Was ist DORA?
Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die die operationale Resilienz des europäischen Finanzsektors stärken soll. DORA soll Finanzinstitutionen dazu befähigen, ihren Schutz vor Cyberbedrohungen, IT-Zwischenfällen und anderen Betriebsrisiken zu verbessern – und sich im Fall der Fälle schnell davon erholen zu können.
Das Inkrafttreten von DORA war weniger eine Präventivmaßnahme als eine Reaktion auf die wachsende Abhängigkeit von digitalen Technologien im Finanzbereich und auf die Notwendigkeit, damit verbundenen Risiken proaktiv vorzubeugen. Für den Finanzsektor, der im Fokus der Cyberkriminellen steht, wird Risikomanagement zu einer immer dringlicheren Aufgabe. Immer wieder wird der europäische Finanzsektor durch Cyberangriffe und damit verbundene Geschäftsunterbrechungen, wirtschaftliche Verluste und rechtliche Folgen hart getroffen – zu den aktuellen Beispielen gehört der Hackerangriff auf die dänische Zentralbank sowie sieben weitere Privatbanken.
Obwohl die Cyber-Bedrohungslage den Finanzsektor unter großen Druck setzt, gewährte die Europäische Kommission eine 24-monatige Frist ab dem 16. Januar 2023 für die Implementierung der Anforderungen. Während der Zeitrahmen auf den ersten Blick großzügig erscheint, ist es betroffenen Finanzunternehmen dennoch anzuraten, bereits jetzt mit der Implementierung aller notwendigen Maßnahmen zu beginnen.
Warum DORA? Ein Blick auf die Lage des Finanzsektors
Die wachsende Vernetzung und Abhängigkeit des Finanzsektors von digitalen Lösungen macht ihn zur Zielscheibe für verschiedene Cybertaktiken. Einer Erhebung von Statista zufolge zählte der Finanzsektor zusammen mit der Versicherungsbranche zu den Sektoren, die 2022 am stärksten von Cyberangriffen betroffen waren.
Finanzinstitute verarbeiten tagtäglich große Mengen sensibler und vertraulicher Daten, wie personenbezogene Finanzdaten, Kontoinformationen und Sozialversicherungsnummern, um nur einige wenige zu nennen. Dass sie das zu einem lukrativen Ziel für Cyberkriminelle macht, ist längst kein Geheimnis mehr. Während einige Organisationen bereits verschiedene Cyber-Sicherheitsmaßnahmen implementiert haben, trifft das bei Weitem noch nicht auf alle zu. Eine Umfrage des International Monetary Fund (IMF) ergab:
- 56 % der Zentralbanken und Aufsichtsbehörden verfügen über keine nationale Cyberstrategie für den Finanzsektor.
- 42 % aller Länder fehlen die nötigen Vorgaben für das Cybersicherheits- und Risikomanagement.
- In 64 % der Länder sind Sicherheitsprüfungen keine Pflicht.
- 54 % haben kein festes Incident-Reporting-System.
- Schockierende 48 % haben keine Cyber-Sicherheitsrichtlinien.
Diese Situation bietet perfekte Voraussetzungen für Cyberkriminelle: Sie nutzen die fehlende Vereinheitlichung in Bezug auf Sicherheitsrichtlinien aus und gehen besonders aggressiv gegen den Finanzsektor vor. Im Februar 2022 fiel so beispielsweise die Moskauer Börse und die SberBank, die größten Kreditgeber Russlands, einem DDoS-Angriff zum Opfer. Ihre Webseiten waren drei Tage lang nicht zugänglich. Infolge dieses Zwischenfalls und weiterer weltweiter Sanktionen fielen in London notierte Aktien der SberBank um fast 80 Prozent ab und die Bank büßte somit einen Großteil ihres Werts ein. Weniger als einen Monat zuvor wurde die OP Financial Group, eines der größten Finanzinstitute Finnlands, Opfer eines Phishing-Angriffs und einer darauffolgenden Betriebsunterbrechung.
Diese Zwischenfälle verdeutlichen die Relevanz des Digital Operational Resilience Act (DORA). Mit DORA sollen starke, einheitliche Sicherheitsstandards geschaffen werden, die Finanzinstitutionen vor Cyberkriminellen schützen. Durch seinen umfassenden und einheitlichen Ansatz im Bereich digitale Sicherheit bietet DORA einen wichtigen zusätzlichen Schutzwall gegen Cyberbedrohungen, der nicht nur die Sicherheit einzelner Finanzinstitute, sondern des weltweiten finanziellen Ökosystems gewährleisten soll.
Welche Unternehmen sind von DORA betroffen?
DORA gilt nahezu ausnahmslos für alle Finanzinstitutionen mit Sitz in der Europäischen Union. Während man als Erstes an Banken und Versicherungsgesellschaften denkt, betrifft DORA gemäß Artikel 2 viele weitere Unternehmensarten:
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Zentralverwahrer
- Zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- Einrichtungen der betrieblichen Altersvorsorge
- Ratingagenturen
- Administratoren kritischer Referenzwerte
- Schwarmfinanzierungsdienstleister
- Verbriefungsregister
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
- IKT-Drittdienstleister
- Anbieter von Krypto-Vermögenswerten, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte für Krypto-Vermögenswerte zugelassen sind, und Emittenten wertreferenzierter Token
Als wichtiger Zusatz ist zu beachten, dass es EU-Mitgliedsstaaten freisteht, die DORA-Vorgaben für manche Einrichtungsgruppen zu erlassen. In diesem Fall sind sie verpflichtet, den Ausschluss der Europäischen Kommission zu melden, die diese Information auf ihrer Webseite sowie auf andere leicht zugängliche Weise veröffentlicht.
Gemäß DORA sind Finanzinstitute zudem zur Überwachung und Verwaltung des Drittanbieterrisikos verpflichtet. Das bedeutet wiederum, dass auch Selbstständige und Organisationen, die Dienstleistungen für Finanzinstitute anbieten, die DORA-Vorgaben erfüllen müssen.
Da die DORA-Verordnung nicht allumfassend ist, sind manche Unternehmensgruppen vom Anwenderkreis ausgenommen. Dazu gehören unter anderem Einrichtungen der betrieblichen Altersversorgung, die Rentenversicherungen mit weniger als 15 Mitgliedern insgesamt verwalten, natürliche und juristische Personen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit (solange diese in die Kategorie kleiner bis mittlerer Unternehmen fallen) sowie Postscheckämter. Die vollständige Liste finden Sie in Artikel 2.3.
Welche Compliance-Vorgaben umfasst DORA für Finanzinstitute?
Die DORA-Verordnung lässt sich in fünf Kategorien unterteilen, die jeweils einen spezifischen Aspekt des Cyber-Sicherheitssystems von Organisationen betreffen. Dies sind die fünf Kernelemente von DORA: IKT-Risikomanagement; Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle; Tests der digitalen operationalen Resilienz; Management des IKT-Drittparteienrisikos; Austausch von Informationen und Erkenntnissen. Im Folgenden sehen wir uns jede dieser fünf Kategorien genauer an.
IKT-Risikomanagement
Gemäß DORA müssen Finanzunternehmen über einen umfassenden IKT-Risikomanagementrahmen verfügen, der die Strategien, Richtlinien, Prozesse und Protokolle für das Management der IKT-Risiken klar definiert. Der Rahmen richtet sich nach anerkannten internationalen Standards und unterliegt der Verantwortung des Leitungsorgans des Unternehmens. Der Risikomanagementrahmen sollte zudem eine Strategie für digitale Resilienz enthalten, die wichtige Kennzahlen und Risikometriken für das Erreichen der Sicherheitsziele festlegt. Außerdem ermöglicht sie die Bewertung der aktuellen digitalen operationalen Resilienz basierend auf vergangenen IKT- Vorfällen und die Wirksamkeit derzeitiger Maßnahmen und legt die Kommunikationsstrategie im Falle eines Zwischenfalls fest.
Finanzunternehmen müssen darüber hinaus sicherstellen, dass IKT-Sicherheitsmanagement, Kontrollmaßnahmen und interne Auditfunktionen unabhängig voneinander sind. Um mit aktuellen Trends Schritt zu halten, wird der Risikomanagementrahmen mindestens einmal jährlich oder im Rahmen eines Auditverfahrens überprüft und optimiert.
Laut Verordnung liegt es in der Verantwortung des Leitungsorgans des Finanzunternehmens, den Risikomanagementrahmen zu definieren, zu genehmigen und seine Umsetzung zu überwachen.
Diese Anforderungen machen deutlich, dass kein Weg um Cyber Security Awareness Training – insbesondere auch für Führungskräfte – herumführt. Artikel 13.6 besagt, dass für alle Mitarbeitenden wie auch die Geschäftsleitung für ihren jeweiligen Aufgabenbereich relevantes Cyber-Sicherheitstraining obligatorisch ist. Diese Programme und Schulungen sollen Mitarbeitende für IKT-Risiken und ihren Einfluss auf den Geschäftsbetrieb von Finanzunternehmen sensibilisieren.
Aus diesem Kapitel geht zudem hervor, dass Finanzunternehmen zur Stärkung der Informationssicherheit modernste IKT-Technologien und -Prozesse nutzen und Mechanismen einführen sollten, die verdächtige Aktivitäten zeitnah aufspüren. Um die Kontinuität ihrer Dienste sicherzustellen, sieht DORA vor, dass Finanzunternehmen eine spezifische, umfassende Business-Continuity-Richtlinie implementieren, die die Steuerung, Analyse und Wiederherstellung nach einem IKT-Vorfall erleichtert.
Gleichzeitig müssen sie ein System für die Datensicherung und -wiederherstellung einführen und sicherstellen, dass ihre IKT-Drittdienstleister mindestens einen sekundären Verarbeitungsstandort unterhalten, dessen Funktionen und Ressourcen ausreichen, um den Geschäftsbedarf zu decken. Finanzunternehmen sollten des Weiteren alle IKT-Zwischenfälle und erkannte Schwachstellen melden, sodass alle Unternehmen des Finanzsektors davon lernen und der Sektor als Ganzes wachsen kann.
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
Diese Kategorie geht auf Prozesse für Finanzunternehmen ein, um IKT-bezogene Vorfälle zu erkennen, zu behandeln und zu melden. Kapitel III der DORA-Verordnung zeigt die Wichtigkeit vereinheitlichter Systeme zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle auf. Diese haben das Ziel, die Ursachen zu ermitteln, zu dokumentieren und anzugehen, um das Auftreten weiterer Vorfälle zu vermeiden.
Um ein einheitliches Erkennungs- und Meldungssystem zu erzielen, sind Organisationen gemäß DORA verpflichtet, die von dem IKT-Risiko ausgehende Bedrohung zu klassifizieren und mehrere Meldungen an die zuständigen Behörden zu schicken:
- Eine Erstmeldung
- Eine Zwischenmeldung, sobald sich der Status des ursprünglichen Vorfalls erheblich geändert hat oder sich die Handhabung des Vorfalls auf der Grundlage neuer Informationen geändert hat
- Eine Abschlussmeldung, wenn die Ursachenanalyse abgeschlossen ist und sich die tatsächlichen Auswirkungen beziffern lassen — unabhängig davon, ob bereits Minderungsmaßnahmen getroffen wurden oder nicht.
Diese Berichte stellen alle nötigen Informationen bereit, um die Schwere des IKT-bezogenen Vorfalls zu bestimmen und mögliche grenzüberschreitende Auswirkungen zu beurteilen. Sobald die Meldung bei den europäischen Behörden eingeht, geben diese Anweisungen zur Reduzierung negativer Auswirkungen auf andere Bereiche innerhalb des Finanzinstituts. Die Behörden veröffentlichen einmal im Jahr einen Bericht zur Anzahl schwerwiegender IKT-Vorfälle.
Tests der digitalen operationalen Resilienz (DOR)
Zu den Anforderungen der DORA-Verordnung gehören Tests der digitalen operationalen Resilienz und möglicher Schwachstellen, die von unabhängigen internen oder externen Experten mindestens einmal jährlich durchgeführt werden. Diese Tests dienen dazu, die Abwehrbereitschaft von IKT-Sicherheitsvorfällen zu beurteilen und mögliche Schwachstellen im System aufzudecken. Sie sollten verschiedene Schwachstellenbewertungen und -scans umfassen, wie auch Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen, szenario-basierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests. Bei der Durchführung der Testpläne sollte zudem ein risikobasierter Ansatz in Betracht gezogen werden. Darüber hinaus müssen Finanzeinrichtungen Schwachstellenbewertungen durchführen, bevor neue oder bestehende Anwendungen, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, eingesetzt oder wieder eingesetzt werden.
Management des IKT-Drittparteienrisikos
DORA verlangt von Finanzinstitutionen, die mit IKT-Drittdienstleistern arbeiten, die Umsetzung einer Strategie für das IKT-Drittparteienrisiko, um mögliche Schwachstellen auszuschließen, die die Finanzinstitution selbst beeinträchtigen könnten. Dies bedeutet, dass Finanzunternehmen alle relevanten Risiken in Bezug auf ihre vertraglichen Vereinbarungen mit Dritten unabhängig ermitteln und bewerten sollten. Besteht ein Angriffsrisiko durch IKT-Drittdienstleister, ist die Überwachung ihrer Systeme nicht möglich oder liegen tatsächliche Datenschutzverstöße vor, sind Finanzunternehmen verpflichtet, mit diesem kritischen IKT-Drittdienstleister geschlossene vertragliche Vereinbarungen zu kündigen. Finanzunternehmen müssen den zuständigen Behörden zudem mindestens einmal jährlich Bericht zur Anzahl neuer Vereinbarungen über die Nutzung von IKT-Dienstleistungen, den Kategorien von IKT-Drittdienstleistern, der Art der vertraglichen Vereinbarungen sowie den bereitgestellten IKT-Dienstleistungen und -Funktionen.
DORA gibt zudem Elemente vor, die in vertraglichen Vereinbarungen über die Nutzung von kritischen und nicht kritischen IKT-Dienstleistungen enthalten sein müssen: Um diese Elemente zu bestimmen, müssen die Europäischen Aufsichtsbehörden (European Supervisory Authorities oder ESA) und die Kommission über den gemeinsamen Ausschuss eine Einstufung der IKT-Drittdienstleister vornehmen, die für Finanzunternehmen kritisch sind. Als kritische Dienstleister gelten jene, die die Stabilität, Kontinuität und Qualität der erbrachten Finanzdienstleistungen beeinträchtigen. Im Anschluss ermittelt die durch die ESA ernannte federführende Überwachungsbehörde, ob die Drittdienstleister über die nötigen Regelungen, Verfahren, Mechanismen und Einrichtungen verfügen, um das IKT-Risiko zu verwalten. Je nachdem, wie die Bewertung und Ergebnisse ausfallen, stellen die ESA ein vereinheitlichtes Meldeverfahren und Empfehlungen zur Verbesserung der Informationssicherheitsmaßnahmen des Drittanbieters bereit.
Austausch von Informationen und Erkenntnissen
Gemäß DORA können Finanzunternehmen relevante Informationen über IKT-bezogene Risiken innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen austauschen. Dieses offene Kommunikationssystem hat das Ziel, die digitale operationale Resilienz von Finanzunternehmen zu stärken und ihre IKT-bezogenen Risiken zu reduzieren. Um den Schutz potenziell sensibler Informationen zu gewährleisten, sind Finanzunternehmen dazu angehalten, zuständigen Behörden ihre Einbindung in die Vereinbarungen über den Austausch von Informationen mitzuteilen.
Der Unterschied zwischen DORA und der NIS2-Richtlinie
Bei DORA wie auch NIS2 handelt es sich um zwei neue Cyber-Sicherheitsrichtlinien, die beide zum Ziel haben, das Cyber-Sicherheitsniveau in der Union zu erhöhen und zu vereinheitlichen. Die NIS2-Richtlinie (Richtlinie zur Netz- und Informationssicherheit 2) wurde im Dezember 2022 entworfen, trat im Januar 2023 in Kraft und ist bis Oktober 2024 von den Mitgliedsstaaten umzusetzen. Genau wie DORA soll auch die NIS2-Richtlinie die Resilienz von Organisationen innerhalb der EU deutlich erhöhen – sie unterscheiden sich jedoch in ihrer Zielgruppe. Die NIS2-Richtlinie hat das Ziel, die Resilienz des öffentlichen und privaten Sektors zu verbessern, wobei sie hauptsächlich Anbieter als essenziell geltender Branchen betrifft – darunter Telekommunikation, Cloud Computing, Managementdienste, Rechenzentren, Banken, Verkehr, öffentliche Verwaltung, Social-Media-Plattformen und Suchmaschinen, Post- und Kurierdienste usw. Darüber hinaus soll NIS2 die Anforderungen an die Cybersicherheit und Kontrolle, die Erkennung und Verwaltung von Sicherheitsvorfällen sowie die Sicherheit von Infrastrukturen und Anwendungen standardisieren. Im Vergleich dazu ist die DORA-Verordnung auf die Resilienz des Finanzsektors ausgerichtet und soll vereinheitlichen, wie Finanzunternehmen IKT-bezogenes Risiko erkennen, verwalten und melden.
Während sich ihr Rahmen unterscheidet, haben die Richtlinien eines gemeinsam: Sie wurden entwickelt, um eine einheitliche Rechtsgrundlage zu schaffen, die Integrität von Daten zu schützen und das Risiko von Datenschutzverstößen zu reduzieren, das aufgrund der Digitalisierung alltäglicher Prozesse stetig ansteigt.
Zeitplan zur Erfüllung der DORA-Anforderungen
Den ursprünglichen DORA-Entwurf veröffentlichte die EU-Kommission am 24. September 2020. Er war Teil eines größeren Maßnahmenpakets mit dem Ziel, die Cyberresilienz von Finanzinstituten in Europa zu verbessern und gleichzeitig finanzielle Stabilität und Verbraucherschutz zu gewährleisten.
Am 16. Januar 2023 trat die finale Version der DORA-Verordnung in Kraft. Für die Implementierung ist eine 24-monatige Frist vorgesehen, das heißt, die betroffenen Finanzunternehmen sollten die Vorgaben bis zum 17. Januar 2025 erfüllen. Nun, da sie in Kraft getreten ist, können die zuständigen Aufsichtsbehörden technische Regulierungsstandards (Regulatory Technical Standards, RTS) ausarbeiten. Während der Zeitrahmen zunächst großzügig erscheint, sollten Finanzunternehmen nicht zu lange mit der Implementierung der Richtlinie warten und beginnen, die ersten Schritte in Richtung Compliance umzusetzen.
Da der Umsetzungszeitraum sowohl für die Finanzunternehmen als auch die IKT-Drittdienstleister gilt, bieten die 24 Monate viel Spielraum, um in Ruhe Ihre Strategie mit allen beteiligten Partnern zu besprechen – insbesondere mit den zuvor genannten kritischen Dienstleistern.
Wenn Sie jedoch immer noch das Gefühl haben, dass einige Teile der Rechtsvorschriften zu unspezifisch und schwer zu verstehen sind, sieht Artikel 15 vor, dass die Europäischen Aufsichtsbehörden und die ENISA (Agentur der Europäischen Union für Cybersicherheit) bis 17. Januar 2024 über den Gemeinsamen Ausschuss Entwürfe technischer Regulierungsstandards vorbringen. Diese Entwürfe werden im Detail auf verschiedene Aspekte der Gesetzgebung eingehen – von Reaktions- und Recovery-Plänen bei IKT-Zwischenfällen bis hin zum Testen von IKT-Business-Continuity-Plänen.
Nächste Schritte: So erfüllen Sie die DORA-Verordnung
Die Compliance-Anforderungen der DORA-Verordnung werden sich von Organisation zu Organisation unterscheiden. Während für die einen Finanzinstitutionen nur kleine Optimierungen nötig sind, müssen andere einen detaillierten Plan mit mehreren Schritten ausarbeiten. Diese Schritte bieten Ihnen erste Anhaltspunkte:
- Lassen Sie sich von einem Rechtsberater, der die Verordnung und ihre Auswirkungen auf Ihre Organisation gut kennt, erläutern, wie sich DORA auf Ihre Organisation auswirkt.
- Bewerten Sie Ihr derzeitiges IKT-Risiko, Meldeverfahren und Fähigkeit zur Bedrohungserkennung, zum Beispiel mittels Resilienzprüfungen wichtiger Funktionen und Systeme. In diesem Zusammenhang sollten Sie auch beleuchten, wie effektiv Ihr derzeitiges Security-Awareness-Programm (falls vorhanden) diese Risiken angeht.
- Bestimmen Sie Ihre kritischen IKT-Drittdienstleister und bewerten Sie ihre Schwachstellen.
- Weisen Sie das erforderliche Budget zu – sowohl für die Implementierung technischer Maßnahmen als auch für die Entwicklung und Bereitstellung von effektivem Security Awareness Training.
- Entscheiden Sie mit den Entscheidungsträgern, welche internen Maßnahmen umgesetzt werden müssen oder falls erforderlich, beauftragen Sie externe Dienstleister für diese Aufgaben.
- Einigen Sie sich mit Ihren Drittdienstleistern über die durchzuführenden Maßnahmen und wechseln Sie Ihren Dienstleister im Zweifelsfall.
- Nachdem alle Maßnahmen umgesetzt wurden, führen Sie erneut eine Lückenanalyse durch, um sicherzustellen, dass volle Compliance gegeben ist.
Wie SoSafe Sie auf dem Weg zur DORA-Compliance unterstützen kann
Im Angesicht der rasant wachsenden digitalen Bedrohungen ist die DORA-Verordnung ein wichtiger Schritt für den Finanzsektor hin zu mehr Sicherheit, Stabilität und Resilienz. Ein genauer Blick auf Ihre Anforderungen und die Implementierung eines ganzheitlichen Ansatzes – aus technischen Maßnahmen, Betriebsprozessen und Security-Awareness-Maßnahmen – ist unerlässlich, um volle Compliance mit DORA zu erreichen und das Cyberrisiko Ihrer Organisation zu reduzieren.
Ein zentraler Aspekt des Risikomanagements ist, Mitarbeitende durch kontinuierliches Awareness Training für potenzielle Bedrohungen und Risiken zu sensibilisieren. Als eine der wichtigsten Anforderungen im Bereich IKT-Risikomanagement gemäß DORA ist Awareness Training unerlässlich. Es gibt Nutzenden wichtiges Wissen und die richtigen Tools an die Hand, um mit den vielfältigen Angriffsmethoden, von denen der Finanzsektor heute betroffen ist, Schritt zu halten. Das gamifizierte Awareness Training basiert auf verhaltenspsychologischen Prinzipien und bietet detaillierte, aber dennoch leicht verdauliche Lernmodule zu den verschiedensten Angriffsmethoden. So fördert es nachhaltig sicheres Verhalten, um Bedrohungen jederzeit effektiv abzuwehren. Die E-Learning-Plattform durchbricht außerdem Sprachbarrieren, indem Inhalte in mehr als 30 Sprachen bereitgestellt werden. Mit diesem multilingualen Ansatz begegnen wir Menschen mit den unterschiedlichsten Hintergründen und erfüllen gleichzeitig die rechtlichen Anforderungen von Ländern, die Weiterbildungen in der Muttersprache voraussetzen.
Die DORA-Verordnung verlangt von Unternehmen Leitlinien einzuführen, um hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten. Mit dem Content Management Feature bietet unsere Plattform eine integrierte Lösung, um die Sicherheitsrichtlinien und Schulungsmaterialien Ihrer Organisation an einem zentralen Ort abzulegen und verfügbar zu machen – die perfekte Kombination aus Zugänglichkeit und Effizienz. Darüber hinaus macht sie es besonders leicht, zu verfolgen, wie gut Richtlinien angenommen und Anforderungen erfüllt werden. Mit SoSafe haben Sie so in Echtzeit im Blick, wie es um Ihre Compliance steht, sodass Sie Lücken schneller schließen, Fortschritte beobachten und Mitarbeitende dort abholen können, wo sie gerade stehen.
So wichtig Awareness und Vorbeugung auch sind – einige der kostspieligsten Fehler geschehen beim Erkennen und Melden von Zwischenfällen. Umständliche interne Meldeverfahren können das externe Melden von Sicherheitsvorfällen verzögern und die Compliance mit DORA-Vorgaben gefährden. Der Phishing-Meldebutton von SoSafe umfasst ein Feature namens Phish Assist. Dies ermöglicht Mitarbeitenden, Sicherheitsvorfälle umgehend zu melden und das Erkennen und Melden von Angriffen zu beschleunigen – und damit auch das externe Reporting an Dritte bzw. zuständige Behörden.
Auch die Messung des Erfolgs all dieser Risikomanagementmaßnahmen kann ohne die richtigen Tools zur Herausforderung werden. Die DORA-Verordnung setzt außerdem die Umsetzung von Risikomanagementstrategien voraus, die wichtige Kennzahlen und Risikometriken umfassen. Mit dem ISO-27001-konformen Risk und Reporting Cockpit von SoSafe können Sie den Fortschritt Ihrer Awareness-Programme nachverfolgen, detaillierte Analysen einsehen und behalten wichtige KPIs zu den menschlichen Sicherheitsrisiken Ihrer Organisation im Blick. So erfüllen Sie nicht nur alle Anforderungen der DORA-Verordnung, sie haben so zudem jederzeit die Cyberresilienz Ihrer Organisation im Blick.