Praxishandbuch Digital Operational Resilience Act | DORA
1. Aufl. 2025
Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
S. 1115. Meldung von Vorfällen und Bedrohungen
5.1. Einleitung
„Wir wurden gestern Opfer einer Ransomware-Attacke. Ein erheblicher Teil unserer Daten wurde verschlüsselt. Leider sind auch unsere Backups betroffen, sodass wir keine andere Wahl haben, als den Erpressern das geforderte Lösegeld zu zahlen. Die Wiederherstellung der betroffenen Daten und Systeme wird mehrere Wochen in Anspruch nehmen.“ Mit diesen Worten könnte ein Unternehmenssprecher seiner Pflicht nachkommen, die Kunden und Aktionäre Ihrer Bank über einen schwerwiegenden Vorfall zu informieren.
Anhand dieses Beispiels wird die Wichtigkeit eines wirksamen Prozesses für die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Informations- und Kommunikationstechnologien; Definition siehe Abschnitt 5.2.2.) deutlich. Kapitel III, Artikel 17 bis 23, der DORA-Verordnung verpflichtet die europäischen Finanzunternehmen dazu, einen solchen Managementprozess zu implementieren. Unter Anwendung dieses Prozesses wird eine rasche und effektive Reaktion mit dem Ziel sichergestellt, das Eintreten von IKT-bezogenen Vorfällen möglichst zu vermeiden bzw dessen negative Auswirkungen auf ein akzeptables Minimum zu reduzieren.
D...