IPG ist Teil der

DORA - neuer Wein in alten Schläuchen

Am 16. Januar 2023 trat der Digital Operational Resilience Act (DORA) in Kraft und bringt eine Europaweite Verordnung für die Mindestanforderungen an IT-Sicherheit in der Finanzwelt, basierend auf bewährten Konzepten aus Regelungen wie VAIT, BAIT und Kritis. Doch DORA geht in Teilen auch einen Schritt weiter, indem sie auch Dienstleister verstärkt in die Verantwortung nimmt. 

Was genau bedeutet die DORA Verordnung das für Finanzunternehmen?

DORA setzt klare Anforderungen an die Informations- und Kommunikationstechnologie, die umzusetzen sind. Unter anderem werden folgende zentrale Themen definiert:  

  • Die Implementierung eines umfassenden Risikomanagementsystems für IT-Risiken. 

  • Maßnahmen zur Sicherstellung der IT-Systeme und ihrer Verfügbarkeit. 

  • Verfahren zur Behandlung und Meldung von Störungen. 

  • Anforderungen an das Management von Drittanbietern. 

  • Regelmäßige Tests der Informations- und Kommunikationstechnologie Systeme. 

  • Regeln zum Einsatz von Cloud-Diensten, als kritisch eingestufte Dienste stehen z.B. direkt unter Aufsicht der EU-Behörden. 

Die Strafen bei Nicht-Umsetzung von DORA können je nach Schwere des Verstoßes und der Branche, in der das Unternehmen tätig ist, variieren. 

Finanzsektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 5 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen. 

Versicherungssektor: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) kann bei Verstößen gegen DORA sektorale Bußgelder bis zu 3 Mio. EUR oder 10 % des gesamten jährlichen Umsatzes des Unternehmens verhängen. 

Geschädigte Dritte können Schadensersatzansprüche gegen das Unternehmen geltend machen. 

In besonders schweren Fällen kann die Aufsichtsbehörde dem Unternehmen die Geschäftstätigkeit untersagen.

Die Umsetzung von DORA stellt für Finanzunternehmen in der EU eine große Herausforderung dar. Und die Frist für die vollständige Umsetzung schon ist der 17. Januar 2025

Warum ist IAG entscheidend für die Einhaltung von DORA?

Identity and Access Governance (IAG) spielt eine vornehmliche Rolle bei der Erfüllung der Anforderungen von DORA. Folgende IAG-Aspekte sind hierbei besonders relevant: 

1. Identitätsmanagement

  • Identifizierung und Authentifizierung: Finanzinstitute müssen sicherstellen, dass nur berechtigte Personen Zugriff auf ihre Systeme und Daten haben. Dies kann durch die Verwendung von starken Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) erreicht werden. 

  • Identitätslebenszyklusmanagement: Finanzinstitute müssen sicherstellen, dass die Identitäten der Benutzer über ihren gesamten Lebenszyklus hinweg verwaltet werden. Dazu gehören die Erstellung, Änderung und Löschung von Identitäten

2. Berechtigungsmanagement

  • Least-Privilege-Prinzip: Finanzinstitute sollten das Least-Privilege-Prinzip anwenden, d. h. Benutzern sollten nur die Berechtigungen eingeräumt werden, die sie für ihre Arbeit benötigen. 

  • Regelmäßige Überprüfung von Berechtigungen: Finanzinstitute sollten die Berechtigungen der Benutzer regelmäßig überprüfen, um sicherzustellen, dass sie weiterhin angemessen sind. 

  • Entzug von Berechtigungen: Finanzinstitute sollten in der Lage sein, Berechtigungen schnell und einfach zu entziehen, wenn ein Benutzer sie nicht mehr benötigt oder wenn es zu einem Sicherheitsvorfall kommt. 

  • Notfallzugriff und Wiederherstellung: DORA verlangt im Hinblick auf DRP (desaster recovery planning), dass Unternehmen Notfallzugriffsverfahren für den Fall von Systemausfällen oder Sicherheitsvorfällen implementieren. Dies umfasst auch die Wiederherstellung von Zugriffsrechten nach einem Vorfall. 

3. Audit und Reporting

  • Protokollierung und Überwachung: Finanzinstitute müssen alle Aktivitäten in ihren Systemen protokollieren und überwachen. Dies ermöglicht es ihnen, verdächtige Aktivitäten zu erkennen und zu untersuchen. 

  • Berichterstattung: DORA fordert von den Finanzinstituten die Berichterstattung über Sicherheitsvorfälle (Meldepflicht über IKT-Incidents). 

Sie brauchen Unterstützung bei der Umsetzung von Dora?

IPG steht Ihnen als verlässlicher Partner zur Seite, um Sie bei der Umsetzung von DORA zu unterstützen. Unsere Dienstleistungen umfassen: 

  • Beratung bei der Bewertung Ihrer aktuellen IT-Risiken: Wir helfen Ihnen, Ihre aktuellen Risiken zu identifizieren und zu bewerten. Dies bildet die Grundlage für die Entwicklung eines effektiven IT-Risikomanagementsystems. 

  • Unterstützung bei der Entwicklung eines IT-Risikomanagementsystems: Wir begleiten Sie bei der Gestaltung eines IT-Risikomanagementsystems, das genau auf Ihre Bedürfnisse zugeschnitten ist. Dieses System umfasst Aspekte wie Risikoidentifikation, -bewertung, -behandlung und die Überwachung und Berichterstattung über Risiken. 

  • Beratung bei der Implementierung von Maßnahmen zur Sicherheit und Verfügbarkeit von IT-Systemen: Wir unterstützen Sie bei der Umsetzung von Maßnahmen, um die Sicherheit und Verfügbarkeit Ihrer IT-Systeme sicherzustellen. Dazu gehören Sicherheitsrichtlinien und -verfahren, Backup- und Wiederherstellungssysteme sowie Notfallpläne. 

  • Unterstützung bei der Entwicklung von Verfahren zur Behandlung und Meldung von Störungen: Wir helfen Ihnen bei der Ausarbeitung von Prozessen zur effizienten Behandlung und Meldung von Störungen. Dadurch wird gewährleistet, dass Probleme schnell und effektiv gelöst werden, ohne Ihre Kunden zu beeinträchtigen. 

  • Beratung bei der Auswahl und Bewertung von Drittanbietern: Wir unterstützen Sie bei der Auswahl und Bewertung von Drittanbietern, die Ihre IT-Systeme und -Dienstleistungen unterstützen. Dies gewährleistet, dass Ihre IT-Ressourcen von vertrauenswürdigen Anbietern bereitgestellt werden. 

Unsere erfahrenen Berater haben bereits zahlreiche Finanzinstitute bei der Umsetzung von IT-Sicherheitskonzepten mit einem prüfungssicherem Identity and Access Governance erfolgreich begleitet. Wenn Sie Fragen zur Umsetzung dieser Verordnung haben, zögern Sie nicht, sich an uns zu wenden. Wir sind hier, um Ihnen beratend zur Seite zu stehen und Ihre Compliance sicherzustellen. 

DORA ist also nicht nur alter Wein in neuen Schläuchen; es ist eine Chance, die digitale Widerstandsfähigkeit zu stärken und den Weg für eine sicherere digitale Finanzwelt zu ebnen. Wir freuen uns darauf, Sie bei dieser wichtigen Reise zu unterstützen.  

Kontaktieren Sie uns noch heute, um mehr zu erfahren. 

Buchen Sie noch heute einen Beratungstermin
Teaserbild_Expertenbericht NIS2
Blog 09.04.24

Cybersecurity Evolution: NIS-2

Unser Expertenbericht beleuchtet die Schlüsselrolle IAM bei der Umsetzung der NIS-2 Verordnung. Welche Punkte sind zu beachten. Lesen Sie hier mehr.
Teaserbild_Expertenbericht_DORA_IAM
Blog 26.05.25

Warum DORA ein IAM braucht | IKT DORA

Sichere Einhaltung der Digitalen Betriebs Resilienz-Verordnung (DORA) der EU: Wir unterstützen Unternehmen im Finanzsektor mit geeigneter IAM-Strategie die Richtlinien einzuhalten.
Blog 09.12.24

Smarte digitale Berechtigungskonzepte mit NEXIS 4.1

Digitale Berechtigungskonzepte sind der Schlüssel zu mehr IT-Sicherheit und Effizienz. Entdecken Sie, wie NEXIS 4.1 moderne Anforderungen erfüllt und Ihre Prozesse revolutioniert.
Teaserbild Managed Service IPG
Blog 16.01.25

IAM Managed Service: Der Schlüssel zur digitalen Sicherheit

Die Vorteile von IAM Managed Services: umfassende Überwachung, schnelle Fehlerbehebung und transparente Kostenstruktur für maximale Sicherheit und Effizienz im Unternehmen. Lesen Sie hier mehr.
Blog 03.02.25

MIM End-of-Life: Strategien zur erfolgreichen Planung

Was kommt nach dem Microsoft Identity Manager? Wir zeigen Ihnen, wie Sie den Übergang erfolgreich planen – mit Optionen von schrittweiser Migration bis hin zu neuen Lösungen. Lesen Sie hier mehr.
Cyberversicherung
Blog 24.11.23

Verringerung von Cyberrisiken: Was ist versicherbar?

Warum sind Cyberversicherungen zu einem integralen Bestandteil moderner IT-Sicherheitsstrategien geworden? Welche Faktoren beeinflussen die Prämien? Wir beleuchten alle Details in unserem Blogbeitrag.
Titelbild zur Referenz IAM-Lösung, Unia
Referenz 30.09.20

UNIA

Die Einführung eines leistungsstarken IAM-Systems erlaubt es UNIA, organisatorische Abläufe zu zentralisieren und die Anforderungen an die Sicherheit und Compliance zu erfüllen.
Teaserbild nDSG CH
Blog 11.05.23

Neues Datenschutzgesetz – Schutz vor Sanktionen dank IAM

Das neue Schweizer Datenschutzgesetz stellt Unternehmen vor neue Herausforderungen. Der Expertenbericht zeigt, wie Identity & Access Management zur Umsetzung beiträgt
Teaserbild Expertenbericht IAMcloud Journey von IPG
Blog 30.03.23

Der Weg in die Cloud: Optimierung Ihres IAM

Identity Management aus der Wolke - vom On-Prem IAM zum Cloud IAM. Erfahren Sie, welche Best Practices für einen erfolgreichen Journey.
Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 10.07.25

So verheiraten Sie One Identity Safeguard & -Manager

In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln und welche Vorteile Sie dadurch genießen!
Teaserbild digitale ID Kopie
Blog 29.03.23

Digitale Identitäten als Ausweis

Was ist eine digitale Identität – und wie weit sind DACH-Länder damit? Claudio Fuchs, CEO der IPG, gibt im Experten-Interview einen kompakten Überblick und bewertet den Reifegrad.
Teaserbilg HSRM
Referenz 18.01.24

Eine zentrale IAM-Lösung für die Hochschule RheinMain

Gemeinsam mit IPG führt die Hochschule RheinMain eine neue IAM-Lösung und maßgeschneiderte Identitätsprozesse für Studierende und Mitarbeiter ein, um die Sicherheit zu erhöhen. ✅ Lesen Sie mehr dazu.

Blog 14.05.25

IAM für Künstliche Intelligenz

Welche Identität steckt hinter einer maschinellen Handlung? Wer trägt die Verantwortung? Und wie lassen sich diese Zugriffe nachvollziehbar und regelkonform gestalten? Jetzt mehr erfahren.
Teaserbild Expertenbericht IAM Brownfield
Blog 08.07.24

Der Brownfield-Ansatz im Identity and Access Management

Die Modernisierung veralteter IAM-Systeme ist essenziell für Cybersicherheit. Der Brownfield-Ansatz minimiert Risiken und senkt Kosten durch eine schrittweise Migration auf zeitgemäße Lösungen.

Teaserbild Expertenbericht Berechtigungsmanagement IAM
Blog 27.11.24

Sicheres Berechtigungsmanagement leicht gemacht!

Ein modernes IAM-System vereinfacht das Berechtigungsmanagement und schützt vor ungewolltem Zugriff. Erfahren Sie, wie Sie mit automatisierten Prozessen IT-Sicherheit und Compliance steigern.

Header zum Expertenbericht Self-Sovereign Identity 1
Blog 23.04.25

Effektives Privileged Identity Management (PIM)

PIM, PAM, PUM – was steckt dahinter? Erfahren Sie, wie sich die drei Systeme unterscheiden, wie sie zusammenhängen und welche strategischen Rollen sie im Identitäts- und Zugriffsmanagement spielen.
Blog 07.03.25

RBAC: Klare Rollen, sichere Berechtigungen

Mit Role Based Access Control (RBAC) optimieren Sie Ihr Berechtigungsmanagement mit mehr Sicherheit, weniger Kosten und klare Prozesse. Erfahren Sie, wie Sie RBAC erfolgreich einführen!
Teaserbild Expertenbericht 360 Grad Assessment IAM
Blog 19.12.22

IAM-Projekt – 360 Grad Assessment

360° Assessment – wozu ein übergreifendes Assessment, wenn man «nur» ein IAM braucht? Unsere Fach-Expertin für IAM erläutert nun, wie wir in einem «360° Assessment» Unternehmen dabei unterstützen, erfolgreich ein IAM-Projekt zu etablieren. Mehr dazu in unserem Blog.
Blog 14.03.25

Die Bedeutung des Anforderungsmanagements im IAM

Ein effektives Anforderungsmanagement ist entscheidend für den Erfolg von IAM-Projekten. Entdecken Sie in unserem Blog, wie es klare Ziele setzt, Missverständnisse vermeidet und Compliance sichert.
Teaser Expertenbericht KI und IAM
Blog 13.12.24

Braucht KI eine digitale Identität?

KI wird zunehmend autonom und übernimmt wichtige Aufgaben in Unternehmen. Wie bleibt die Kontrolle über sensible Daten gewährleistet? Wir beleuchten die Notwendigkeit digitaler Identitäten für KI.