iX 1/2023
S. 92
Report
Recht

Mehr IT-Sicherheit für die Finanzbranche

Mit dem Digital Operational Resilience Act verschärft die Europäische Union ihre Vorgaben rund um die IT-Sicherheit im Finanzsektor. Neben Cybersecurity und der Verteidigung gegen externe Angriffe ist insgesamt die Zuverlässigkeit und Störungsfreiheit der eingesetzten IT-Systeme das Ziel. Das betrifft in hohem Maße auch IKT-Dienstleister.

Von Tobias Haar

Resilienz bedeutet laut Wikipedia in Bezug auf technische Systeme die Fähigkeit, „bei Störungen beziehungsweise Teilausfällen nicht vollständig zu versagen, sondern wesentliche Systemdienstleistungen aufrechtzuerhalten“. Wenn dazu noch die Fähigkeit eines Unternehmens tritt, „inkrementelle Veränderungen und plötzliche Störungen zu antizipieren, sich darauf vorzubereiten, darauf zu reagieren und sich darauf einzustellen, um zu überleben und zu gedeihen“, spricht man von operativer Resilienz. Diese Definition stammt vom US-amerikanischen Beratungsunternehmen Gartner. Weitere Definitionen finden sich im British Standard 65000:2014 oder im ISO-Standard 22316:2017.

Damit ist grundsätzlich klar, welches Ziel die Europäische Union mit ihrem Digital Operational Resilience Act (DORA) verfolgt: Es geht um die operative Widerstandsfähigkeit digitaler Systeme. Allerdings findet DORA – und das verrät seine Bezeichnung nicht – nur auf die Sicherheit von Netz- und Informationssystemen zur Unterstützung der Geschäftsprozesse von Finanzunternehmen Anwendung. Das bezieht direkt auch die Dienstleister der Finanzbranche ein, denn sie müssen ihren Auftraggebern Leistungen im Einklang mit DORA erbringen. Gerade sie müssen sich also intensiv mit der neuen Regulierung beschäftigen.

Kommentieren