Wie Engineering- und Sicherheitsteams die technischen Anforderungen von DORA erfüllen können

Jedes in der Europäischen Union tätige Finanzunternehmen muss die Anforderungen des Digital Operational Resilience Act (DORA) erfüllen. DORA konzentriert sich darauf, ob Systeme Störungen im Zusammenhang mit IKT standhalten, darauf reagieren und sich davon erholen können und ob dies mit Nachweisen belegt werden kann.

Für Engineering-, Sicherheits- und Risikoteams ergibt sich daraus eine praktische Anforderung. Die operative Ausfallsicherheit muss in Live-Systemen beobachtbar sein, kontinuierlich getestet werden und über einen längeren Zeitraum hinweg nachvollziehbar sein.

Dieser Artikel erläutert die technischen Erwartungen von DORA und wie Aikido deren Umsetzung unterstützt.

TL;DR

DORA verlangt von EU-Finanzinstituten, dass sie ihre operative Widerstandsfähigkeit in der Praxis unter Beweis stellen. Aikido unterstützt die technische Umsetzung von DORA durch kontinuierliche Sichtbarkeit von Schwachstellen, Validierung der Ausnutzbarkeit, Widerstandsfähigkeitstests und compliance Nachweise für Code-, Cloud- und Laufzeitumgebungen.

Worum es bei DORA geht

DORA gilt seit dem 17. Januar 2025 für Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und andere regulierte Finanzunternehmen in der EU.

Es wurde eingeführt, um wiederholten Störungen der Informations- und Kommunikationstechnologie (IKT) entgegenzuwirken, die durch Software-Schwachstellen, Ausfälle von Drittanbietern und uneinheitliche Vorgehensweisen bei der Bearbeitung von Vorfällen in den Mitgliedstaaten verursacht wurden. DORA schafft einen einheitlichen, sektorspezifischen Rahmen, der sich auf messbare Ergebnisse konzentriert.

Die Aufsichtsbehörden erwarten von den Organisationen, dass sie nachweisen können, dass sie in der Lage sind:

• ICT-Vorfälle schnell erkennen
  
• Effektiv reagieren und sich erholen
  
• Nachweis erbringen, dass Kontrollen unter Betriebsbedingungen funktionieren
  

Die fünf Säulen von DORA

Aus technischer Sicht basiert DORA auf fünf Säulen:‍‍

1. ICT-Risikomanagement: Wissen, welche Systeme Sie betreiben, wo Ihre Risiken liegen und wie Sie diese täglich verwalten.
2. Vorfallmeldung: Vorfälle schnell erkennen und innerhalb strenger gesetzlicher Fristen melden.
   
3. Digitale Tests zur Betriebsstabilität: Regelmäßige Tests der Fähigkeit Ihrer Systeme, Störungen standzuhalten und sich davon zu erholen.
   
4. ICT-Risikomanagement durch Dritte: Verständnis und Management der Risiken, die durch Anbieter, Lieferanten und Abhängigkeiten entstehen.
5. Informationsaustausch: Austausch von Bedrohungsaufklärung Stärkung der Widerstandsfähigkeit im gesamten Finanzökosystem.

Jede Säule hat direkte Auswirkungen darauf, wie Systeme aufgebaut, überwacht und getestet werden.

Was DORA für Ingenieurteams bedeutet

Sichere Entwicklungspraktiken

Artikel 9 Absatz 4 Buchstabe e verpflichtet Organisationen dazu, Sicherheitspraktiken zu dokumentieren, Schwachstellen zu verfolgen und nachzuweisen, wie Resilienz in die Softwarebereitstellung integriert wird. Sicherheitskontrollen müssen in Entwicklungsworkflows und CI/CD-Pipelines integriert werden.

Verantwortlichkeit für Abhängigkeiten

Gemäß Artikel 28 fallen Abhängigkeiten von Dritten und Open-Source-Komponenten vollständig in den Geltungsbereich. Wenn eine Abhängigkeit zu Störungen oder Sicherheitslücken führt, liegt die Verantwortung weiterhin beim Finanzunternehmen. Die Teams müssen wissen, welche Abhängigkeiten verwendet werden, wo sie ausgeführt werden und wie schnell Probleme behoben werden können.

Rückverfolgbarkeit und Nachweisbarkeit

Entwicklungsteams müssen nachweisen können, was bereitgestellt wurde, wann es live gegangen ist, welche Sicherheitsprüfungen durchgeführt wurden und wer die Änderung genehmigt hat. Build-Protokolle, Versionskontrolle und Sicherheitstools müssen einen überprüfbaren Prüfpfad erzeugen.

Was DORA für Sicherheits- und Risikoteams bedeutet

Kontinuierliche Risikosichtbarkeit

DORA erwartet ein kontinuierliches Bewusstsein darüber, was in der Produktion läuft, welche Schwachstellen bestehen und welche Risiken zu einem bestimmten Zeitpunkt ausgenutzt werden können. Regelmäßige Bewertungen sind nicht ausreichend.

Automatisierte Schwachstellenbehandlung

Manuelles Tracking ist nicht skalierbar. Die Zeitpläne für Erkennung, Priorisierung und Behebung müssen durch automatisierte Systeme mit klaren Zuständigkeiten unterstützt werden.

Realitätsnahe Dokumentation

Wenn Vorfälle auftreten, müssen Organisationen nachweisen, wann das Problem entdeckt wurde, wie es bewertet wurde, wer es bearbeitet hat und wie schnell es gelöst wurde. Die Nachweise müssen das tatsächliche Systemverhalten widerspiegeln.

Wie sich DORA von anderen Frameworks unterscheidet

DORA ersetzt weder ISO 27001, NIS2 noch SOC 2. Es führt strengere, branchenspezifische Anforderungen ein, die sich auf operative Ergebnisse konzentrieren.

DORA fungiert als lex specialis, was bedeutet, dass beispielsweise im Falle eines Konflikts zwischen DORA und NIS2 DORA Vorrang hat. Die Vorschriften sind speziell auf die Risiken des Finanzsektors zugeschnitten und strenger als andere regulatorische Rahmenwerke.

Warum Compliance der DORA-Vorschriften in der Praxis schwierig Compliance

Große und sich schnell verändernde Codebasen machen es schwierig, jede Änderung und Genehmigung nachzuverfolgen. Moderne Anwendungen basieren auf Hunderten von Abhängigkeiten, oft ohne klare Sichtbarkeit hinsichtlich Bereitstellung und Gefährdung. Sicherheitstools sind fragmentiert und erzeugen Daten über mehrere Systeme hinweg, die bei Audits miteinander in Beziehung gesetzt werden müssen.

Wie Aikido die technischen Anforderungen von DORA Aikido

Aikido ist eine KI-gestützte Plattform, die die Sicherheitstransparenz über Quellcode, Abhängigkeiten, Cloud-Infrastruktur, Container und Laufzeitumgebungen hinweg zentralisiert.

Aikido Governance-Rahmenwerke noch Verfahren zur Reaktion auf Vorfälle oder die Meldepflicht gegenüber Aufsichtsbehörden. Es liefert vielmehr die technischen Signale und Nachweise, auf denen diese Prozesse basieren.

Digitale Tests zur Betriebsstabilität und Aikido

DORA verlangt von Organisationen, dass sie ihre operative Widerstandsfähigkeit unter realistischen Bedingungen testen. Das bloße Aufdecken von Schwachstellen reicht nicht aus.

Aikido die Prüfung der Belastbarkeit durch:

• Kontinuierliche DAST Live-Anwendungen
  
• Container Kubernetes-Sicherheit
  
• Aikido nutzt KI-gesteuerte Penetrationstests, um realistische Angriffswege zu simulieren und die Ausnutzbarkeit zu validieren.
  
• AutoFix und Auto Triage zur Verkürzung der Behebungszeit und zur Nachverfolgung der Wiederherstellungswirksamkeit
  

Unterstützung von DORA in der Praxis

DORA verlangt nachweisbare operative Resilienz, die durch Belege untermauert wird. Aikido bietet die technische Transparenz, Testfunktionen und auditfähigen Daten, die Unternehmen dabei helfen, diese Erwartungen in Live-Systemen zu erfüllen.

Governance, Incident Response und regulatorisches Engagement bleiben unverzichtbar. Aikido , dass diese Prozesse auf genauen, aktuellen technischen Daten basieren.

Das könnte Ihnen auch gefallen:

• Warum europäische Unternehmen Aikido ihren Cybersicherheitspartner wählen
• Einhaltung des Cyber Resilience Act CRA) mithilfe von Aikido
• Wie Aikido Deloitte Entwickelnde in Unternehmen Deloitte
• Wie man die UK Cybersecurity & Resilience Bill einhält: Ein praktischer Leitfaden für moderne Engineering-Teams