Zurück
Cybersicherheitstraining & Software für Unternehmen | MetaCompliance

Produkte

Entdecken Sie unser Angebot an personalisierten Sicherheitsschulungen, die Ihr Team gegen moderne Cyberbedrohungen wappnen und schulen sollen. Von der Verwaltung von Richtlinien bis hin zu Phishing-Simulationen - unsere Plattform stattet Ihre Mitarbeiter mit dem Wissen und den Fähigkeiten aus, die zum Schutz Ihres Unternehmens erforderlich sind.

Cyber Security eLearning

eLearning zur Cybersicherheit: Entdecken Sie unsere preisgekrönte eLearning-Bibliothek, die für jede Abteilung maßgeschneidert ist

Automatisierung des Sicherheitsbewusstseins

Planen Sie Ihre jährliche Sensibilisierungskampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie Phishing-Angriffe mit preisgekrönter Phishing-Software auf der Stelle

Richtlinienmanagement

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutz-Management

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Management von Zwischenfällen

Übernehmen Sie die Kontrolle über interne Vorfälle und beheben Sie, was wichtig ist

Zurück
Industrie

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiesektor bis hin zum Gesundheitswesen - erfahren Sie, wie unsere Lösungen in verschiedenen Branchen für Furore sorgen. 


Finanzdienstleistungen

Schaffung einer ersten Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine Go-To Security Awareness Lösung für Regierungen

Unternehmen

Eine Lösung für die Schulung des Sicherheitsbewusstseins für große Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur des Sicherheitsbewusstseins - auch zu Hause

Sektor Bildung

Engagierte Sicherheitsschulung für den Bildungssektor

Beschäftigte im Gesundheitswesen

Siehe unser maßgeschneidertes Sicherheitsbewusstsein für Mitarbeiter im Gesundheitswesen

Technische Industrie

Veränderung der Sicherheitsschulung in der Technologiebranche

NIS2-Konformität

Unterstützen Sie Ihre Nis2-Compliance-Anforderungen mit Initiativen zur Sensibilisierung für Cybersicherheit

Zurück
Ressourcen

Ressourcen

Von Postern und Richtlinien bis hin zu ultimativen Leitfäden und Fallstudien - unsere kostenlosen Informationsmaterialien können dazu beitragen, das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern.

Bewusstsein für Cybersicherheit für Dummies

Eine unverzichtbare Ressource für die Schaffung einer Kultur des Cyber-Bewusstseins

Dummies Leitfaden für Cyber-Sicherheit Elearning

Der ultimative Leitfaden für die Implementierung von effektivem Cyber Security Elearning

Ultimativer Leitfaden für Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Aufklärungsposter

Laden Sie diese kostenlosen Poster herunter, um die Wachsamkeit der Mitarbeiter zu erhöhen

Anti-Phishing-Politik

Schaffung einer sicherheitsbewussten Kultur und Förderung des Bewusstseins für Cybersicherheitsbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cybersicherheit von A-Z

Ein Glossar der wichtigsten Begriffe zur Cybersicherheit

Reifegradmodell für das Verhalten im Bereich Cybersicherheit

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Zeugs

Laden Sie unsere kostenlosen Awareness-Assets herunter, um das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern

Zurück
MetaCompliance | Cybersicherheitstraining & Software für Mitarbeiter

Über

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung auf dem Markt für Cybersicherheit und Compliance und bietet eine innovative Lösung für die Sensibilisierung der Mitarbeiter für die Informationssicherheit und die Automatisierung des Vorfallsmanagements. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cybersicherheit, Datenschutz und Compliance zu erfüllen.

Warum uns wählen

Erfahren Sie, warum Metacompliance der vertrauenswürdige Partner für Security Awareness Training ist

Spezialisten für Mitarbeiterengagement

Wir machen es einfacher, Mitarbeiter einzubinden und eine Kultur des Cyber-Bewusstseins zu schaffen

Automatisierung des Sicherheitsbewusstseins

Einfaches Automatisieren von Sicherheitsschulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Was ist der Digital Operational Resilience Act (DORA)?

DORA

über den Autor

Diesen Beitrag teilen

DORA betrifft den EU-Finanzdienstleistungssektor, und diese Gesetzgebung ist dabei, in der Finanzindustrie Wellen zu schlagen. Hier ein Blick auf einige der DORA-Verpflichtungen, die Finanzinstitute einhalten müssen.

Der Finanzdienstleistungssektor ist seit langem ein technologischer Innovator und Vorreiter. Die Fortschritte im Bank- und Finanzwesen haben dazu geführt, dass der digitale Wandel in der Branche rasant vorangekommen ist. Doch neue Technologien und neue Arbeitsweisen locken Cyberkriminelle an. Das Ergebnis ist, dass die Angriffe auf den Finanzsektor sprunghaft ansteigen.

Im Jahr 2021 verzeichnete das Bankwesen einenAnstieg der Ransomware-Angriffeum 1.318 % , und 65 % der großen Finanzorganisationen waren 2020 von einem Cyberangriff betroffen. Die Schwere der immer komplexeren und schädlicheren Cyberangriffe im Finanzsektor hat dazu geführt, dass eine neue Gesetzgebung in das Lexikon der Finanzdienstleistungsregulierung aufgenommen wurde, die den Namen DORA (Digital Operational Resilience Act) trägt.

DORA-Grundlagen

Der erste Entwurf der DORA wurde am 24. September 2020 veröffentlicht und am 10. September 2022 vom Europäischen Parlament gebilligt. Die Gesetzgebung wird eine zentrale Rolle im "digitalen Finanzpaket" spielen, das Innovation und Wettbewerb im Bereich der digitalen Finanzen ermöglichen und gleichzeitig die Risiken, die sich aus der Digitalisierung der Branche ergeben, abfedern soll.

Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) dient daher als Rechtsgrundlage für DORA; die Gesetzgebung konzentriert sich auf die Harmonisierung von Cybersicherheitsrichtlinien im gesamten Sektor. 

Die EU nutzt gerne regulatorische Mittel, um bewährte Praktiken zu konsolidieren und zu harmonisieren; die GDPR ist ein Beispiel für eine harmonisierte Datenschutzverordnung; DORA ist der Versuch der EU, das IKT-Risikomanagement im gesamten Finanzsektor zu konsolidieren und zu verbessern, wobei sich DORA auf EU-Finanzdienstleistungsunternehmen und ihre (kritischen) IKT-Anbieter auswirkt.

DORA wird Unternehmen des Finanzsektors dazu verpflichten, Maßnahmen zum Schutz vor IKT-bezogenen Risiken zu ergreifen: DORA erweitert die Anforderungen auf Dritte, wie z. B. Cloud-Anbieter.

Welche Verpflichtungen verlangt DORA vom Finanzsektor?

Ziel ist es, ein widerstandsfähiges Umfeld für das gesamte Ökosystem der Finanzdienstleistungen zu schaffen. Der DORA zugrunde liegende Rahmen basiert auf einer Reihe von Regeln, die den Finanzinstituten helfen sollen, robuste Risikomanagementverfahren zu entwickeln. Zu den Kernanforderungen und dem Geltungsbereich von DORA gehören u. a. die folgenden:

Anwendungsbereich von DORA

Nahezu alle Arten von Finanzunternehmen fallen unter die DORA. Zu den betroffenen Unternehmen gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Assets, alternative Investmentfonds, Versicherungsmanager usw. Eine Ausnahme bilden Wirtschaftsprüfer, die derzeit nicht unter die DORA-Vorschriften fallen, was sich jedoch in künftigen Fassungen des Gesetzes wahrscheinlich ändern wird. Eine vollständige Liste der erfassten Einrichtungen findet sich in Artikel 2 des DORA.

IKT-Anbieter, die Dienstleistungen für unter das DORA fallende Unternehmen erbringen, müssen sich ebenfalls an das Gesetz halten. IKT-Anbieter werden als Dreh- und Angelpunkt des Finanzsektors betrachtet und unterliegen als solche strengen Regeln im Rahmen von DORA. Kritische, nicht in der EU ansässige IKT-Dienstleister für Finanzunternehmen in der EU müssen eine Tochtergesellschaft in der EU gründen.

ICT-Anbieter und DORA

Das Risikomanagement für Dritte ist ein wichtiger Bestandteil von DORA. Die Konzentration auf IKT-Anbieter ist eine Reaktion auf die Zunahme von Angriffen auf die Lieferkette, wie z. B. das SolarWinds Orion Software-Update. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) meldete, dass die Angriffe auf die Lieferkette immer raffinierter und umfangreicher werden, wobei die Angreifer die Lieferkette ins Visier nehmen, um Daten und finanzielle Vermögenswerte zu stehlen. DORA koordiniert die Anforderungen mit Hilfe bestehender Rahmenwerke wie den Outsourcing-Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA). (Siehe auch DORA Artikel 14)

Im Rahmen von DORA können Finanzunternehmen einige IKT-Anbieter als "kritisch" einstufen. Ein kritischer IKT-Anbieter, der Dienstleistungen für ein von der DORA erfasstes Unternehmen erbringt, unterliegt somit strengen Vorschriften, die in direkter Zusammenarbeit mit den EU-Behörden für Finanzdienstleistungen (FS) durchgesetzt werden.

Wichtige Maßnahmen zur Cybersicherheit

Die Kernwerte der DORA-Gesetzgebung sind die Aufrechterhaltung widerstandsfähiger IKT-Systeme. Um dies zu erreichen, wurden die folgenden Leitlinien aufgestellt:

Risikomanagement und Resilienz

Das Kernstück von DORA sind Risikomanagement-Leitlinien, die dem Finanzdienstleistungssektor helfen sollen, widerstandsfähigere Infrastrukturen aufzubauen. Die daraus resultierenden Risikomanagementprogramme und -bewertungen dienen als Grundlage für die Prüfung der Widerstandsfähigkeit. Darüber hinaus erwartet der Gesetzgeber, dass Analysen der Auswirkungen auf den Geschäftsbetrieb auf der Grundlage von Szenarien für "schwere Geschäftsunterbrechungen" durchgeführt werden müssen.

Es wird erwartet, dass Ausfallsicherheits- und Schwachstellentests von unabhängigen Experten durchgeführt werden und regelmäßige bedrohungsgesteuerte Penetrationstests beinhalten. Wichtig ist, dass alle kritischen IKT-Systeme jährlich getestet werden sollten.

Schutzmaßnahmen (siehe auch Artikel 8)

Beispiele für erforderliche Schutzmaßnahmen sind:

  • Verwenden Sie angemessene und umfassende Richtlinien für Patches und Updates.
  • Implementierung von Richtlinien und Protokollen für starke Authentifizierungsmechanismen
  • Verfolgen Sie einen risikobasierten Ansatz, um ein solides Netz- und Infrastrukturmanagement aufzubauen.
  • Umsetzung von Richtlinien, die den physischen und virtuellen Zugang zu IKT-Systemressourcen und -Daten begrenzen
  • Verhindern von Informationsverlusten

ICT-Störfallmanagement

Artikel 15 enthält Einzelheiten zu den Anforderungen an die Bewältigung und Kontrolle von Sicherheitsvorfällen, einschließlich Verfahren zur "Erkennung, Bewältigung und Meldung von IKT-bezogenen Vorfällen und Einrichtung von Frühwarnindikatoren als Warnhinweise".

Meldung von Cybersicherheitsvorfällen

Die betroffenen Unternehmen müssen ein Mittel zur Überwachung, Beschreibung und Meldung aller wesentlichen IKT-gestützten Vorfälle an die zuständigen Behörden bereitstellen. Für kritische IKT-Anbieter gelten strenge Meldevorschriften. Sie sehen vor, dass eine erste Meldung spätestens bis zum Ende des Geschäftstages erfolgen muss, oder, wenn der erhebliche Vorfall später als zwei Stunden vor Ende des Geschäftstages eingetreten ist, spätestens vier Stunden nach Beginn des nächsten Geschäftstages.

Spätestens eine Woche nach der ersten Meldung muss ein Zwischenbericht vorgelegt werden, gefolgt von einem Abschlussbericht, wenn die Ursachenanalyse abgeschlossen ist, spätestens einen Monat nach Übermittlung des ersten Berichts.

Management und Sicherheitsverantwortung

DORA legt die Verantwortung für IKT-Risiken und Cyber-Bedrohungen in die Hände der Führungsebene von Finanzdienstleistern. Die Durchführung von Schulungen zum Sicherheitsbewusstsein trägt dazu bei, dass die Führungsebene und das gesamte Unternehmen sicherheitsorientiert sind.

DORA deckt auch wesentliche Aspekte des Cybersicherheitsmanagements und der Reaktion darauf ab, wie etwa den Informationsaustausch (siehe Artikel 40).

Wie geht es weiter mit DORA?

Die Verordnung sieht eine 24-monatige Umsetzungsfrist für Finanzunternehmen und ihre kritischen Drittdienstleister ab dem Inkrafttreten der Gesetzgebung vor. Daher wird den betroffenen Unternehmen empfohlen, die 24 Monate zwischen dem Inkrafttreten der Verordnung und der Umsetzung der entsprechenden Maßnahmen zu nutzen, um eine Lückenanalyse durchzuführen: Maßnahmen wie bedrohungsorientierte Penetrationstests und strenge Meldevorschriften könnten andernfalls durch diese Lücke fallen.

Sicherheitsschulung für Drittanbieter (Security Awareness Training)

Andere Artikel zu Cyber Security Awareness Training, die Sie interessieren könnten