Blog-Artikel

Hands typing on laptop keyboard with security locks as a symbol of DORA compliance and IT security
Strategische Transformation: IT-Sicherheit und Compliance im Einklang mit DORA

Anstatt auf Standard-Softwarelösungen zurückzugreifen, entscheiden sich viele Unternehmen für die Entwicklung eigener Anwendungen – denn diese sind optimal auf die unternehmenseigenen Anforderungen zugeschnitten und bieten meist langfristig Kostenvorteile. Warum Eigenentwicklungen auch zu Problemen – insbesondere in Sachen Compliance – führen können und was die neue EU-Verordnung DORA (Digital Operational Resilience Act) damit zu tun hat, verdeutlicht das nachfolgende Kundenbeispiel.

Mehr erfahren

DORA: Was ist der Digital Operational Resilience Act?

Der Digital Operational Resilience Act, kurz DORA, ist eine EU-Verordnung über die digitale operationale Resilienz im Finanzsektor. Diese reguliert die Bereiche Cybersicherheit, IKT-Risiken und digitale operationale Resilienz und dient der Stärkung des europäischen Finanzmarktes gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT).

Ziel ist es, einen widerstandsfähigen Betrieb auch bei einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit der Netz- und Informationssysteme bedrohen könnten, zu gewährleisten. Die Verordnung ist am 17. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 von den Aufsichtsbehörden durchgesetzt. In Deutschland wird die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bei der Umsetzung von DORA eine wichtige Rolle spielen.

Anforderungen an Unternehmen

DORA stellt spezifische Anforderungen an die Netz-Informationssysteme von Unternehmen, die im Finanzsektor tätig sind – darunter Kreditinstitute, Versicherungsunternehmen, Investmentfirmen und Zahlungsdienstleister.

Im Wesentlichen soll die digitale operationale Resilienz des EU-Finanzsektors in den folgenden Bereichen gestärkt werden:

ICT Risk Management shown as icon with shield and exclamation mark on it

IKT-Risikomanagement

Unternehmen müssen ein robustes Management für digitale Risiken etablieren. Dies umfasst die Entwicklung von Strategien und Prozessen zur Identifizierung, Bewertung und Bewältigung von Cyberrisiken, die den betrieblichen Ablauf beeinträchtigen könnten.

Reporting ICT Incidents shown as ringing bell icon

Meldung IKT-bezogener Vorfälle

Vorfälle, die die digitalen Systeme eines Unternehmens betreffen, müssen innerhalb einer festgelegten Frist gemeldet werden. Dies hilft bei der schnellen Reaktion auf Sicherheitsvorfälle und dient der Sammlung von Daten, die zur Verbesserung der branchenweiten Resilienz beitragen können.

Digital Operational Resilience Testing shown as icon with verification checkbox

Testen der digitalen operationalen Resilienz

Eine regelmäßige Prüfung der digitalen Resilienz – inklusive Threat-Led Penetration Testing (TLPT) – ist ebenfalls vorgeschrieben. Mit diesen Tests lässt sich die Effektivität der Sicherheitsmaßnahmen sowie deren Beständigkeit gegenüber neuesten Bedrohungen prüfen.

Third-Party Risk Management shown as icon with verified person with check mark

Management des IKT-Drittparteirisikos

Da viele Finanzdienstleistungen von externen Anbietern abhängen, ist ein sorgfältiges Risikomanagement für diese Drittanbieter nötig. Dies beinhaltet die Überprüfung und Bewertung der Sicherheitsmaßnahmen von ITK-Drittanbietern sowie regelmäßige Audits.

Exchange of information shown as icon with two speech bubbles icon

Informationsaustausch

Um die branchenweite Resilienz zu fördern, sind Unternehmen dazu angehalten, Informationen über Cyberbedrohungen und Best Practices in der Cybersicherheit mit anderen Marktteilnehmern und Behörden zu teilen.

Was bedeutet DORA für IKT-Drittdienstleister?

Die EU-weite DORA-Regulierung adressiert auch das IKT-Drittparteirisiko. Da Finanzdienstleister häufig IT-Systeme nutzen, die durch externe Technologieanbieter bereitgestellt werden, gilt die Verordnung für eine Vielzahl von Drittdienstleistern. Dazu zählen neben Softwareanbietern unter anderem auch Cloud-Service-Provider, Datenanalysedienste und Rechenzentren.

Besonders streng werden von DORA als „kritisch“ eingestufte IKT-Drittdienstleister überwacht. Dazu zählen alle Lieferanten, bei denen eine betriebliche Störung systemische Auswirkungen für das Finanzunternehmen verursacht.

Hand typing on laptop with locks as symbols for IT infrastructure security and DORA compliance

Digitale Resilienz: Jetzt handeln, um DORA-konform zu sein.

Wie DORA den Wechsel zu Beta Systems veranlasste

Ein führender, international tätiger Softwareanbieter mit über 8.000 Mitarbeitenden entschied sich für einen proaktiven Wechsel zu Beta Systems, um Compliance-Risiken zu minimieren und potenziell hohe Kosten für eine etwaige Nachprüfung durch die BaFin zu vermeiden. Denn in den Anwendungsbereich der DORA-Richtlinien fallen schließlich auch Unternehmen, die IKT-Dienstleistungen für die Finanzindustrie bereitstellen.

Mit der Implementierung von Beta LogZ und Beta View gelang dem Unternehmen ein signifikanter Fortschritt in der Verwaltung und Sicherung kritischer IT-Prozesse.

Ausgangssituation und Herausforderung

Bisher nutzte das Unternehmen eine durch einen externen Dienstleister entwickelte Softwarelösung zur Archivierung von IBM IWS Job Logs. Im Zuge einer Wirtschaftsprüfung wurde das Unternehmen schließlich auf die unzureichende Dokumentation und Sicherheit hingewiesen. Es traten unter anderem folgende Probleme auf:

  • kein Schutz der Logdaten gegen Manipulationen

  • extern entwickelte Software ohne Dokumentation

  • fehlende Flexibilität bei der Weiterentwicklung aufgrund von Ressourcenknappheit

  • keine Gewährleistung der Stabilität bei neuen Software-Releases von IBM

Die genutzte Softwarelösung stellte somit ein erhebliches Risiko dar – insbesondere in Hinblick auf zukünftige Audits durch Wirtschaftsprüfer.

Die Entscheidung des Unternehmens, Softwarelösungen von Beta Systems zu verwenden, wurde zusätzlich aufgrund des zunehmenden Drucks durch DORA auf IT-Drittdienstleister beeinflusst. Der Wechsel war demnach ein entscheidender Schritt, um den hohen Sicherheits- und Compliance-Standards der DORA-Regularien gerecht zu werden sowie potenzielle finanzielle und regulatorische Risiken zu minimieren.

Warum fiel die Entscheidung auf Beta Systems?

Der Wechsel zu Beta Systems erfolgte nach einer eingehenden Prüfung der verfügbaren Lösungen auf dem Markt. Mit seinem spezialisierten Angebot für den Bankensektor, das auf die Bedürfnisse des Softwareanbieters zugeschnitten wurde, überzeugte Beta Systems den Kunden. Beta LogZ und Beta View ließen sich schnell implementieren und nahtlos in die bestehende IT-Architektur integrieren.

Vorteile der Implementierung von Beta LogZ und Beta View:

  • standardisiertes Verfahren zur Archivierung des Job-Outputs mit Anschluss des Jira-Ticketsystems

  • benutzerfreundliches und wartungsarmes Job-Output-Archiv

  • Gewährleistung der Ordnungsmäßigkeit und Sicherheit rechnungsrelevanter Daten

  • VTAM-Zugriff und/oder Web-Oberfläche für Non-Mainframe-Benutzer

  • strategische und innovative Weiterentwicklung des Archivs durch Beta Systems

  • Support neuester IBM z/OS Releases

  • Beta LogZ vereinfacht die IT-Prüfung und ist bei Prüfenden bereits anerkannt

  • sehr hohe Integrationskraft in bestehende Architekturen

  • langfristige Investitionssicherheit

  • einfach abrufbarer Betriebsservice über Kyndryl

Ein weiterer Vorteil: Das Development-Team des Unternehmens war bereits mit Beta LogZ (vormals Beta 92) vertraut, was eine schnelle Time-to-Production ermöglichte.

Fazit: Jetzt handeln, um DORA-konform zu sein

Die Implementierung fortschrittlicher Sicherheitstechnologien und die Aktualisierung bestehender Systeme sind entscheidend, um den Anforderungen der DORA-Verordnung gerecht zu werden. Unternehmen sollten auch in die Schulung ihrer Mitarbeitenden investieren, um das Bewusstsein und das Verständnis für Cybersicherheitsrisiken zu erhöhen.

Sind Sie bereits vorbereitet auf DORA oder haben Sie Bedenken, was die Sicherheit Ihrer IT-Systeme angeht? Unsere Experten beraten Sie gerne und helfen Ihnen, die richtigen Schritte einzuleiten, um die IT-Sicherheit in Vorbereitung auf DORA zu stärken.

Zuletzt aktualisiert am

Mehr erfahren

Tags

ComplianceDORA

Teilen

Weitere Ressourcen

Success Story
NAV Logo

NAV spart Lizenzkosten durch Ersetzen von CA-Spool

Outputmanagement NAV: Eine enge Zusammenarbeit zwischen NAV und Beta Systems führte zu neuen Funktionen in Beta DocZ, die die erfolgreiche Ablösung von CA Spool ermöglichten.
Blog-Artikel
bars-b-00017.svg

Was ist Output Management?

In der heutigen dynamischen Geschäftswelt ist die Steuerung des Informationsflusses für den Erfolg jeder Organisation von entscheidender Bedeutung. Hier kommt Output Management ins Spiel - ein Begriff, der vielleicht nicht jedem geläufig ist, der aber eine Schlüsselrolle bei der Steigerung der Effizienz und Effektivität von Geschäftsprozessen spielt. Dieser Artikel gibt einen Überblick über Output Management, seine Definition, seine Relevanz und die Vorteile, die es Unternehmen bietet.
Blog-Artikel
bars-a-00033.svg

Kostet Ihre Mainframe Output Management Lösung mehr als sie sollte?

Denken Sie über eine Alternative zu Ihrem bestehenden Broadcom CA Spool oder CA View System nach? Wir können Ihnen helfen, Ihre Kosten massiv zu senken!