Schlagwortarchiv für: Notfallmanagement

DORA steht für “Digital Operational Resilience Act” und ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken. Diese Verordnung wurde erstmals im September 2020 von der Europäischen Kommission vorgeschlagen und hat das Ziel, den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzdienstleistungssektor zu verbessern.

Die Verordnung wurde im November 2022 offiziell vom Rat der Europäischen Union und dem Europäischen Parlament angenommen. DORA gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere. Auch Unternehmen, die kritische IKT-Dienstleistungen für den Finanzsektor erbringen, fallen unter den Anwendungsbereich von DORA.

Die Umsetzung von DORA erfolgt schrittweise. Obwohl die Verordnung bereits in Kraft ist, wird ihre Anwendung erst ab dem 17. Januar 2025 wirksam. Dies gibt den betroffenen Unternehmen Zeit, die notwendigen Anpassungen vorzunehmen.

Die Hauptziele von DORA

  1. Umfassende Behandlung des IKT-Risikomanagements: DORA legt großen Wert auf die Einführung eines umfassenden IKT-Risikomanagements im Finanzsektor. Das beinhaltet die Identifizierung von Risiken, die Bewertung ihrer Auswirkungen auf den Geschäftsbetrieb und die Umsetzung von Maßnahmen zur Reduzierung dieser Risiken.
  2. Harmonisierung der IKT-Risikomanagementvorschriften: Vor DORA gab es in den verschiedenen EU-Mitgliedstaaten unterschiedliche Vorschriften zum IKT-Risikomanagement. DORA strebt eine Harmonisierung dieser Vorschriften an, um ein einheitliches Regelwerk zu schaffen und die Compliance für Finanzinstitute zu erleichtern.
  3. Stärkung der Resilienz des Finanzsystems: Durch die Einführung von strengen Anforderungen an die digitale Betriebsfähigkeit und Cybersicherheit zielt DORA darauf ab, die Widerstandsfähigkeit des gesamten EU-Finanzsystems gegenüber digitalen Störungen und Sicherheitsvorfällen zu stärken.
  4. Schaffung eines europaweiten Regelwerks: DORA schafft ein europaweites Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor. Dies soll dazu beitragen, regulatorische Fragmentierung zu reduzieren und gleichzeitig die Sicherheit des Finanzsektors zu gewährleisten.

Um diese Ziele zu erreichen, setzt DORA strenge Anforderungen an die betroffenen Finanzinstitute. Diese müssen sicherstellen, dass ihre IKT-Systeme robust sind, gut durchdachte Prozesse implementiert sind und klare Vereinbarungen mit IKT-Dienstleistern getroffen werden. Die Verordnung legt außerdem besonderen Wert auf das Risikomanagement von Drittanbietern und die Notwendigkeit eines effektiven Informationsaustauschs über Cyberbedrohungen zwischen den Finanzunternehmen und den Aufsichtsbehörden.

Für wen gilt DORA?

DORA (Digital Operational Resilience Act) gilt für eine breite Palette von Akteuren im Finanzsektor innerhalb der Europäischen Union. Zu den Hauptgruppen, die von DORA erfasst werden, gehören:

  1. Finanzinstitute: Dazu gehören Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, (Rück-)Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und andere.
  2. IKT-Drittdienstleister: Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, sind ebenfalls von DORA betroffen. Dazu gehören Cloud-Service-Anbieter, Rechenzentren und andere Unternehmen, die kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen.
  3. Aufsichtsbehörden: Die Regulierung und Aufsicht über die Einhaltung von DORA obliegt den zuständigen nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten. Dazu gehören beispielsweise die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
  4. Kritische IKT-Drittanbieter: Unternehmen, die als kritische IKT-Drittanbieter eingestuft werden, unterliegen ebenfalls den Bestimmungen von DORA. Die genauen Kriterien zur Bestimmung dieser kritischen Anbieter werden noch ausgearbeitet, aber sie spielen eine entscheidende Rolle im Kontext der digitalen operationellen Resilienz und werden direkt von den führenden Aufsichtsstellen der ESAs (Europäische Aufsichtsbehörden) überwacht.

Die Verordnung betrifft somit nicht nur traditionelle Finanzinstitute, sondern auch diejenigen, die entscheidende IKT-Dienstleistungen für den Finanzsektor erbringen. Dieser breite Anwendungsbereich zeigt die Absicht von DORA, sicherzustellen, dass alle relevanten Akteure im Finanzsektor die notwendigen Maßnahmen ergreifen, um die digitale Betriebsfähigkeit und Sicherheit zu gewährleisten.

Der zeitliche Ablauf von DORA

  • September 2020: Die Europäische Kommission schlägt DORA erstmals vor.
  • November 2022: Der Rat der Europäischen Union und das Europäische Parlament nehmen DORA offiziell an.
  • 2024: Die Europäische Bankenaufsichtsbehörde (EBA) stellt technische Regulierungsstandards (RTS) bereit, die verschiedene Aspekte von DORA abdecken. Dazu gehören Netzwerksicherheit, Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten, Kontrollen von Zugangs- und Zugriffsrechten, Erkennung anomaler Aktivitäten, Überwachung anomalen Verhaltens, Reaktionsprozesse, IKT-Geschäftsfortführungsplanung, Überprüfung des IKT-Risikomanagementrahmens, Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, Meldungen über schwerwiegende IKT-bezogene Vorfälle und erweiterte Tests von IKT-Tools, -Systemen und -Prozessen.
    Die Europäische Kommission entwickelt einen Aufsichtsrahmen für entscheidende IKT-Anbieter.
  • Januar 2025: Die rechtliche Durchsetzung von DORA beginnt. Ab diesem Zeitpunkt können die zuständigen Behörden in den EU-Mitgliedstaaten Sicherheitsmaßnahmen verlangen, Sicherheitslücken beheben und Sanktionen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorgaben verstoßen.

Wie erfolgt die Durchsetzung von DORA?

DORA sieht vor, dass die EU-Mitgliedstaaten sicherstellen, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam überwachen. Die Geldbußen sollen dabei “wirksam, verhältnismäßig und abschreckend” sein, wie es in Artikel 50 Absatz 3 der DORA-Verordnung festgelegt ist.

Die zuständigen Behörden können demnach Geldbußen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorschriften verstoßen. Die Höhe der Geldbuße wird unter Berücksichtigung der Umstände des Einzelfalls festgelegt. Es wird betont, dass die Sanktionen angemessen und darauf ausgerichtet sein sollten, Verstöße zu beheben und zukünftige Verstöße zu verhindern.

Zusätzlich zu Geldbußen können Behörden Maßnahmen wie die Aussetzung oder Kündigung von Verträgen ergreifen.

Es ist wichtig zu beachten, dass die Durchsetzung von DORA nicht nur auf nationaler Ebene erfolgt. Kritische IKT-Drittanbieter, die als entscheidend eingestuft werden, unterliegen der direkten Aufsicht der Europäischen Aufsichtsbehörden (ESAs). Die führenden Aufsichtsstellen der ESAs können Sicherheits- und Abhilfemaßnahmen verlangen und Bußgelder gegen IKT-Anbieter verhängen, die die Vorschriften nicht einhalten. Bußgelder können bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr betragen. Bei anhaltenden Verstößen können Geldbußen täglich für bis zu sechs Monate verhängt werden.

Was können wir für Sie tun?

IAP verfügt als Dienstleister für Wirtschaftsprüfer im Finanzsektor über eine breite Erfahrung in der Entwicklung und Testierung von IT-bezogenen Internen Kontrollsystemen (IKS). Die immer weiterwachsende Landschaft an Anforderungen erfordert einen pragmatischen und flexiblen Ansatz, die Konformität zu diesen Anforderungen nachzuweisen.

Der zentrale Ansatz von iAP ist es für Unternehmen, ein zentrales IKS aufzubauen, aus dem alle Anforderungen heraus nachgewiesen werden können.

Folgende Pakete bieten wir Ihnen an:

  1. SOC2 IKS nach BAIT/DORA
  2. SOC2 IKS nach BSI C5/BAIT/DORA
  3. Cybersecurity Testing (Basis, Standard, Extened)
  4. IKS Aufbau – Basis, Standard, Extended
  5. Notfallmanagement- Konzept und –Testierung (BCM nach ISO22301)

Rufen Sie uns an!

 

Foto: istockphoto/Dmytro Yarmolin

 

Mittelständische Unternehmen spielen eine entscheidende Rolle in der globalen Wirtschaft, tragen zur Schaffung von Arbeitsplätzen bei und fördern den wirtschaftlichen Wohlstand. Trotz ihrer Bedeutung stehen sie, ähnlich wie Großkonzerne, vor einer Vielzahl von Herausforderungen, darunter auch Notfälle und Krisen, die ihre Existenz bedrohen können. Ein effektives Notfallmanagement ist von entscheidender Bedeutung, um diese Risiken zu minimieren und im Ernstfall angemessen reagieren zu können. Dieser Artikel beleuchtet die Bedeutung des Notfallmanagements für mittelständische Unternehmen, bietet praktische Ratschläge zur Umsetzung und zeigt die Vorteile einer durchdachten Notfallplanung auf.

Die Bedeutung des Notfallmanagements

Notfälle und Krisen können verschiedene Ursachen haben, sei es Naturkatastrophen wie Überschwemmungen oder Erdbeben, technische Störungen, Cyberangriffe oder gesundheitliche Krisen wie die COVID-19-Pandemie. Mittelständische Unternehmen, die oft begrenzte Ressourcen haben, sind besonders anfällig für die Auswirkungen solcher Ereignisse. Ein effektives Notfallmanagement hilft, die Risiken zu minimieren und die Handlungsfähigkeit des Unternehmens in kritischen Situationen zu gewährleisten.

Schritte zur Implementierung eines Notfallmanagements

  1. Risikoanalyse: Eine gründliche Risikoanalyse ist der erste Schritt zur Identifikation potenzieller Gefahren und Schwachstellen im Unternehmen. Dies umfasst die Bewertung interner und externer Risikofaktoren. Es ist wichtig, verschiedene Szenarien zu berücksichtigen, von Naturkatastrophen bis zu IT-Ausfällen, um umfassende Einblicke in die potenziellen Risiken zu erhalten.
  2. Notfallplanung: Basierend auf der Risikoanalyse wird ein umfassender Notfallplan entwickelt. Dieser Plan enthält klare Verantwortlichkeiten und Handlungsanweisungen, sowohl für Mitarbeiter als auch für Führungskräfte. Er beinhaltet eine Strategie zur Bewältigung verschiedener Notfallsituationen.
  3. Kommunikationsrichtlinien: Klare Kommunikationsrichtlinien werden festgelegt, um sicherzustellen, dass alle relevanten Stakeholder, einschließlich Mitarbeiter, Kunden und Partner, angemessen informiert werden. Dies ist entscheidend, um die Zusammenarbeit und das Vertrauen während einer Krise aufrechtzuerhalten.
  4. Ressourcenmanagement:Es wird sichergestellt, dass ausreichende Ressourcen wie Datensicherungen, Backup-Systeme und Notvorräte vorhanden sind, um im Notfall angemessen handeln zu können. Dies umfasst auch Maßnahmen zur Sicherung der IT-Infrastruktur.
  5. Schulung und Übung:Regelmäßige Schulungen und Notfallübungen sind wichtig, um sicherzustellen, dass Mitarbeiter mit den Notfallplänen vertraut sind und im Ernstfall effizient handeln können. Diese Übungen helfen, die Reaktionsfähigkeit zu stärken und Unsicherheiten zu reduzieren.
  6. Regelmäßige Überprüfung: Der Notfallplan sollte regelmäßig überarbeitet und aktualisiert werden, um sicherzustellen, dass er den sich ändernden Bedingungen und Anforderungen gerecht wird. Dies beinhaltet auch die Integration neuer Erkenntnisse aus früheren Notfallsituationen, um kontinuierlich die Effektivität des Notfallmanagements zu verbessern.

Die Vorteile eines Notfallmanagements für mittelständische Unternehmen

Ein gut durchdachtes Notfallmanagement bietet mittelständischen Unternehmen zahlreiche Vorteile:

  1. Kontinuität des Geschäftsbetriebs: Ein effektiver Notfallplan hilft, die Ausfallzeiten zu minimieren und den Geschäftsbetrieb aufrechtzuerhalten.
  2. Reputationsschutz: Schnelles und professionelles Handeln in Krisensituationen schützt das Ansehen Ihres Unternehmens und das Vertrauen Ihrer Kunden.
  3. Kosteneinsparungen: Die Vorbereitung auf Notfälle kann langfristig Kosten reduzieren, indem teure Schäden und Ausfallzeiten vermieden werden.
  4. Sicherheit der Mitarbeiter: Das Notfallmanagement gewährleistet die Sicherheit Ihrer Mitarbeiter und trägt zur Schaffung eines sicheren Arbeitsumfelds bei.

Ein gut durchdachtes Notfallmanagement trägt dazu bei, die Kontinuität des Geschäftsbetriebs sicherzustellen und die Reputation des Unternehmens zu wahren. Unternehmen, die in eine durchdachte Notfallplanung investieren, sind besser gerüstet, um den Herausforderungen und Unsicherheiten der heutigen Geschäftswelt zu begegnen, was ihre Resilienz erhöht. Bleiben Sie informiert über wegweisende Entwicklungen im Notfallmanagement und sichern Sie die Compliance Ihres Unternehmens. IAP unterstützt Sie bei Fragen des Notfallmanagements und führt Notfall-Audits und Schulungen durch.

Mit einem durchdachten Notfallmanagement gewährleisten mittelständische Unternehmen nicht nur die Kontinuität ihres Geschäftsbetriebs, sondern auch die Sicherheit ihrer Mitarbeiter und die Wahrung ihrer Reputation. Der Fokus auf Risikoanalyse, Notfallplanung, klare Kommunikationsrichtlinien, Ressourcenmanagement, Schulungen und regelmäßige Überprüfungen bildet die Grundlage für erfolgreiche Maßnahmen im Ernstfall. Die Vorteile reichen von minimierten Ausfallzeiten, Kosteneinsparungen bis zur Sicherheit der Mitarbeiter und dem Schutz des Unternehmensansehens. Eine kontinuierliche Investition in eine Notfallplanung stärkt die Resilienz von Unternehmen, um den Herausforderungen der Geschäftswelt souverän zu begegnen. Bleiben Sie mit IAP über wegweisende Entwicklungen im Notfallmanagement informiert.

 

Foto: istockphoto/jesadaphorn