Leitprinzipien zur Überprüfung der Einhaltung der DORA-Bestimmungen durch Ihren Drittanbieter

Ab dem 17. Januar 2025 gilt der Digital Operations Resilience Act (DORA) für Finanzunternehmen und IKT-Drittdienstleister. DORA standardisiert die Art und Weise, wie Finanzinstitute Vorfälle melden, ihre operative Widerstandsfähigkeit testen und die Risiken von IKT-Drittanbietern im gesamten Finanzdienstleistungssektor verwalten.

In diesem Artikel erörtern wir die wichtigsten Grundsätze, die Finanzorganisationen bei der Nutzung von IKT-Diensten, die kritische oder wichtige Funktionen unterstützen. Ausserdem erfahren Sie, wie Luware seine Kunden aus dem Finanzdienstleistungssektor bereits 2024 dabei unterstützt hat, die geltenden Bestimmungen einzuhalten.

Rückblick: Was ist DORA?

Der Digital Operations Resilience Act (Verordnung (EU) 2022/2554 - DORA) zielt darauf ab, einen standardisierten Ansatz zur Erreichung eines hohen Niveaus an digitaler operativer Resilienz in der Finanzdienstleistungsbranche in Europa zu schaffen. Dies soll sicherstellen, dass Unternehmen einer Vielzahl von Bedrohungen, Unterbrechungen und anderen operativen Risiken widerstehen können.

DORA legt mehrere Leitprinzipien fest, die der Finanzdienstleistungssektor einhalten muss, um die Auswirkungen von Störungen der Informations- und Kommunikationstechnologie (IKT) zu verringern und die digitale betriebliche Widerstandsfähigkeit zu verbessern. Die wichtigsten Grundsätze sind:

• IKT-Risikomanagement

• IKT-bezogene Vorfälle

• Klassifizierung und Berichterstattung

• Prüfung der Widerstandsfähigkeit des digitalen Betriebs
• IKT-Risikomanagement für Dritte
• Vereinbarungen zum Informationsaustausch
  
  

Grundlegende Prinzipien für das Management eines kritischen Drittdienstleisters

Die Finanzinstitute sind dafür verantwortlich, dass ihre kritischen Drittdienstleister ihren Verpflichtungen gegenüber DORA nachkommen. In diesem Abschnitt geben wir einen kurzen Überblick über einige der Grundsätze, die Finanzunternehmen mit ihren Drittanbietern validieren müssen.

IKT-Drittanbieter-Register

Das Finanzinstitut muss ein Register mit Informationen zu allen vertraglichen Vereinbarungen zur Nutzung von IKT-Drittdienstleistungen führen, einschliesslich der Funktionen der Dienstleistungen und der Angabe, ob die Vergabe von Unteraufträgen für eine IKT-Dienstleistung eine kritische oder wichtige Funktion darstellt. Die Leistungsbeschreibung muss Angaben zum Standort der Dienstleistung, zum Leistungsniveau, zur Verfügbarkeit, zur Datenintegrität und -vertraulichkeit sowie zu den Bestimmungen über den Datenzugang enthalten. Dieses Register muss regelmässig aktualisiert und für behördliche Überprüfungen zur Verfügung gestellt werden.

Rahmenbedingungen für das Risikomanagement

Finanzunternehmen müssen umfassende Rahmenbedingungen für das Risikomanagement schaffen, die zumindest die Strategien, Richtlinien, Verfahren, IKT-Protokolle und Instrumente umfassen, die für den Schutz von Informationen und IKT-Vermögenswerten wesentlich sind. Diese Rahmenbedingungen sollten für die Bewertung der IKT-Drittdienstleistungen verwendet werden, wobei der Schwerpunkt auf potenziellen operationellen und systemischen Risiken liegen sollte.

Bei der Bewertung sollten die Kritikalität der erbrachten Dienstleistungen und die potenziellen Auswirkungen auf das Unternehmen im Falle eines Zwischenfalls berücksichtigt werden, was als Grundsatz der Verhältnismässigkeit bekannt ist.

Eindeutig definierte vertragliche Vereinbarungen

Vertragliche Vereinbarungen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, müssen die Rollen, Verantwortlichkeiten und Verpflichtungen von IKT-Drittanbietern klar definieren. Zu den wichtigsten Elementen gehören Leistungsbeschreibungen, Bedingungen für die Vergabe von Unteraufträgen, Standorte für die Datenverarbeitung und Datenschutzmassnahmen.

In den Verträgen sollten ausserdem Leistungsziele, Verpflichtungen zur Unterstützung bei Zwischenfällen, die Zusammenarbeit mit Behörden sowie Rechte auf Audits und Inspektionen festgelegt werden. Sie müssen auch Kündigungsfristen, IKT-Sicherheitsmassnahmen, die Teilnahme an Ausfallsicherheitstests und Ausstiegsstrategien regeln, um einen reibungslosen Übergang zu gewährleisten und Störungen für die Finanzinstitute so gering wie möglich zu halten.

Operative Belastbarkeitstests

IKT-Drittanbieter, die kritische oder wichtige Funktionen unterstützen, müssen Pläne zur Aufrechterhaltung des Geschäftsbetriebs einführen und regelmässig testen, um die ununterbrochene Erbringung von Dienstleistungen sicherzustellen. Sie müssen an bedrohungsorientierten Penetrationstests (TLPT) teilnehmen und mit den Finanzinstituten bei der Bewertung ihrer Betriebsbereitschaft zusammenarbeiten.

Die Anbieter müssen eine Leistungsüberwachung und Support-Audits ermöglichen und sicherstellen, dass ihre Notfallstrategien robust genug sind, um Unterbrechungen bei Zwischenfällen oder Übergängen zu minimieren.

Wie hat Luware seine Kunden bei der Einhaltung der DORA-Vorschriften im Jahr 2024 unterstützt?

2024 war ein arbeitsintensives Jahr für unsere aktuelle und angehende Kundschaft, insbesondere im Hinblick auf die DORA-Verpflichtungen. Wir haben Verträge angepasst, externe Audits, Prüfungen zum Management der Geschäftskontinuität und Penetrationstests durchgeführt sowie grosse Mengen an Dokumenten übermittelt, damit unsere Finanzkunden ihren Verpflichtungen bis 2025 nachkommen können. Im Folgenden finden Sie eine kurze Zusammenfassung der wichtigsten Leistungen, die wir erbracht haben.

SOC 2 Typ II-Bescheinigung

Luware hat sein Engagement für operative Exzellenz und Sicherheit durch den erfolgreichen Abschluss eines weiteren Jahres der SOC 2 Typ II-Auditierung bekräftigt. Diese strenge externe Prüfung bestätigt Luwares Einhaltung von Schlüsselkontrollen in kritischen Bereichen wie:

• Risikomanagement

• Vorfall- und Änderungsmanagement
• Management der Geschäftskontinuität
• Schwachstellenprüfung und Patch-Management
  

Durch die Zertifizierung nach SOC 2 Typ II bietet Luware seinen Kunden die Gewissheit, dass seine Dienstleistungen hohe Standards für Zuverlässigkeit und Sicherheit erfüllen. Unsere proaktiven Compliance-Bemühungen stehen im Einklang mit DORA, das die Bedeutung von Drittanbietern unterstreicht, die ihre Verpflichtungen nachweisen. Dies wiederum stärkt nicht nur das Vertrauen, sondern versetzt Kunden auch in die Lage, die DORA-Anforderungen im Jahr 2024 mit Zuversicht zu erfüllen.

M365-Zertifizierung

Die Microsoft 365 App-Zertifizierung unterstreicht das Engagement von Luware für Sicherheit, Datenschutz und Compliance – Schlüsselbegriffe von DORA. Diese Zertifizierung stellt sicher, dass unsere Anwendung die strengen Standards für sichere Datenverarbeitung, Zugriffskontrolle und Integration mit Microsoft Teams erfüllt.

Durch den Einsatz solcher zertifizierten Lösungen können Finanzunternehmen die Kontinuität aufrechterhalten, IKT-Risiken effektiv verwalten und die gesetzlichen Anforderungen für die Überwachung und den Schutz von Kommunikationsaufzeichnungen erfüllen und somit ihren DORA-Verpflichtungen nachkommen.

Übungen zur Ausfallsicherheit

Luware führte regelmässig Übungen zum Management der Geschäftskontinuität durch und stellte seiner Kundschaft Berichte zur Verfügung, die unsere Notfallpläne, Prozesse und Wiederherstellungszeitziele bei grösseren Störungen validierten und belegten. Ausserdem führten wir regelmässig Penetrationstests durch und ermöglichten unseren Kunden, ihre eigenen Penetrationstests in ihren privaten Umgebungen durchzuführen.

Vertragsänderungen und Aktualisierungen der Dokumente

Wir haben mit unseren Finanzdienstleistungskunden zusammengearbeitet, um sicherzustellen, dass ihre DORA-Vertragsverpflichtungen in die vor DORA ausgehandelten Verträge aufgenommen wurden. Ausserdem haben wir unser Luware Recording Security Whitepaper aktualisiert, um sicherzustellen, dass die in DORA dokumentierten Schlüsselaspekte für unsere Kunden enthalten sind.

Kommt Ihr externer IT-Dienstleister seinen Verpflichtungen wirklich nach?

DORA verlangt von den Finanzinstituten, dass sie alle Sorgfaltspflichten in Bezug auf potenzielle IKT-Drittanbieter, die eine kritische oder wichtige Funktion haben, wahrnehmen. Die Erfahrung von Luware bei der Einhaltung von Vorschriften, die SOC II-Zertifizierung sowie bewährte Praktiken machen Luware zu einem zuverlässigen Partner bei der Umsetzung von DORA.

Entdecken Sie Luware Recording