Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 8. Juli 2024 neue Umsetzungshinweise zum Digital Operational Resilience Act (DORA) veröffentlicht. Diese Hinweise sind eine wertvolle Unterstützung für Banken und Versicherer, die ab dem 17. Januar 2025 die Anforderungen von DORA umsetzen müssen.
Der Digital Operational Resilience Act (DORA) zielt darauf ab, die operationelle Resilienz der Informations- und Kommunikationstechnologie (IKT) im Finanzsektor zu stärken und umfasst umfassende Regelungen für das IKT-Risikomanagement sowie das Management von Risiken durch IKT-Drittanbieter.
DORA wurde von der Europäischen Union eingeführt, um sicherzustellen, dass Finanzunternehmen robustere IKT-Systeme entwickeln und implementieren. Dies beinhaltet Massnahmen zur Identifikation, Bewertung und Bewältigung von IKT-Risiken sowie die Etablierung eines umfassenden Incident-Management-Systems. Zudem legt DORA besonderen Wert auf die regelmässige Überprüfung und das Testen der digitalen Resilienz, um die Widerstandsfähigkeit gegenüber Cyberangriffen und anderen IT-bezogenen Störungen zu erhöhen.
Was sind die Hauptpunkte der Umsetzungshinweise?
- IKT-Risikomanagement: Finanzunternehmen müssen ihre IKT-Risiken identifizieren, bewerten und effektiv managen. Dies schließt regelmäßige Risikoanalysen und die Implementierung geeigneter Kontrollen ein (BaFin) (Finbridge).
- IKT-Drittparteienrisikomanagement: Unternehmen müssen sicherstellen, dass ihre Verträge mit IKT-Drittanbietern spezifische Mindestanforderungen erfüllen, einschließlich Regelungen zu Kündigungsrechten, Prüfungsrechten und der kontinuierlichen Überwachung der Drittanbieter (Genoverband) (Pwc Plus).
- Regelmässige Tests und Notfallpläne: DORA fordert umfassende Tests der digitalen Resilienz und die Implementierung von Notfallplänen, um im Falle von IKT-Ausfällen schnell reagieren zu können (ABA Online).
Wie unterstützt Swiss GRC bei der DORA-Compliance?
Die BaFin-Umsetzungshinweise bieten nicht nur einen Überblick über die neuen regulatorischen Anforderungen, sondern geben auch praktische Empfehlungen, wie diese Anforderungen in der Praxis umgesetzt werden können. Dies ist besonders wichtig, da die Einhaltung von DORA eine tiefgehende Anpassung bestehender IT- und Risikomanagementprozesse erfordert.
In diesem Zusammenhang bietet Swiss GRC mit ihrer GRC Toolbox eine effektive Lösung, um Finanzunternehmen bei der Einhaltung der neuen DORA-Anforderungen zu unterstützen. Die GRC Toolbox hilft dabei, IKT-Risiken zu managen, die Compliance sicherzustellen und den Überblick über alle relevanten Prozesse und Drittanbieter zu behalten. Mit Funktionen wie dem DORA-Compliance Check, effizientem IKT-Risikomanagement/ISMS, einem umfassenden Informationsregister nach DORA, Incident Management, Business Continuity Management und Third-Party Risk Management bietet die GRC Toolbox alle notwendigen Werkzeuge, um die operationelle Resilienz zu stärken und regulatorische Anforderungen zu erfüllen.
Hier können Sie sich das 32-seitige PDF der BaFin-Umsetzungshinweise herunterladen: BaFin Umsetzungshinweise DORA PDF.