Erscheinung:19.02.2024 | Thema Risikomanagement BaFin erweitert erneut Info-Seite zu DORA
Unter www.bafin.de/dora finden beaufsichtigte Unternehmen seit Oktober 2023 Wissenswertes rund um die EU-Verordnung DORA. Die Finanzaufsicht BaFin hat diese Seite nun mit weiteren Informationen zu den verschiedenen Themenbereichen von DORA ergänzt.
Der Digital Operational Resilience Act (DORA) soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors stärken. Die BaFin stellt die wesentlichen Punkte zu den verschiedenen Themenbereichen von DORA unter www.bafin.de/dora zusammen.
Diese Info-Seite hat sie nun um weitere Aspekte ergänzt und dabei auch die Struktur angepasst. Auf neuen Unterseiten sind insbesondere Informationen zum Management von Risiken aus der Informations- und Kommunikationstechnologie (IKT) und zum IKT-Drittparteirisikomanagement hinzugekommen. Beaufsichtigte Unternehmen erfahren dort, wie sie mit IKT-Vorfällen umgehen und diese klassifizieren – und wie sie die Aufsicht über solche Vorfälle informieren sollen. Die BaFin erklärt auch, was sich im Detail hinter dem europäischen Überwachungsrahmen für kritische IKT-Drittdienstleister verbirgt.
Auf der Info-Seite gibt es nun außerdem ausführliche Informationen darüber, wie Unternehmen ihre digitalen operationellen Resilienz testen sollen, insbesondere mit bedrohungsgeleiteten Penetrationstests (Threat-led Penetration Testing – TLPTs). DORA sieht auch vor, dass die Unternehmen relevante Informationen und Erkenntnisse über Cyberbedrohungen miteinander austauschen sollen. Damit gemeint sind insbesondere ihre Indikatoren für Beeinträchtigungen von IT-System, Taktiken, Techniken und Verfahren von Angreifern sowie Cybersicherheitswarnungen. Diesen Aspekt – kurz: „Information Sharing“ – greift die BaFin auf ihrer Info-Seite nun ebenfalls ausführlich auf.
Zum Hintergrund
DORA soll dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und IKT-Vorfällen zu stärken. Die BaFin spielt bei der Umsetzung von DORA in Deutschland eine wichtige Rolle: Sie wird zum Beispiel zum zentralen deutschen Meldehub für Vorfälle aus der Informations- und Kommunikationstechnologie.
Ihre Info-Seite zu DORA und der Umsetzung des Regelwerks aktualisiert und erweitert die BaFin laufend.