Resilienz gegenüber Cyberangriffen und IT-Ausfällen ist im digitalen Zeitalter nicht mehr nur ein Thema für Grossunternehmen. Auch Schweizer KMU müssen sich verstärkt mit ihrer digitalen Widerstandsfähigkeit auseinandersetzen. Die neue EU-Verordnung DORA (Digital Operational Resilience Act), die ab 2025 indirekt auch Schweizer KMU betreffen könnte, wirft eine zentrale Frage auf: Sind kleinere Unternehmen ausreichend auf digitale Störungen vorbereitet? Welche Massnahmen sollten KMU ergreifen, um ihre Geschäftsprozesse zu schützen und in einer zunehmend digitalisierten Welt wettbewerbsfähig zu bleiben?
Was ist DORA?
Die DORA-Norm (Digital Operational Resilience Act) ist ein EU-weites Gesetz, das die digitale Betriebsresilienz im Finanzsektor stärkt. Ziel ist es, sicherzustellen, dass Finanzunternehmen im Falle von IT-Ausfällen, Cyberangriffen oder anderen Krisen handlungsfähig bleiben. DORA stellt klare Anforderungen an das Management von Cyber-Risiken, die operative Widerstandsfähigkeit und die Abhängigkeit von Drittanbietern, insbesondere im Finanzsektor.
Wer ist von DORA betroffen?
Die DORA-Verordnung richtet sich an den gesamten Finanzsektor sowie an Drittanbieter, die Schnittstellen zu diesen Unternehmen haben. Dazu gehören unter anderem:
- Finanzinstitute: Banken, Versicherungen und Finanzmarktinfrastrukturen.
- Digitale Infrastruktur: Datenzentren, Cloud-Dienste, Internet-Austauschplattformen und Suchmaschinen, die in direktem Zusammenhang mit Finanzdienstleistungen stehen.
Diese Verordnung betrifft daher nicht nur die grossen internationalen Finanzakteure, sondern auch die Dienstleister, die indirekt Teil des Finanzökosystems sind.
Bis wann muss DORA umgesetzt werden und inwiefern werden Schweizer Unternehmen davon betroffen sein?
Die DORA-Verordnung tritt 2025 in Kraft und betrifft den gesamten EU-Finanzsektor sowie Drittanbieter, die mit diesen Unternehmen zusammenarbeiten. Auch Schweizer KMU können davon betroffen sein, wenn sie Geschäftsbeziehungen mit EU-Finanzunternehmen pflegen oder digitale Dienstleistungen für diese erbringen. Um weiterhin mit EU-Firmen kooperieren zu können, müssen sie bis 2025 sicherstellen, dass ihre IT-Sicherheits- und Resilienz Strategien den DORA-Anforderungen entsprechen.
Was müssen betroffene Unternehmen nun tun?
Um den Anforderungen der DORA-Verordnung gerecht zu werden, sollten betroffene Schweizer Unternehmen folgende Schritte unternehmen:
- Schulung und Sensibilisierung: Mitarbeitende, insbesondere in den Bereichen IT-Sicherheit und Risikomanagement, müssen zu den DORA-Anforderungen geschult werden, um die digitale Resilienz zu erhöhen.
- Drittanbieter-Management: Schweizer Unternehmen, die mit EU-Finanzinstituten zusammenarbeiten oder diese bedienen, sollten die eigenen Drittanbieter-Risiken bewerten und steuern, um sicherzustellen, dass alle externen Partner DORA-konform sind.
- Regelungen zur Cybersicherheit: Schweizer Finanzinstitute müssen ihre bestehenden Cybersicherheitsrichtlinien überprüfen und hinsichtlich der DORA-Vorgaben anpassen.
- Technologie und Infrastruktur: Investitionen in Technologien, die für eine hohe Verfügbarkeit und Resilienz sorgen, sind erforderlich. Schweizer Unternehmen müssen sicherstellen, dass ihre IT-Infrastruktur robust genug ist, um potenziellen Bedrohungen standzuhalten.
- Zusammenarbeit mit Aufsichtsbehörden: Die schweizerischen Aufsichtsbehörden könnten ähnliche Anforderungen in ihre eigenen Vorschriften aufnehmen, was die Einhaltung internationaler Standards betrifft. Daher ist ein enger Dialog mit den entsprechenden Institutionen ratsam.
So können wir Sie unterstützen
Die Umsetzung der DORA-Verordnung erfordert gezielte Anpassungen in verschiedenen Bereichen Ihres Unternehmens. Wir bieten Ihnen umfassende Unterstützung, um sicherzustellen, dass Sie die Anforderungen vollständig erfüllen:
- Assessment und Gap-Analyse
Wir untersuchen Ihr Informationssicherheits-Managementsystem (ISMS und führen eine Standortanalyse durch, um Handlungsbedarfe zu erkennen, bei denen Ihr Unternehmen die DORA-Richtlinien bzw. das IKT noch nicht vollständig erfüllt.
- Risiko-Management
Wir helfen Ihnen, ein Risiko-Managementsystem in Ihrem Unternehmen zu etablieren bzw. Ihr vorhandenes Risikomanagement zu optimieren. Dies umfasst die Durchführung von Risikoanalysen, einschliesslich der Durchführung von Risikoanalysen und der Identifizierung von Massnahmen zum Schutz vor Cyberrisiken.
- Notfall- und Krisenmanagement (Business Continuity Management)
Wir bauen mit Ihnen ein robustes Notfall- und Krisenmanagement auf, um die Geschäftskontinuität im Falle eines grösseren Cybervorfalls aufrechtzuerhalten. Dazu zählen unter anderem die Wiederherstellung von IT-Systemen, das Erstellen von Notfallplänen sowie der Aufbau einer Krisenmanagementorganisation.
- Schulung und Awareness
Unser Awareness-Service bietet umfassende Schulungen, inklusive Phishing-Simulationen, um Ihre Mitarbeiter auf mögliche Bedrohungen vorzubereiten.
- Penetrationtesting
Wir führen für Sie das Penetrationtesting durch, um um Sicherheitslücken zu identifizieren und gezielte Verbesserungen an Ihrer Sicherheitsstrategie vorzunehmen.
Handeln Sie jetzt, um rechtzeitig bis Januar 2025 DORA-konform zu werden!
Um die Anforderungen der DORA-Verordnung rechtzeitig zu erfüllen und sich vor zukünftigen Cyber-Risiken zu schützen, ist es entscheidend, dass Unternehmen jetzt proaktiv handeln. Denn der Januar ist schneller da, als Ihnen vielleicht lieb ist. Beginnen Sie sofort mit einer umfassenden Betroffenheitsanalyse, um Schwachstellen zu identifizieren und direkt in die Umsetzung der DORA-Vorgaben einzusteigen.
Mit unserer Expertise begleiten wir Sie bei jedem Schritt - von der Gap-Analyse bis zur Optimierung Ihrer IT-Sicherheitsstrategie. Sprechen Sie uns an und machen Sie Ihr Unternehmen fit für die Anforderungen der digitalen Zukunft!