ISACA unterstützt begleitend die geplante Verordnung für digitale operative Resilienz

SCHAUMBURG, Illinois (USA)--(BUSINESS WIRE)--Reformen nach der Finanzkrise im Jahr 2008 leisteten einen Beitrag zur Stärkung der Belastbarkeit des Finanzsektors, gingen jedoch nicht vollständig auf die digitale operative Resilienz ein. Der kürzlich von der Europäischen Union herausgegebene Gesetzesentwurf zur digitalen operativen Resilienz (Digital Operational Resilience Act, DORA) soll EU-Finanzinstitutionen Regelungen zur digitalen operativen Belastbarkeit an die Hand geben. ISACA liefert in seinem neuen White Paper Digital Operational Resilience in the EU Financial Sector: A Risk-Based Approach (Digitale operative Resilienz im EU-Finanzsektor: Ein risikobasierter Ansatz) Leitlinien zu diesem Gesetzesvorschlag.

Nach seiner Fertigstellung wird DORA gesetzliche Regelungen für Systemoperatoren im Finanzdienstleistungssektor einführen. Darunter fallen zum Beispiel Investmentfirmen, Kreditinstitutionen, Handelsplätze und elektronische Geldinstitute, für die es darum geht, die Systemstabilität und -belastbarkeit gegenüber Cyber-Vorfällen zu gewährleisten. Die digitale operative Resilienz im EU-Finanzsektor stellt die Ziele und gesetzliche Basis für DORA, genauso seine Anforderungen in der Informations- und Kommunikationstechnologie (IKT) rund um Risikomanagement, Daten- und Cyber-Sicherheit, Zwischenfallerfassung, Tests und die Aufsicht über Drittdienstleister dar. Darunter fällt unter anderem:

• Das Einrichten und die Pflege resilienter IKT-Systeme und -Werkzeuge, welche die Auswirkungen des IKT-Risikos minimieren.
• Das Bestehen eines Rahmenwerks für Risikomanagement, das Strategien, Richtlinien, Verfahren, IKT-Protokolle und -Werkzeuge enthält, die für den effektiven Schutz aller relevanten physischen Komponenten und Infrastrukturen vor Risiken wie Schädigung, nicht autorisiertem Zugriff oder unzulässiger Anwendung notwendig sind.
• Eine Testung der Richtlinie zur IKT-Geschäftskontinuität und des IKT-Wiederherstellungsplans, die mindestens jährlich und nach substanziellen Änderungen des IKT-Systems erfolgt.
• Der Einschluss relevanter Vorgaben zur Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und dem Schutz personenbezogener Daten sowie der Gewährleistung des Zugangs, der Wiederherstellung und Rücknahme im Falle des vertraglichen Versagens von IKT-Drittanbietern in Klauseln, welche die Beziehung zu den Drittanbietern regeln.

„Die Anforderungen für die kontinuierliche Identifikation sämtlicher Quellen eines IKT-Risikos und die verpflichtende, jährliche Prüfung der Rahmenwerke für ein IKT-Risikomanagement sowie die Prüfung nach einem schweren Vorfall, einem Audit oder einer Testung, wie sie in DORA aufgeführt sind, bedeuten einen Schritt in die richtige Richtung“, sagt Chris Dimitriadis, Chief Global Strategy Officer von ISACA. „Um das Gesetz jedoch strenger zu gestalten, spricht sich ISACA für Vorgaben aus, die sicherstellen, dass Pläne für das IKT-Risikomanagement über die reine Gesetzeserfüllung durch Einbetten der Governance-Verantwortlichkeiten in den Verwaltungsanteil hinausgehen. Weiterhin sollen die Vorgaben kontinuierliche Schulungen und ein IKT-Bewusstsein für die Geschäftsleitung und führende Mitarbeiter sowie unabhängige Tests fordern, die von zertifizierten Testpersonen durchgeführt werden.“

Während die DORA-Regelungen im Europäischen Parlament und im Europäischen Rat diskutiert werden, bleibt die ISACA EU-Arbeitsgruppe mit politischen Entscheidern in Kontakt und teilt Rückmeldungen mit. Die Abschlussversion des Gesetzeswerks wird in voraussichtlich 18 - 24 Monaten erwartet.

„ISACA wird von politischen Entscheidungsträgern als unabhängige Quelle für erfahrene Beratung zu Vorfällen im Bereich Cyber-Sicherheit anerkannt. Das vielseitige Hintergrundwissen und die Erfahrung unserer Mitglieder, die in der EU-Arbeitsgruppe vertreten sind, wurden von politischen Entscheidern sehr begrüßt, die unsere Diskussionsbeiträge wertschätzten“, sagt Emily Bastedo, Director for Global Government Relations and Public Affairs von ISACA.

Besuchen Sie zum Herunterladen eines ergänzenden Exemplars von Digital Operational Resilience in the EU Financial Sector die Webseite https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004L1sxEAC. Weitere Publikationen, die finanzielle Unternehmen möglicherweise bei den Vorbereitungen auf DORA unterstützen, sind Risk IT Framework, 2^. Ausgabe, Risk IT Practitioner Guide, 2^. Ausgabe, und IT Risk Fundamentals Study Guide. Sonstige Beiträge zu IT-Risiken finden sich unter www.isaca.org/resources/it-risk.

Über die ISACA

Seit mehr als 50 Jahren fördert ISACA® (www.isaca.org) die besten Talente sowie Expertise und Lernen im Bereich Technologie. ISACA vermittelt Fachleuten Kenntnisse, Referenzen, Weiterbildung und eine Gemeinschaft, um ihre Karriere zu fördern und ihre Organisationen zu verändern, und ermöglicht Unternehmen, Qualitätsteams zu schulen und aufzubauen. ISACA ist eine weltweit aktive, professionelle Vereinigung und Lernorganisation, die die Expertise von mehr als 150.000 Mitgliedern nutzt, die in den Bereichen Sicherheit, Führung, Sicherung, Risiko und Datenschutz arbeiten und sich für Innovation mittels Technologie einsetzen. Die Organisation ist in 188 Ländern präsent und hat weltweit mehr als 220 Ortsverbände. Im Jahr 2020 startete ISACA One In Tech, eine philantropische Stiftung zur Unterstützung der IT-Schulung und beruflicher Wege von ärmeren, nur geringfügig repräsentierten Bevölkerungsgruppen.

Twitter: www.twitter.com/ISACANews
LinkedIn:
www.linkedin.com/company/isacaFacebook: www.facebook.com/ISACAGlobal
Instagram: www.instagram.com/isacanews/

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.