IPG ist Teil der
DORA Titelbild 12

DORA - Neuer Wein

in alten Schläuchen

Am 16. Januar 2023 trat der Digital Operational Resilience Act (DORA) in Kraft und bringt eine Europaweite Verordnung für die Mindestanforderungen an IT-Sicherheit in der Finanzwelt, basierend auf bewährten Konzepten aus Regelungen wie VAIT, BAIT und Kritis. Doch DORA geht in Teilen auch einen Schritt weiter, indem sie auch Dienstleister verstärkt in die Verantwortung nimmt. 

Was genau bedeutet die DORA Verordnung das für Finanzunternehmen?

DORA setzt klare Anforderungen an die Informations- und Kommunikationstechnologie, die umzusetzen sind. Unter anderem werden folgende zentrale Themen definiert:  

  • Die Implementierung eines umfassenden Risikomanagementsystems für IT-Risiken. 

  • Maßnahmen zur Sicherstellung der IT-Systeme und ihrer Verfügbarkeit. 

  • Verfahren zur Behandlung und Meldung von Störungen. 

  • Anforderungen an das Management von Drittanbietern. 

  • Regelmäßige Tests der Informations- und Kommunikationstechnologie Systeme. 

  • Regeln zum Einsatz von Cloud-Diensten, als kritisch eingestufte Dienste stehen z.B. direkt unter Aufsicht der EU-Behörden. 

Die Strafen bei Nicht-Umsetzung von DORA können je nach Schwere des Verstoßes und der Branche, in der das Unternehmen tätig ist, variieren. 

Finanzsektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 5 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen. 

Versicherungssektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 3 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen. 

Geschädigte Dritte können Schadensersatzansprüche gegen das Unternehmen geltend machen. 

In besonders schweren Fällen kann die Aufsichtsbehörde dem Unternehmen die Geschäftstätigkeit untersagen.

Die Umsetzung von DORA stellt für Finanzunternehmen in der EU eine große Herausforderung dar. Und die Frist für die vollständige Umsetzung schon ist der 17. Januar 2025

Deadline für die DORA-Umsetzung:

Warum ist IAG entscheidend für die Einhaltung von DORA?

Identity and Access Governance (IAG) spielt eine vornehmliche Rolle bei der Erfüllung der Anforderungen von DORA. Folgende IAG-Aspekte sind hierbei besonders relevant: 

1. Identitätsmanagement

  • Identifizierung und Authentifizierung: Finanzinstitute müssen sicherstellen, dass nur berechtigte Personen Zugriff auf ihre Systeme und Daten haben. Dies kann durch die Verwendung von starken Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) erreicht werden. 

  • Zugriffskontrolle: Finanzinstitute müssen festlegen, welche Berechtigungen die einzelnen Benutzer haben. Dies kann durch die Verwendung von rollenbasierten Zugriffskontrollsystemen (RBAC) erreicht werden. 

  • Identitätslebenszyklusmanagement: Finanzinstitute müssen sicherstellen, dass die Identitäten der Benutzer über ihren gesamten Lebenszyklus hinweg verwaltet werden. Dazu gehören die Erstellung, Änderung und Löschung von Identitäten

2. Berechtigungsmanagement

  • Least-Privilege-Prinzip: Finanzinstitute sollten das Least-Privilege-Prinzip anwenden, d. h. Benutzern sollten nur die Berechtigungen eingeräumt werden, die sie für ihre Arbeit benötigen. 

  • Regelmäßige Überprüfung von Berechtigungen: Finanzinstitute sollten die Berechtigungen der Benutzer regelmäßig überprüfen, um sicherzustellen, dass sie weiterhin angemessen sind. 

  • Entzug von Berechtigungen: Finanzinstitute sollten in der Lage sein, Berechtigungen schnell und einfach zu entziehen, wenn ein Benutzer sie nicht mehr benötigt oder wenn es zu einem Sicherheitsvorfall kommt. 

  • Notfallzugriff und Wiederherstellung: DORA verlangt im Hinblick auf DRP (desaster recovery planning), dass Unternehmen Notfallzugriffsverfahren für den Fall von Systemausfällen oder Sicherheitsvorfällen implementieren. Dies umfasst auch die Wiederherstellung von Zugriffsrechten nach einem Vorfall. 

3. Audit und Reporting

  • Protokollierung und Überwachung: Finanzinstitute müssen alle Aktivitäten in ihren Systemen protokollieren und überwachen. Dies ermöglicht es ihnen, verdächtige Aktivitäten zu erkennen und zu untersuchen. 

  • Berichterstattung: DORA fordert von den Finanzinstituten die Berichterstattung über Sicherheitsvorfälle (Meldepflicht über IKT-Incidents). 

Sie brauchen Unterstützung bei der Umsetzung von Dora?

IPG steht Ihnen als verlässlicher Partner zur Seite, um Sie bei der Umsetzung von DORA zu unterstützen. Unsere Dienstleistungen umfassen: 

  • Beratung bei der Bewertung Ihrer aktuellen IT-Risiken: Wir helfen Ihnen, Ihre aktuellen Risiken zu identifizieren und zu bewerten. Dies bildet die Grundlage für die Entwicklung eines effektiven IT-Risikomanagementsystems. 

  • Unterstützung bei der Entwicklung eines IT-Risikomanagementsystems: Wir begleiten Sie bei der Gestaltung eines IT-Risikomanagementsystems, das genau auf Ihre Bedürfnisse zugeschnitten ist. Dieses System umfasst Aspekte wie Risikoidentifikation, -bewertung, -behandlung und die Überwachung und Berichterstattung über Risiken. 

  • Beratung bei der Implementierung von Maßnahmen zur Sicherheit und Verfügbarkeit von IT-Systemen: Wir unterstützen Sie bei der Umsetzung von Maßnahmen, um die Sicherheit und Verfügbarkeit Ihrer IT-Systeme sicherzustellen. Dazu gehören Sicherheitsrichtlinien und -verfahren, Backup- und Wiederherstellungssysteme sowie Notfallpläne. 

  • Unterstützung bei der Entwicklung von Verfahren zur Behandlung und Meldung von Störungen: Wir helfen Ihnen bei der Ausarbeitung von Prozessen zur effizienten Behandlung und Meldung von Störungen. Dadurch wird gewährleistet, dass Probleme schnell und effektiv gelöst werden, ohne Ihre Kunden zu beeinträchtigen. 

  • Beratung bei der Auswahl und Bewertung von Drittanbietern: Wir unterstützen Sie bei der Auswahl und Bewertung von Drittanbietern, die Ihre IT-Systeme und -Dienstleistungen unterstützen. Dies gewährleistet, dass Ihre IT-Ressourcen von vertrauenswürdigen Anbietern bereitgestellt werden. 

Unsere erfahrenen Berater haben bereits zahlreiche Finanzinstitute bei der Umsetzung von IT-Sicherheitskonzepten mit einem prüfungssicherem Identity and Access Governance erfolgreich begleitet. Wenn Sie Fragen zur Umsetzung dieser Verordnung haben, zögern Sie nicht, sich an uns zu wenden. Wir sind hier, um Ihnen beratend zur Seite zu stehen und Ihre Compliance sicherzustellen. 

DORA ist also nicht nur alter Wein in neuen Schläuchen; es ist eine Chance, die digitale Widerstandsfähigkeit zu stärken und den Weg für eine sicherere digitale Finanzwelt zu ebnen. Wir freuen uns darauf, Sie bei dieser wichtigen Reise zu unterstützen.  

Kontaktieren Sie uns noch heute, um mehr zu erfahren. 

Buchen Sie noch heute einen Beratungstermin
Teaserbild_Expertenbericht_DORA_IAM
Blog 02.10.23

DORA: Stärkung der Resilienz im europäischen Finanzwesen

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten. ✅ Mehr dazu in unserem Blog.
Teaserbild Expertenbericht IAM zu FINMA Rundschreiben
Blog 23.10.23

IAM für Banken & Finanzinstitute in der Schweiz

Verlieren Sie keine Zeit: ✓Compliance ✓Sicherheit ✓Effizienz ✓Vertrauen! Jetzt handeln und mit der Einführung einer IAM-Software die Anforderungen des FINMA Rundschreiben 2023/1 erfüllen. ✅ Mehr dazu in unserem Blog.
Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.
Teaserbild_Expertenbericht NIS2
Blog 09.04.24

Cybersecurity Evolution: NIS-2

Unser Expertenbericht beleuchtet die Schlüsselrolle IAM bei der Umsetzung der NIS-2 Verordnung. Welche Punkte sind zu beachten. Lesen Sie hier mehr.
Teaserbild IAM Prozess Expertenbericht
Blog 12.12.22

IAM-Prozesse – Betrachtungswinkel und Prozesssichtweisen

Die Einführung einer IAM-Lösung in einem Unternehmen zieht Änderungen in Arbeitsabläufen nach sich. Die Erhebung und Modellierung der IAM-Prozesse sind essenzielle Schritte zum Verständnis und der Akzeptanz der Lösung in der Organisation. Lesen mehr dazu in unserem Blog.
Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Entdecken Sie die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.
Blog 03.02.25

MIM End-of-Life: Strategien zur erfolgreichen Planung

Was kommt nach dem Microsoft Identity Manager? Wir zeigen Ihnen, wie Sie den Übergang erfolgreich planen – mit Optionen von schrittweiser Migration bis hin zu neuen Lösungen. Lesen Sie hier mehr.
Teaserbild Expertenbericht Berechtigungsmanagement IAM
Blog 27.11.24

Sicheres Berechtigungsmanagement leicht gemacht!

Ein modernes IAM-System vereinfacht das Berechtigungsmanagement und schützt vor ungewolltem Zugriff. Erfahren Sie, wie Sie mit automatisierten Prozessen IT-Sicherheit und Compliance steigern.

Teaserbilg HSRM
Referenz 18.01.24

Eine zentrale IAM-Lösung für die Hochschule RheinMain

Gemeinsam mit IPG führt die Hochschule RheinMain eine neue IAM-Lösung und maßgeschneiderte Identitätsprozesse für Studierende und Mitarbeiter ein, um die Sicherheit zu erhöhen. ✅ Lesen Sie mehr dazu.

Titelbild zur Referenz IAM-Lösung, Unia
Referenz 30.09.20

UNIA

Die Einführung eines leistungsstarken IAM-Systems erlaubt es UNIA, organisatorische Abläufe zu zentralisieren und die Anforderungen an die Sicherheit und Compliance zu erfüllen.
Teaserbild Expertenbericht 360 Grad Assessment IAM
Blog 19.12.22

IAM-Projekt – 360 Grad Assessment

360° Assessment – wozu ein übergreifendes Assessment, wenn man «nur» ein IAM braucht? Unsere Fach-Expertin für IAM erläutert nun, wie wir in einem «360° Assessment» Unternehmen dabei unterstützen, erfolgreich ein IAM-Projekt zu etablieren. Mehr dazu in unserem Blog.
Teaserbild Expertenbericht IAM Brownfield
Blog 08.07.24

Der Brownfield-Ansatz im Identity and Access Management

Die Modernisierung veralteter IAM-Systeme ist essenziell für Cybersicherheit. Der Brownfield-Ansatz minimiert Risiken und senkt Kosten durch eine schrittweise Migration auf zeitgemäße Lösungen.

Teaserbild KPT Referenz IAM
Referenz 13.11.23

Effizientes IAM für Cloud-Systeme bei der KPT

Mit einer neuen IAM-Lösung behält KPT die Kontrolle über Benutzerkonten und Berechtigungen, um einen effizienten und sicheren Betrieb ihrer Cloud-Systeme zu gewährleisten. ✅ Lesen Sie mehr dazu.
Teaserbild Referenz IAM TIMETOACT IDABUS
Referenz 21.06.23

TIMETOACT GROUPs Reise mit IDABUS

Die TIMETOACT GROUP entschied sich auf Empfehlung des IDABUS Partners IPG für den Einsatz einer Cloud-basierten IAM-Lösung. ✅ Lesen Sie mehr dazu.
Teaserbild IAM Experte Identity Provider
Blog 02.12.22

Identity Provider – ein Schlüssel für viele Schlösser

Viele Unternehmen sind bestrebt, Anmeldeprozesse zu vereinheitlichen bzw. zu vereinfachen. Ist es möglich, mit einem einzigen Identity Provider (IdP) sowohl interne als auch externe Web-Anwendungen zu betreiben? Unsere Kollegen Jan Weiberg & Sorush S.Torshizi geben Einblick in ein Kundenprojekt.

Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Ab September 2023 gilt in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG). Was bedeutet es für Unternehmen und wie kann ein effektives IAM Unternehmen unterstützen, das neue Gesetz einzuhalten? Mit diesem Expertenbericht erhalten Sie einen detaillierten Überblick.
Teaser Expertenbericht KI und IAM
Blog 13.12.24

Braucht KI eine digitale Identität?

KI wird zunehmend autonom und übernimmt wichtige Aufgaben in Unternehmen. Wie bleibt die Kontrolle über sensible Daten gewährleistet? Wir beleuchten die Notwendigkeit einer digitalen Identität für KI.
Teaserbild User Story Imprivata Orbis
Referenz 02.04.24

Imprivata OneSign und Orbis optimieren Arbeitsabläufe

Optimierte Arbeitsabläufe und mehr Sicherheit für Patientendaten in führender Psychiatrie durch nahtlose Integration von Imprivata OneSign und Orbis. Jetzt mehr lesen!
Titelbild zur Referenz IAM-Lösung, FMI Spitäler
Referenz 27.07.20

Spitäler fmi AG

Die Spitäler fmi AG fand mit der IPG einen Beratungs- und Umsetzungspartner, der das Thema IAM umfassend, spezifisch und mit allen Anforderungen in der Umsetzung begleiten kann.
Zero Trust – Ein neues Zeitalter der Cyber Security
Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat in den vergangenen Monaten und Jahren einen ganz neuen Status erlangt: Ein Zeitalter des „Zero Trust“ ist angebrochen und mit ihm hat sich Blick auf Sicherheitsbedrohungen drastisch verändert.