Fünf Säulen

Das DORA Rahmenwerk basiert auf fünf Säulen, welche für umfassende Anforderungen hinsichtlich der Stärkung der digitalen operationalen Resilienz sorgen.

IKT-Risikomanagement

Der Abschnitt über das Risikomanagement in DORA enthält die wichtigsten Grundsätze und Anforderungen an den Risikomanagementrahmen der Finanzintermediäre. In Kapitel II Abschnitt I werden die Anforderungen an die Governance und die Organisation des IKT- Risikomanagementrahmens behandelt. Abschnitt II enthält die Vorgaben in Bezug auf den IKT-Risikomanagementrahmen als Teil des Gesamtrisikomanagementsystems.

 

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Mit den in Kapitel III aufgeführten Anforderungen an Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle zielt DORA darauf ab, die Meldung von IKT-bezogenen Vorfällen im gesamten Finanzsektor zu harmonisieren. Neben der obligatorischen Meldung schwerwiegender IKT-bezogener Vorfälle sieht DORA auch die Möglichkeit der freiwilligen Meldung erheblicher Cyber-Bedrohungen vor. Darüber hinaus enthält Kapitel III auch Anforderungen an den Prozess für die Behandlung IKT-bezogener Vorfälle.

 

Testen der digitalen operationalen Resilienz

Kapitel IV schreibt die Einführung eines umfassenden Testprogramms als integraler Bestandteil des IKT-Risikomanagementrahmens vor, um die Bereitschaft für den Umgang mit IKT-bezogenen Vorfällen zu bewerten, und Schwächen, Mängel und Lücken in Bezug auf die digitale operationelle Resilienz zu ermitteln. Neben den grundlegenden Testanforderungen verlangt DORA auch fortgeschrittene Tests auf der Grundlage von bedrohungsorientierten Penetrationstests (TLPT) für ausgewählte Finanzunternehmen, die in den Anwendungsbereich der TLPT-Regelung fallen.

 

Management des IKT-Drittparteienrisikos

Im ersten Abschnitt von Kapitel V legt DORA Schlüsselprinzipien für das Management des IKT-Drittparteienrisikos innerhalb des IKT-Risikomanagementrahmens sowie wichtige vertragliche Bestimmungen fest, die beim Umgang mit IKT-Drittdienstleistern zu berücksichtigen sind. Darüber hinaus wird in Kapitel V Abschnitt II ein Überwachungsrahmenwerk für kritische IKT-Drittdienstleister eingeführt. Dabei stehen im Fokus dieses Überwachungsrahmens jene IKT-Drittdienstleister, die auf Grundlage eines Einstufungsprozesses von den europäischen Aufsichtsbehörden als kritische und damit überwachungsbedürftige IKT-Drittdienstleister eingestuft wurden.

 

Vereinbarungen über den Austausch von Informationen

In Kapitel VI zielt DORA darauf ab, die digitale operationelle Resilienz von Finanzunternehmen zu verbessern, indem es den freiwilligen Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen zwischen Finanzintermediären vorsieht.

 

Downloads

Suche
  • Seiten
  • Aktuelles
  • Warnungen
  • Dokumente
  • Publikationen
  • Veranstaltungen