DORA als Triebfeder für die Cloud-Migration im Finanzsektor

Nach nicht unerheblicher Vorlaufzeit liegt der Digital Operational Resilience Act (kurz DORA) nun endlich auf dem Tisch. Das neue Regelwerk der Europäischen Union, das für alle 27 Mitgliedstaaten bindend ist, sieht eine Reihe von Leitlinien vor, nach denen Finanzdienstleister die Resilienz ihrer Betriebsabläufe nachweisen müssen. Oder konkreter: Dass sie in der Lage sind, unvorhergesehen Störungen zu widerstehen. DORA deckt sämtliche Teilnehmer des Finanzsystems ab, von Kreditinstituten über Versicherungsunternehmen bis hin zu Wertpapierfirmen.

Eine Einigung über den Regulationsentwurf wurde im Mai 2022 erzielt, die formelle Verabschiedung erfolgt voraussichtlich bis Ende 2022. Konformität mit der DORA-Verordnung gewährleisten müssen Finanzdienstleister zwar erst ab Ende 2024 – die Frist für die Anwendung beträgt 24 Monate. Doch viele beginnen bereits jetzt mit der Planung, um die Vorgaben rechtzeitig erfüllen zu können.

Aus unserer Sicht ist die Bedeutung von DORA insbesondere aus drei Gründen enorm:

1. IKT-Risikomanagement fällt bei Finanzdienstleistern de facto in den Verantwortungsbereich der Führungsebene. Als Folge davon werden die Auswirkungen disruptiver Ereignisse wie der Pandemie oder der Ukraine-Krise für Verbraucher, aber auch für den Finanzsektor selbst weniger stark zu spüren sein.
   
   
2. Ein klares Rahmenwerk legt jetzt die von Finanzdienstleistern zu erfüllenden Vorgaben zur Stärkung ihrer Widerstandskraft fest. Diese umfassen verschiedene Anforderungen an das IKT-Risikomanagement einschließlich Meldepflichten im Falle von Sicherheitsvorfällen. Einige davon sollen zudem in sogenannten technischen Regulierungsstandards (Regulatory Technical Standards, RTS) näher definiert werden. Da diese streng normativ sein werden, lassen sich potenzielle Fehlinterpretationen ausschließen und so auch eine einheitliche Umsetzung gewährleisten.
   
   
3. In den Anwendungsbereich der Verordnung fallen auch sogenannte „kritische“ Drittanbieter (Third-Party Provider, TPP), zu denen Cloud Service Provider (CSP) ebenfalls gezählt werden. Entsprechend schneller dürften Finanzdienstleister den Weg in die Cloud finden. Dies nicht zuletzt auch deshalb, weil Regulierungsbehörden Multi-Cloud-Strategien als Mittel zur Stärkung der Resilienz den Vorzug geben.

Wie kommt nun Splunk ins Spiel, wenn es um die Planung von Finanzdienstleistern hinsichtlich der Erfüllung der DORA-Vorgaben geht?

Splunk bietet ein Portfolio aus Lösungen, die sich ideal in die IKT-Risikomanagement-Anforderungen der Verordnung einfügen. Denn ganz allgemein geht es dabei darum, dass Finanzdienstleister Monitoring-Strukturen für ihren Technologiebestand implementieren und adäquate Maßnahmen zur Risikominimierung im Kontext der Bereitstellung kritischer Geschäftsdienstleistungen umsetzen müssen. Die hierfür nötigen Features deckt Splunk ebenso ab wie solche, die voraussichtlich zur Erfüllung der technischen Regulierungsstandards erforderlich sein werden – insbesondere die Erkennung von und Reaktion auf technologiebezogene Probleme sowie Cyber-Bedrohungen. Hinzu kommen umfassende Reporting-Möglichkeiten, um auch den Meldepflichten im Falle von „schweren Vorfällen“ vollumfänglich nachzukommen.

Mit seiner Methodik, Observability und Security nahtlos miteinander zu vereinen, macht es Splunk dabei möglich, die spezifischen Anforderungen der Verordnung umfassend datenfundiert zu adressieren. Nicht zuletzt in einer Zeit, in der politische, soziale und wirtschaftliche Turbulenzen zunehmend die Normalität prägen, werden disruptive Ereignisse so leichter bewältigbar. Denn gestützt auf Daten lässt sich die mittlere Reaktionszeit (Mean Time to Respond, MTTR) – und damit der wohl wichtigste KPI für die Resilienz eines Unternehmens – auf ein Minimum reduzieren. Flankiert wird all dies zudem durch ganzheitliches Monitoring hybrider Umgebungen – ein entscheidender Aspekt angesichts des immer weiter voranschreitenden Trends in Richtung Hybrid- und Multi-Cloud.

Ihr möchtet mehr erfahren?

Weitere Informationen findet ihr auf der Splunk-Website zum Thema Unternehmensresilienz. Ihr seid bereits Splunk Kunde? Dann wendet euch einfach direkt an euren Account Manager oder kontaktiert uns hier.

*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.