Digitales Territorium und Souveränität
23 Januar 2024
Warum die DORA-Verordnung nicht nur eine "Finanzsektor"-Version der NIS2 ist
"Warum nach der NIS2 auch noch die DORA-Verordnung?" Das ist eine berechtigte Frage für Unternehmen, die bereits mit einer Vielzahl von Vorschriften konfrontiert sind. Aber es gibt erhebliche Unterschiede zwischen NIS2 und DORA. Obwohl die DORA-Verordnung speziell auf den Finanzsektor abzielt, gehen diese Unterschiede über ihren Anwendungsbereich hinaus.
Eine für den Finanzsektor und von ihm verfasste Verordnung
Erstens lässt sich der Ursprung der DORA-Verordnung - des Digital Operations Resilience Act - auf den Basler Ausschuss für Bankenaufsicht zurückführen und nicht auf die Europäische Union oder einen ihrer Mitgliedstaaten.
Dies unterstreicht die Tatsache, dass das Gesetz aus dem Finanzsektor heraus vorangetrieben wurde, was Diskussionen über die "wahren" Absichten hinter DORA überflüssig macht. Man könnte sagen, dass es sich um eine Verordnung handelt, die für und vom Finanzsektor geschrieben wurde.
Die DORA-Verordnung versus die NIS2-Richtlinie
Zweitens gibt es einen bemerkenswerten Unterschied in Bezug auf die Harmonisierung zwischen den EU-Mitgliedstaaten. Bei der NIS2 handelt es sich um eine Richtlinie, die es den Ländern ermöglicht, Regeln auf der Grundlage ihrer spezifischen nationalen Bedürfnisse zu entwickeln. Im Gegensatz dazu ist DORA eine Verordnung, die den Mitgliedstaaten keinen Ermessensspielraum lässt.
Das bedeutet, dass wir in allen EU-Mitgliedstaaten eine exakte Kopie von DORA sehen werden.
Dieser Grad an rechtlicher Harmonisierung stellt nicht nur den höchsten Standard innerhalb der EU dar, sondern zeigt auch, dass die Union die Fragilität des Finanzmarktes erkannt hat. Die Erinnerung an die Finanzkrise von 2008 ist noch lebendig, und die Vernetzung des digitalen Zeitalters erhöht die Priorität der Cybersecurity. Die Angst vor einer möglichen Finanzkrise, die durch Cyberangriffe auf Finanzdienstleistungen verursacht wird, ist sicherlich sehr berechtigt.
Deshalb müssen alle Mitgliedstaaten die gleichen Regeln für ihren Finanzsektor annehmen.
Was sind die Anforderungen von DORA?
Was sind nun die Anforderungen von DORA? Sie folgt demselben Rezept wie die NIS2 und legt den Schwerpunkt auf organisatorische (Managementrahmen), operative (tägliche Überwachung und Meldung von Zwischenfällen) und technische Maßnahmen (Penetrationstests).
Wie kann Orange Cyberdefense helfen?
Mit unserer umfassenden Erfahrung im Bereich der Cybersecurity kann Orange Cyberdefense Ihr zuverlässiger Partner sein, wenn es darum geht, das erforderliche Schutzniveau zu erreichen und Ihre Bemühungen um die Einhaltung der DORA-Verordnung zu unterstützen.
Wenn Sie mehr über die spezifischen Verpflichtungen und Empfehlungen für Ihr Unternehmen gemäß NIS2 oder der DORA-Verordnung erfahren möchten, wenden Sie sich an uns. Wir beraten Sie sehr gerne zu diesem Thema.
Mehr zur Einhaltung von Vorschriften
Den Weg zu einem sicheren digitalen Europa ebnen
16 Januar 2024
Der ICT-Risikorahmen von DORA: Wer ist für was verantwortlich?
13 Oktober 2023
Was sind die wichtigsten Komponenten des Digital Operational Resilience Act (DORA), der von der Europäischen Union eingeführt wurde? Und wer ist in Ihrem Unternehmen für die einzelnen Komponenten zuständig? Finden Sie es in diesem Blog heraus.