DORA und NIS-2 – Wie wir unsere Kunden schützen

News DORA und NIS-2 – Wie wir unsere Kunden schützen

28 Jan. 2025

DORA und NIS-2 – Wie wir unsere Kunden schützen

Die Anzahl der Cyberangriffe auf Unternehmen nimmt weiterhin stark zu. Immer häufiger werden dabei sehr effiziente, KI-gestützte Ansätze genutzt. Mit den EU-Maßnahmen DORA und NIS-2 werden neue Regulierungs- und Compliance-Anforderungen definiert, die diesen Bedrohungen entgegenwirken sollen und für uns von großer Bedeutung sind.

Als Entwicklungspartner für sichere Software und Betreiber kritischer Infrastruktur tragen wir eine große Verantwortung für die Sicherheit, Resilienz und Verfügbarkeit unserer Produkte und Services.

Obwohl wir unseren Kunden bereits einen sehr hohen Sicherheitsstandard bieten, müssen wir ständig weitere Maßnahmen treffen, um vor Angriffen zu schützen und die gewohnt hohe Verfügbarkeit sicherzustellen.

A1 Digital veranstaltet in regelmäßigen Abständen Webinare, in denen die wichtigsten EU-Vorschriften erklärt werden und besprochen wird, wer von den Richtlinien betroffen ist, welche Pflichten sich daraus ergeben, aber auch welche Chancen daraus entstehen.

Im ersten Teil dieser Webinarreihe kommen Sarah Lanzanasto und Istvan Deak, zwei unserer Experten, zu Wort und berichten von unseren hands-on Erfahrungen mit der Umsetzung der DORA und NIS-2 Richtlinien.

DORA

DORA, kurz für „Digital Operational Resilience Act“, ist eine EU-Verordnung, gilt seit 17. Januar 2025 und schafft eine Regulierung der Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz. Die Verordnung soll wesentlich dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken.

Anforderungen an Unternehmen im Rahmen von DORA

Governance- und Kontrollrahmen für effektives Risikomanagement
Prozesse zur Klassifizierung, Meldung und Bewältigung von IKT-Vorfällen
Digitale Resilienz prüfen mittels Frameworks und Penetration-Tests
Third-Party-Risikomanagement für externe Dienstleister und Zulieferer
Austausch von Threat-Intelligence-Daten zwischen Unternehmen

Die DORA Richtlinie betrifft sowohl Unternehmen aus der Finanzbranche, als auch Dienstleistungs- und Zulieferunternehmen, die diese Branche beliefern.

NIS-2

NIS-2, kurz für „The Network and Information Security Directive“, ist eine EU-Richtlinie, gilt seit 16. Januar 2023 und enthält Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Es handelt sich dabei um eine überarbeitete Version der aktuell bereits bestehenden Richtlinie NIS-1. Sie soll den bestehenden Geltungsbereich angesichts der zunehmenden Digitalisierung und stetig wachsender Bedrohungen für die Cybersicherheit modernisieren.

Im Wesentlichen orientiert sich die NIS-2-Richtlinie an bestehenden Cybersecurity-Funktionen.

Identify – Risiken analysieren und beurteilen
Protect – effektive Schutzmechanismen aufbauen
Detect – Anomalien erkennen
Respond – auf Vorfälle reagieren und korrigierende Maßnahmen einleiten
Recover – strukturierte Wiederherstellung und Analyse

DORA Umsetzung in der Praxis – „Lessons Learned“

Einer unserer Schwerpunkte bei World Direct liegt in der Entwicklung von Software für die Finanzbranche. Wir entwickeln aber nicht nur, sondern betreiben diese hochverfügbaren Systeme auch in hochsicheren Rechenzentren unserer Konzern-Mutter A1 Telekom Austria.

Da die EU die Sicherheit des Finanzsystems nicht nur aus der Sicht der Banken und Finanzdienstleister sieht, sondern auch die gesamte Supply Chain betrachtet, sind wir als Dienstleister ebenfalls direkt von DORA und NIS-2 betroffen.

Als IKT-Dienstleister betreffen die NIS-2 Aspekte unser gesamtes Unternehmen, auch außerhalb der Finanzbranche. Die Einhaltung dieser Richtlinien ist für uns schon seit Jahren gelebte Praxis.

Im Bereich DORA haben wir uns bereits sehr intensiv mit den einzelnen Aspekten und deren Auswirkungen auf unser Dienstleistungsangebot beschäftigt. Dabei haben wir wertvolle Erfahrungen und Erkenntnisse gewonnen, die wir an dieser Stelle gerne teilen möchten.

Wer hat welche Verpflichtungen?

Eine der größten Herausforderungen besteht darin, den Umfang und die Komplexität der DORA-Richtlinie zu erfassen. DORA adressiert zwar spezifisch die Finanzbranche, allerdings sind auch wir als kritischer IKT-Dienstleister in gleichem Maße betroffen und müssen uns damit auseinandersetzen. Für uns war es wichtig herauszufinden, welche Rahmenbedingungen wir als Dienstleister tatsächlich erfüllen müssen und wo wir unsere Kunden in der Finanzbranche nur unterstützen können, ohne selbst Adressat der Richtlinien zu sein. Dieser Aspekt hat sehr große Auswirkungen sowohl auf die technische Umsetzung als auch auf die vertragliche Ausgestaltung.

Vertragliche Aspekte

Wir haben die DORA-Richtlinie aus zwei Blickwinkeln betrachtet. Zuerst stellen wir uns die Frage, ob wir Adressat der Regelung sind, oder ob es der Finanzdienstleister ist und damit nicht direkt in unsere Pflichten fällt. Sind wir Adressat, prüfen wir, ob diese Anforderung bereits vertraglich geregelt ist oder in einem neuen DORA-Zusatzvertrag erfasst werden muss. Essenziell ist hier auch eine klare Absprache mit dem Kunden, um zu verhindern, dass beide Seiten vorab und nicht abgestimmt Vertragsentwürfe erstellen. Das verhindert einen unnötigen Mehraufwand an Zeit und Kosten.

Organisatorische Rahmenbedingungen

Auf einer zweiten Ebene gilt es zu prüfen, ob wir eine Regelung bereits konkret umsetzen, oder ob wir diese neu implementieren müssen. Innerbetrieblich stellen wir uns hier dann die Frage, welche unserer Abteilungen diese Leistung erbringt und wer für die Umsetzung verantwortlich ist. In weiterer Folge prüfen wir den verursachten Mehraufwand, ob wir diese zusätzlichen Kosten an den Kunden weiterverrechnen.

Technische Umsetzung

Die von DORA vorgegebenen Tests gehen über die üblichen Penetration Tests hinaus. Wir verwenden das seit 2018 vorhandene Framework „TIBER-EU“ zur Vorbereitung auf das notwendige TLPT – „Threat-Led Penetration Testing“. Wir sehen die proaktive frühzeitige Vorbereitung hier als entscheidend an, um unsere Systeme kontinuierlich zu stärken.

Der Faktor Zeit

Als kritischer IKT-Dienstleister muss man Zeit einplanen. Eine Umsetzung der DORA-Richtlinien kann nicht „nebenbei“ erfolgen. Die Vorbereitungen müssen unternehmensweit und es ist in der Regel sehr viel Abstimmung zwischen den einzelnen Einheiten wie z.B. die einzlenen Fachabteilungen, Legal, HR und Finance notwendig – und zwar von Anfang an.

DORA und NIS-2 getrennt betrachten?

Wir sind von beiden Richtlinien betroffen und lesen die Vorgaben nebeneinander – vor allem, um Synergien zu nutzen. So können wir relevante Vorgaben zusammen umsetzen, anstatt die doppelte Arbeit zu machen. Da wir auch die ISO 2701 Zertifizierung anstreben, sehen wir im Bereich der physischen Sicherheitsanforderungen sehr viele deckungsgleiche Aufgaben und damit wenig Zusatzaufwand für DORA.