Der Finanzsektor ist mit regulatorischen Anforderungen bestens vertraut, doch DORA stellt insbesondere im Bereich Drittanbieter und Lieferketten neue Herausforderungen dar. Eine durchgehende Compliance erfordert die Anpassung von Risikomanagementprozessen und Service-Level-Agreements. Ein Kommentar von Andre Troskie, EMEA Field CISO bei Veeam.
Im Gegensatz zu anderen Wirtschaftsbereichen, die ebenfalls die NIS2 einhalten müssen, sind dem Finanzsektor strenge Vorschriften nicht fremd. Diese Organisationen haben hart an ihren Strategien für die Resilienz von Daten und die Cybersicherheit gearbeitet. Auch wenn sie mit DORA eine zusätzliche Vorschrift zu erfüllen haben, sollte die Lücke zwischen dem jetzigen und dem erforderlichen Stand der Dinge überschaubar sein, zumindest was ihre internen Abläufe betrifft.
Eine ganz andere Sache ist es, wenn es um Angebote und Dienstleistungen Dritter und die gesamte Lieferkette geht. Denn es spielt keine Rolle, wie vorbildlich man in Sachen Compliance aufgestellt ist – Unternehmen, die nicht garantieren können, dass relevante Partner die Vorschriften ebenfalls einhalten, werden Schwierigkeiten haben, die ganzheitliche Einhaltung der Regularien nachzuweisen, was zu möglichen Geldstrafen oder anderen negativen Auswirkungen führen kann.
Unternehmen müssen zumindest sicherstellen, dass über die gesamte Lieferkette hinweg robuste Risikomanagementprozesse implementiert werden. In diesem Zusammenhang müssen Unternehmen die Neuverhandlung aller Service-Level-Agreements (SLAs) von Drittanbietern verlangen, um die Einhaltung von DORA als wesentliche Voraussetzung für die Zusammenarbeit zu festigen. Auch wenn es zeitaufwändig ist, dürfen Unternehmen keinesfalls unterschätzen, wie wichtig es ist, dass auch Dritte die geltenden Vorschriften einhalten.
#Veeam
