Ist Ihr Drittanbieter bereit für DORA?

Was ist DORA?

In der dynamischen Landschaft der Finanzbranche sind Anpassungsfähigkeit und robuste operative Rahmenbedingungen von grösster Bedeutung. Der Digital Operational Resilience Act (DORA) ist eine zentrale europäische Initiative, die einen stabilen und widerstandsfähigen Ansatz für die Bereitstellung digitaler Fähigkeiten für den Finanzsektor gewährleisten soll. Dieser umfassende Rahmen legt anspruchsvolle technische Standards fest, die Finanzinstitute zusammen mit ihren kritischen Drittanbietern von Technologiedienstleistungen genauestens integrieren müssen. Dies umfasst die Überwachung von SaaS-Anbietern, Cloud-Service-Anbietern und einer Reihe ausgelagerter IT-Diensten, die für die technologische Infrastruktur der Branche von entscheidender Bedeutung sind.

Mit dem Inkrafttreten am 16. Januar 2023 hat DORA eine zweijährige Umsetzungsfrist vorgesehen, wobei die volle Durchsetzbarkeit ab Januar 2025 eintreten soll. Der Geltungsbereich von DORA ist weitreichend und umfasst über 20'000 Finanzunternehmen und IT-Dienstleister, die in der Europäischen Union (EU) tätig sind. Darüber hinaus erstreckt sich der Geltungsbereich auf alle IT-Infrastrukturen, die diese Unternehmen unterstützen, auch wenn sie sich ausserhalb der EU befinden. Bei der Navigation durch die sich entwickelnde digitale Landschaft wird die Einhaltung von DORA nicht nur zu einer regulatorischen Notwendigkeit, sondern auch zu einem strategischen Muss für Unternehmen, die die Zukunft des Finanzwesens gestalten. Die wichtigsten Aspekte von DORA sind:

• IKT-Risikomanagement
• IKT-bezogenes Vorfallsmanagement
• Klassifizierung und Berichterstattung
• Prüfung der Widerstandsfähigkeit des digitalen Betriebs
• IKT-Risikomanagement für Dritte
• Vereinbarungen zum Informationsaustausch
  
  

Welche Auswirkungen hat DORA auf einen externen IKT-Anbieter?

DORA legt die Messlatte für IKT-Anbieter deutlich höher und unterwirft sie einer verschärften regulatorischen Kontrolle. Drittanbieter müssen nun nicht nur die strengen Anforderungen des Rechtsrahmens erfüllen, sondern ihre Einhaltung auch durch konkrete Nachweise belegen.

Die Bestimmungen von DORA können dazu führen, dass externe IKT-Anbieter ihre vertraglichen Vereinbarungen einer gründlichen Überprüfung unterziehen müssen. Dieser Prozess ist unerlässlich, um sicherzustellen, dass sie die im Rechtsrahmen festgelegten spezifischen Verpflichtungen erfüllen können. Diese Verpflichtungen können die Erleichterung von Inspektionen und Audits durch die Regulierungsbehörden umfassen, wodurch eine neue Ebene der Rechenschaftspflicht und Transparenz in ihre Tätigkeit eingeführt wird.

Wie hat sich Luware auf DORA vorbereitet?

Luware zeichnet sich durch ihr Engagement für robuste Sicherheitspraktiken aus, was durch die Implementierung und externe Prüfung der Einhaltung von SOC 2 Typ II-Kontrollen belegt wird. Luware lässt jährliche Audits durchführen, um die Einhaltung der SOC 2 Typ II-Kontrollen in Bezug auf die Sicherheit zu bewerten. Luware befasst sich insbesondere mit folgenden kritischen Aspekten:

• Risikomanagement
• Management von Zwischenfällen
• Änderungsmanagement
• Management der Geschäftskontinuität
• Schwachstellen-Scans und Patch-Management
  
  

Das externe Audit ist ein Beleg für das Engagement von Luware bei der Einhaltung dieser wichtigen Kontrollen. In einem Umfeld, in dem die Zuverlässigkeit von Drittanbietern von IT-Dienstleistungen von grösster Bedeutung ist, gibt der externe Auditbericht von Luware über die Einhaltung der SOC II-Sicherheitsgrundsätze den Kunden Vertrauen in die Erfüllung ihrer Verpflichtungen.

Da DORA die Notwendigkeit betont, die Erfüllung von Verpflichtungen zu belegen, positioniert sich Luware mit seinem proaktiven Ansatz als vertrauenswürdiger Partner bei der Navigation durch die sich entwickelnde regulatorische Landschaft.

Entdecken Sie Luware Recording