Im November 2022 verabschiedete der Europäische Rat die Verordnung über die digitale Resilienz (DORA-Verordnung), um die Resilienz von Finanzunternehmen gegenüber Cyberangriffen zu verbessern. Dieses Ziel erreicht die DORA-Verordnung durch die Straffung und Harmonisierung der Anforderungen in der Europäischen Union für die Sicherheit von Informationssystemen und Netzwerken von Unternehmen, die im Finanzsektor tätig sind, sowie von wichtigen Dienstleistern im Bereich der IKT (Informations- und Kommunikationstechnologien).
Die wichtigsten Grundpfeiler DORA-Verordnung sind:
Die DORA-Verordnung gilt für ein umfassendes Spektrum von Finanzdienstleistern, darunter Banken, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen und Anbieter von Krypto-Assets und viele mehr. Vor allem aber definiert die DORA-Verordnung kritische IKT-Dienste, die für Finanzunternehmen erbracht werden. Wenn ein Unternehmen kritische IKT-Dienstleistungen für ein Finanzunternehmen anbietet, unterliegt es der direkten Regulierungsaufsicht im Rahmen der DORA-Verordnung. Dazu gehören z. B. Cloud-Plattformen und Datenanalytikdienste.
Die DORA-Verordnung trat mit einer Umsetzungsfrist von zwei Jahren am 16. Januar 2023 in Kraft. Es wird erwartet, dass die Finanzunternehmen und ihre IKT-Anbieter und -Dienstleister die Verordnung bis zum 17. Januar 2025 umsetzen.
Unternehmen, die gegen die Vorschriften der Verordnung verstoßen, können mit Geldbußen von bis zu zwei Prozent ihres weltweiten Gesamtjahresumsatzes oder, im Falle einer Einzelperson, mit einer Höchststrafe von 1.000.000 € belegt werden. Die Höhe der Geldbuße hängt von der Schwere des Verstoßes und der Kooperationsbereitschaft des Finanzunternehmens mit den Behörden ab.
Learn how our data protection and access management solutions can help comply with DORA, NIS 2, GDPR, PCI DSS 4.0 and ISO 27001.
Die DORA-Verordnung legt Rahmen und Leitlinien für das Risikomanagement fest, die den Aufbau ausgereifter Risikomanagementprogramme und die Verbesserung der operationalen Resilienz unterstützen sollen.
Artikel 8.1:
„… ermitteln und klassifizieren Finanzunternehmen … Informations-Assets …“
CipherTrust Data Discovery and Classification erkennt strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Integrierte Templates ermöglichen eine schnelle Identifizierung regulierter Daten, machen Sicherheitsrisiken sichtbar und tragen dazu bei, Lücken bei der Einhaltung von Bestimmungen aufzudecken.
Artikel 9.2:
„… hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden …“
Schutz von Data-at-Rest:
CipherTrust Data Security Platform bietet mehrere Funktionen zum Schutz von Data-at-Rest in Dateien, Volumes und Datenbanken. Dazu gehören:
Schutz von Data-in-Motion:
High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren Lösungen zur Netzwerkverschlüsselung bieten Kunden einen besseren Schutz von Daten, Videos, Anrufen und Metadaten vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen – ohne dass Abstriche bei der Leistung gemacht werden müssen. Thales HSEs sind sowohl als physische als auch als virtuelle Appliances erhältlich und unterstützen ein breites Spektrum an Netzwerkgeschwindigkeiten von 10 Mbit/s bis 100 Gbit/s.
Artikel 9.3, b:
„… das Risiko von Datenkorruption oder -verlust, unbefugtem Zugriff und technischen Mängeln … minimieren …“
Die Identitäts- und Zugriffsmanagementprodukte und -lösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts. Durch starke Authentifizierung (MFA), granulare Zugriffsrichtlinien und fein abgestufte Autorisierungsrichtlinien wird sichergestellt, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält, wodurch das Risiko eines unbefugten Zugriffs minimiert wird.
Artikel 9.4, c:
„… sie implementieren Richtlinien, die den physischen oder logischen Zugang zu Informations- und IKT-Assets ausschließlich auf den Umfang beschränken, der für rechtmäßige und zulässige Funktionen und Tätigkeiten erforderlich ist, und …“
Thales OneWelcome Identity Platform ermöglicht es Unternehmen, den Zugriff auf vertrauliche Ressourcen durch den Einsatz von MFA (einschließlich phishing-resistenter Authentifizierung) und granularen Zugriffsrichtlinien virtuell (oder logisch) zu beschränken. SafeNet IDPrime Smartcards können für die Realisierung des physischen Zugangs zu sensiblen Einrichtungen genutzt werden.
Das Thales OneWelcome Consent & Preference Management-Modul ermöglicht es Unternehmen, die Zustimmung von Endverbrauchern einzuholen, sodass Finanzunternehmen einen klaren Überblick über die zugestimmten Daten haben und so den Zugriff auf die Daten, die sie nutzen dürfen, verwalten können.
Artikel 9.4, d:
„… starke Authentifizierungsmechanismen …“
„… Schutzmaßnahmen für kryptografische Schlüssel, wobei Daten … verschlüsselt werden.“
SafeNet Trusted Access ist eine Cloud-basierte Lösung für das Zugriffsmanagement, mit der Sie ganz einfach den Zugriff auf Cloud-Dienste und Unternehmensanwendungen über eine integrierte Plattform verwalten können, die Single-Sign-on mit Multi-Faktor-Authentifizierung und szenariobasierten Zugriffsrichtlinien kombiniert.
Die Angebote von Thales Key Management rationalisieren und stärken die Schlüsselverwaltung in Cloud- und Unternehmensumgebungen für eine Vielzahl von Anwendungsfällen.
Hardware Security Models (HSM) schützen kryptografische Schlüssel und bieten eine nach FIPS 140-2 Level 3 gehärtete, manipulationssichere Umgebung für sichere kryptografische Verarbeitung, Schlüsselerzeugung und -schutz, Verschlüsselung und mehr.
Artikel 10.1:
„… anomale Aktivitäten … zu erkennen … Nutzeraktivitäten … zu überwachen …“
Die Sicherheitsprotokolle und -berichte von CipherTrust Transparent Encryption optimieren die Compliance-Berichterstattung und beschleunigen die Erkennung von Bedrohungen mithilfe führender SIEM-Systeme (Security Information and Event Management).
Die CipherTrust Transparent Encryption Ransomware Protection-Erweiterung erkennt Aktivitäten, die auf Ransomware hindeuten (exzessiver Datenzugriff, Exfiltration, nicht autorisierte Verschlüsselung oder Nachahmung mit bösartigen Aktionen).
SafeNet Trusted Access ermöglicht es Unternehmen, auf Datenschutzverletzungen zu reagieren und Risiken zu minimieren, indem es einen sofortigen, aktuellen Audit-Trail für alle Zugriffsereignisse auf alle Systeme bereitstellt.
Die DORA-Verordnung unterstreicht die Notwendigkeit, das Risiko von ICT-Drittanbietern zu bewältigen sowie das Erfordernis für Finanzunternehmen „Exit-Strategien“ zu haben.
Thales hilft Unternehmen, die Drittanbieterrisiken zu reduzieren, indem es Schlüsselmanagement und Verschlüsselung einsetzt, um eine strikte Aufgabentrennung zwischen Finanzunternehmen und Drittanbietern durchzusetzen und bei Bedarf die Übertragbarkeit von Workloads auf andere Anbieter zu gewährleisten.
Artikel 28.8:
„Für IKT-[Drittanbieter-]Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, richten Finanzunternehmen Ausstiegsstrategien ein.“
„… Schutzmaßnahmen für kryptografische Schlüssel, wobei Daten … verschlüsselt werden.“
CipherTrust Cloud Key Manager kann die Drittanbieterrisiken reduzieren, indem er die zum Schutz von sensiblen Daten, die von Drittanbietern in der Cloud im Rahmen von „Bring Your Own Keys“-Systemen (BYOK) gehostet werden, eingesetzten Schlüssel on-premises unter der vollständigen Kontrolle des Finanzunternehmens verwaltet.
CipherTrust Transparent Encryption bietet eine vollständige Trennung der administrativen Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können.
Thales Data Security bietet das umfassendste Spektrum an Datenschutzlösungen, wie Thales Data Protection on Demand (DPoD), das integrierte Hochverfügbarkeit und Backups über die Cloud-basierten Luna Cloud HSM- und CipherTrust Key Management-Dienste sowie die HSE Network Encryption Appliances, die Optionen zur Zeroisierung bieten.
Thales helps organizations comply with DORA by addressing essential requirements for risk management and managing third party risk. Thales helps organizations by: Identifying and classifying sensitive data for risk assessment Protecting data at rest, in use, and in motion...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.
Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.
Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.
