Personen mit einem darüber abgebildeten Warndreieck mit Ausrufezeichen

Management des Drittparteienrisikos (Kapitel V, Artikel 28-30)

DORA-Anforderungen:

  • Entwicklung einer Strategie für das IKT-Drittparteienrisiko
  • Führen eines aktuellen Informationsregisters über die Art und den Umfang der Nutzung aller von IKT-Drittdienstleistern erbrachten Leistungen
  • Risikoanalyse vor Abschluss jeder derartigen vertraglichen Vereinbarung, z.B. angemessene Informationssicherheitsstandards oder Konzentrationsrisiko (Abhängigkeitsartige Exposition ggü. Dienstleister mit kritischen Folgen bei Nichtverfügbarkeit oder Defiziten)
  • Festlegung von vertraglichen Mindestanforderungen, u.a. zu Dienstleistungen, Unteraufträgen, Standorten, Datenschutz, Dienstleistungsgüte, Kostentransparenz, Kündigung, uvm.

LANCOM Umsetzung und Lösungsmehrwert:

Icon: Zwei Hände, die miteinander einschlagen mit darüber platziertem Schriftstück

Pflichten für kritische IKT-Drittdienstleister (Kapitel V, Artikel 31-44)

DORA-Anforderungen:

  • Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister
  • Klassifizierungsmechanismus für Art und Ausmaß der Abhängigkeit des Finanzsektors von IKT-Drittdienstleistern
  • Berücksichtigung der fehlenden Substituierbarkeit der jeweiligen IKT-Drittdienstleister

LANCOM Umsetzung und Lösungsmehrwert:

Langjährige Erfahrung im Finanzsektor: Referenzprojekte und Kundenstimmen

LANCOM setzt bereits viele Jahre Netzwerkinfrastrukturprojekte im und mit dem Finanzsektor um. Unsere Firewalls, Router, Switches, Access Points und die LANCOM Management Cloud sichern bereits diverse Banken und Finanzunternehmen ab.

Kleiner Einblick gefällig? Sehen Sie sich gerne unsere aktuellsten Referenzen an!

Bestens geschützte Finanzen

Kundendaten im Finanzbereich gehören zu den sensibelsten Informationen und sind ein begehrtes Ziel für Hacker. Deshalb ist es umso entscheidender, diese Daten angemessen zu sichern. Die Otto M. Schröder Bank AG hat ihr Filial-WLAN aus diesem Grund modernisiert. Mit netzwerksicheren Komponenten ohne Hintertüren, Content-Filtern und Funktionen für hohe Verfügbarkeit ist die Bank bestens gegen Netzwerkausfälle und Cyberangriffe gewappnet. Dank der LANCOM Management Cloud konnte die Umstellung reibungslos erfolgen, ohne den laufenden Geschäftsbetrieb zu beeinträchtigen.

Otto M. Schröder Bank Referenz lesen

Vertragsabschlussszene in weißem Bürogebäude: Rückansicht von brünetter Frau mit Pferdeschwanz und Sakko, die die Hand einer anderen kurzhaarigen Frau mit freundlichem Lächeln in Businesskleidung schüttelt; Daneben sitzen zwei lächelnde Kollegen in Anzug mit Laptop am selben Tisch und sehen den beiden Frauen zufrieden zu

Zukunftstaugliche IT für Kreditinstitute

Die irische, über 65.000 Mitglieder starke St. Canice’s Credit Union modernisierte ihr veraltetes Netzwerk, um in Zukunft erhöhte Sicherheit, Skalierbarkeit und zentrale Verwaltung zu gewährleisten. In Zusammenarbeit mit BITS und LANCOM wurde daher eine widerstandsfähige Cloud-basierte Lösung (LANCOM Management Cloud) implementiert, inkl. zentraler Steuerung, 24/7-Überwachung und proaktiven Warnmeldungen. Das IT-Team kann nun nicht nur schneller reagieren und Ausfallzeiten minimieren, sondern hat nun eine robuste, leichter managebare und ausbaufähige Netzwerkinfrastruktur, die reibungslos während des laufenden Betriebs  installiert wurde.

St. Canince's Credit Union Referenz lesen (EN)

Logo der St Canice's Credit Union

Ihre Fragen beantworten wir gerne!

Ihr direkter Draht zu uns

Ihr direkter Draht zu uns

Die meisten Fragen lassen sich im direkten Kontakt am besten klären.

Wir freuen uns darauf, Ihre Fragen und Wünsche telefonisch oder über das Kontaktformular zu beantworten.

Vertrieb Deutschland
+49 (0)2405 49936 333 (D)
+49 (0)2405 49936 122 (AT, CH)