APA (Approved Publication Arrangement)
Ein APA ist ein genehmigtes Publikationssystem, das in DORA zur Einhaltung von Transparenzanforderungen bei der Veröffentlichung von Handelsdaten für den Finanzsektor verwendet wird.

ARM (Approved Reporting Mechanism)
Ein ARM ist ein genehmigter Mechanismus zur Berichterstattung, über den Finanzunternehmen regulatorische Daten an die zuständigen Behörden übermitteln können. Dies ist wichtig für die Einhaltung von Meldepflichten.

Asset-Management
Das IKT-Asset-Management bezieht sich auf die systematische Erfassung, Verwaltung und Klassifizierung aller digitalen Ressourcen eines Unternehmens, wie Hardware (Server, Netzwerkinfrastruktur), Software (Anwendungen, Betriebssysteme) und Daten. Im Rahmen von DORA spielt das Asset-Management eine entscheidende Rolle, da es Unternehmen dabei hilft, kritische Systeme und Prozesse zu identifizieren, die für den Geschäftsbetrieb unverzichtbar sind. Ziel ist es, den Schutz und die Verfügbarkeit dieser Ressourcen sicherzustellen und zu gewährleisten, dass sie den Anforderungen an Sicherheit und Resilienz entsprechen. Ein gut strukturiertes Asset-Management ist die Grundlage für die Umsetzung aller weiteren Sicherheits- und Resilienzmaßnahmen im Unternehmen.

Audits und Inspektionen

Regelmäßige und unangekündigte Überprüfungen durch Aufsichtsbehörden, um die Konformität der Finanzunternehmen mit DORA-Vorgaben zu bewerten.

Austausch von Bedrohungsinformationen

Ein strukturierter Prozess, bei dem Finanzunternehmen und Behörden Informationen über Cyber-Bedrohungen teilen, um frühzeitig Risiken zu erkennen und Sicherheitsmaßnahmen zu stärken. Dieser Austausch umfasst technische Details zu Sicherheitsvorfällen, Schwachstellen und Erkenntnisse aus Vorfallanalysen.

Ausstiegsstrategien
Strategien und Pläne, die es Finanzinstituten ermöglichen, sich aus Verträgen mit IKT-Drittdienstleistern zurückzuziehen, ohne dass der Betrieb unterbrochen wird oder regulatorische Anforderungen verletzt werden. Sie umfassen alternative Lösungen und Notfallmaßnahmen für den Fortbestand kritischer Funktionen.

Backup- und Redundanz-Strategien
Strategien zur regelmäßigen Datensicherung und Einrichtung redundanter Systeme, die kritische Daten schnell wiederherstellen und die Betriebsfähigkeit im Falle eines Ausfalls gewährleisten.

BAIT (Bankaufsichtliche Anforderungen an die IT)
BAIT sind die Bankaufsichtlichen Anforderungen an die IT, eine deutsche Verordnung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die IT-Sicherheitsstandards und IT-Risikomanagement-Vorgaben für Banken und Finanzinstitute formuliert. Die BAIT legt Anforderungen an die Governance von IT-Systemen, das IT-Risikomanagement und die Absicherung kritischer Systeme und Daten fest. Durch die Einführung von DORA werden die Anforderungen der BAIT jedoch teilweise ersetzt und erweitert, um eine einheitliche europäische Grundlage für die digitale Resilienz zu schaffen. Ab dem 17. Januar 2025 wird die BAIT außer Kraft gesetzt, um Überschneidungen zu vermeiden und Doppelsysteme in der Regulierung abzubauen.

BCP (Business Continuity Planning)
Business Continuity Planning (BCP) ist die strategische Planung zur Sicherstellung der Kontinuität kritischer Geschäftsprozesse im Falle von Unterbrechungen, z. B. durch Cyberangriffe oder technische Ausfälle. Die BCP legt fest, wie ein Unternehmen auch in Krisenzeiten handlungsfähig bleibt und schnell auf potenzielle Risiken reagieren kann. DORA verlangt von Unternehmen, dass sie detaillierte BCPs entwickeln und implementieren, die neben den Geschäftsprozessen auch alle IT- und IKT-Systeme abdecken. Hierzu gehören die Identifizierung von Schlüsselprozessen, die Festlegung von Wiederherstellungszeiten und die Implementierung von Notfallplänen, um eine schnelle Wiederaufnahme des Betriebs zu ermöglichen.

Bedrohungsorientierte Penetrationstests (TLPT)
Tests, die auf realistischen Bedrohungsszenarien basieren und dazu dienen, die Widerstandsfähigkeit von Finanzunternehmen gegen echte Angriffe zu überprüfen. Diese Tests werden regelmäßig durchgeführt und berücksichtigen aktuelle Taktiken und Techniken von Cyberangreifern.

Berufsgeheimnis

Die Verpflichtung für alle in DORA involvierten Behörden und Institutionen, vertrauliche Informationen, die während der Überwachung und des Informationsaustauschs erlangt wurden, nur für festgelegte Zwecke zu verwenden und nicht unbefugt weiterzugeben.

CCP (Central Counterparty)
Eine zentrale Gegenpartei ist eine Finanzinstitution, die als Vermittler zwischen Käufer und Verkäufer agiert, um das Risiko im Handel zu minimieren. DORA beinhaltet auch Anforderungen an die digitale Resilienz von CCPs.

Computer Security Incident Response Team (CSIRT)
Ein spezialisierter Dienst, der technische Informationen und Unterstützung bei der Reaktion auf sicherheitsrelevante IKT-Vorfälle bietet. CSIRTs unterstützen bei der Analyse und Bewältigung von Vorfällen und können Empfehlungen zur Verbesserung der Cybersicherheit geben.

CSIRT (Computer Security Incident Response Team)
Ein CSIRT ist ein Team, das auf IT-Sicherheitsvorfälle reagiert und deren Auswirkungen minimiert. In DORA werden CSIRTs als wichtige Akteure für den Informationsaustausch und das Vorfallmanagement betrachtet.

Cyberangriff
Ein böswilliger IKT-bezogener Vorfall, bei dem ein Angreifer versucht, die Integrität, Vertraulichkeit oder Verfügbarkeit eines Vermögenswerts zu schädigen, unbefugt zu nutzen oder zu zerstören.

Cyberbedrohung
Ein potenziell schädliches Ereignis, das die Sicherheit und Integrität von IKT-Systemen gefährden kann. DORA fordert die Überwachung und Abwehr solcher Bedrohungen zur Erhöhung der Resilienz.

Cyberresilienz
Cyberresilienz beschreibt die Fähigkeit eines Unternehmens, sich gegen Cyberangriffe und Bedrohungen zu schützen, auf diese zu reagieren und sich von ihren Auswirkungen zu erholen. Im Rahmen von DORA wird die Cyberresilienz als Kernanforderung formuliert, da Finanzinstitute durch Cyberrisiken besonders gefährdet sind. Cyberresilienz umfasst verschiedene Maßnahmen, darunter präventive Sicherheitsmaßnahmen (wie Firewalls und Verschlüsselung), reaktive Maßnahmen (wie Incident-Response-Strategien) und organisatorische Maßnahmen (wie regelmäßige Mitarbeiterschulungen). Ziel ist es, nicht nur die Systeme zu schützen, sondern auch die Geschäftskontinuität im Ernstfall aufrechtzuerhalten und sicherzustellen, dass das Unternehmen auch nach einem Cyberangriff schnell wieder betriebsfähig ist

Digitale operationale Resilienz
Die Fähigkeit eines Finanzunternehmens, seine betriebliche Integrität und Verlässlichkeit aufrechtzuerhalten, selbst bei IKT-bezogenen Störungen. Diese umfasst Maßnahmen zur Prävention, Erkennung, Reaktion und Wiederherstellung.

Delegierte Rechtsakte
Gesetzliche Instrumente, mit denen die Europäische Kommission befugt ist, technische Details der Verordnung anzupassen, um DORA flexibel an die sich ändernden Anforderungen des Cybersicherheitsumfelds anzupassen.

DORA (Digital Operational Resilience Act)
DORA ist eine Verordnung der Europäischen Union, die darauf abzielt, die digitale Widerstandsfähigkeit von Finanzinstituten zu stärken und eine sichere IT-Infrastruktur im Finanzsektor zu gewährleisten. DORA legt Anforderungen an das Risikomanagement, Vorfallmanagement, die Überwachung von Drittparteien und die Meldepflichten fest und verlangt von Unternehmen, dass sie die Resilienz ihrer digitalen Systeme regelmäßig überprüfen und verbessern. Ziel ist es, einen einheitlichen regulatorischen Rahmen für die IT-Sicherheit und die digitale Resilienz im Finanzsektor zu schaffen und so die Stabilität des europäischen Finanzmarktes zu gewährleisten. DORA ist Teil des Digital Finance Package und stellt sicher, dass alle Unternehmen im Finanzsektor widerstandsfähig gegenüber digitalen Bedrohungen sind.

DORF (Digital Operational Resilience Function)
Die Digital Operational Resilience Function (DORF) ist eine spezialisierte Funktion oder Abteilung, die in Unternehmen eingeführt werden muss, um die Anforderungen von DORA zu überwachen und durchzusetzen. Die DORF ist dafür verantwortlich, alle Aspekte der digitalen Resilienz zu koordinieren, einschließlich der Identifikation von Risiken, der Implementierung von Sicherheitsmaßnahmen und der Berichterstattung an die Geschäftsführung und Regulierungsbehörden. Die DORF fungiert als zentrale Anlaufstelle für alle Belange der digitalen Resilienz und stellt sicher, dass die DORA-Anforderungen effizient und umfassend umgesetzt werden.

Disaster Recovery
Disaster Recovery ist ein wichtiger Bestandteil des Business Continuity Managements und umfasst Maßnahmen zur Wiederherstellung von IT-Systemen und Daten nach einem schwerwiegenden Vorfall oder Ausfall. Disaster-Recovery-Pläne legen fest, wie Unternehmen nach einem Cyberangriff, einem technischen Ausfall oder einer Naturkatastrophe schnell wieder funktionsfähig werden können. DORA fordert die Implementierung von Disaster-Recovery-Strategien, um sicherzustellen, dass Unternehmen im Falle eines Vorfalls in der Lage sind, den normalen Betrieb so schnell wie möglich wieder aufzunehmen und den Schaden zu minimieren. Disaster-Recovery-Pläne beinhalten typischerweise Backups, alternative IT-Infrastrukturen und regelmäßige Tests.

DRP (Disaster Recovery Plan)
Ein DRP ist ein Notfallwiederherstellungsplan, der beschreibt, wie ein Unternehmen auf schwerwiegende IT-Ausfälle reagieren und den Betrieb wieder aufnehmen kann. DORA fordert solche Pläne, um die Resilienz zu stärken.

EBA (European Banking Authority)
Die Europäische Bankenaufsichtsbehörde (EBA) ist eine unabhängige Behörde der EU, die für die Regulierung und Überwachung des Bankensektors in der Europäischen Union zuständig ist. Die EBA unterstützt die Umsetzung von DORA, indem sie Leitlinien und Standards zur digitalen Resilienz entwickelt und die Finanzinstitute bei der Einhaltung der Vorschriften unterstützt. Sie arbeitet eng mit den nationalen Aufsichtsbehörden zusammen und trägt zur Harmonisierung der Standards und Best Practices bei, um die Sicherheit und Stabilität des europäischen Finanzsystems zu gewährleisten.

ECB (European Central Bank)
Die EZB, die Europäische Zentralbank, ist die zentrale Bank der Eurozone. Sie spielt eine Rolle in der Koordinierung der DORA-Anforderungen, insbesondere bei der Überwachung von Systemrisiken im Finanzsekto

ENISA (European Union Agency for Cybersecurity)
ENISA ist die EU-Agentur für Cybersicherheit, die DORA unterstützt, indem sie technische Standards entwickelt und die Sicherheitslage im Finanzsektor analysiert.

ESMA (European Securities and Markets Authority)
Die ESMA ist die Europäische Wertpapier- und Marktaufsichtsbehörde und für die Überwachung und Regulierung der Wertpapiermärkte in der EU verantwortlich. Sie entwickelt technische Standards für die Umsetzung von DORA.

Erkennung von Bedrohungen und Anomalien
Mechanismen zur Überwachung und Erkennung ungewöhnlicher Aktivitäten und potenzieller Angriffe im Netzwerk, um schnell auf sicherheitsrelevante Vorfälle zu reagieren.

Erstmeldung
Die erste Meldung eines schwerwiegenden IKT-bezogenen Vorfalls, die von Finanzunternehmen an die zuständigen Behörden übermittelt wird. Sie dient dazu, die Behörden frühzeitig über den Vorfall und seine potenziellen Auswirkungen zu informieren.

Erweiterte Tests
Tests, die zusätzlich zu den regulären Tests zur digitalen Resilienz durchgeführt werden und speziell auf bedrohungsorientierte Penetrationstests (TLPT) abzielen. Diese erweiterten Tests fokussieren sich auf die kritischen und wichtigen Funktionen eines Finanzunternehmens und finden mindestens alle drei Jahre statt.

ESA (European Supervisory Authorities)
Die Europäischen Aufsichtsbehörden, darunter EBA, ESMA und EIOPA, koordinieren die Umsetzung von DORA und stellen sicher, dass die Resilienzstandards im gesamten Finanzsektor einheitlich angewendet werden.

Eskalationsprotokoll
Ein Eskalationsprotokoll ist eine festgelegte Struktur zur Weitergabe und Bearbeitung von sicherheitsrelevanten Vorfällen, um sicherzustellen, dass kritische Ereignisse schnell an die richtigen Stellen weitergeleitet werden. DORA verlangt von Unternehmen die Implementierung eines Eskalationsprotokolls, um die Effizienz der Reaktion auf Vorfälle zu erhöhen. Das Protokoll legt fest, wann und wie ein Vorfall eskaliert werden muss, welche Entscheidungsträger informiert werden sollen und welche Maßnahmen zur Eindämmung des Vorfalls eingeleitet werden. Dies ermöglicht eine rasche Reaktion und verhindert, dass ein Vorfall größere Schäden verursacht.

EIOPA (European Insurance and Occupational Pensions Authority)
Die EIOPA ist die Europäische Aufsichtsbehörde für das Versicherungs- und Pensionswesen und ist für die Aufsicht über Versicherungen in der EU verantwortlich. Sie arbeitet an der Entwicklung von Standards zur Unterstützung der DORA-Umsetzung im Versicherungsbereich.

EZB (Europäische Zentralbank)
Die EZB ist die Zentralbank der Eurozone und arbeitet mit anderen europäischen Behörden zusammen, um sicherzustellen, dass DORA-Anforderungen zur Cyber-Resilienz von Finanzinstitutionen umgesetzt werden.

Finanzökosystem
Das Finanzökosystem umfasst alle Unternehmen, Finanzdienstleister, Behörden und weitere Akteure, die im Finanzsektor tätig sind und miteinander in Verbindung stehen. DORA zielt darauf ab, dieses Ökosystem widerstandsfähiger gegen digitale Risiken zu machen, indem einheitliche Standards und Vorschriften für die Resilienz und Cybersicherheit implementiert werden. Das Ziel ist es, die gesamte Finanzbranche gegen Cyberbedrohungen und digitale Risiken abzusichern, um die Stabilität des Finanzsystems in der EU zu stärken.

Finanzunternehmen
Umfasst eine breite Palette an Unternehmen, wie z. B. Kreditinstitute, Zahlungsinstitute, Versicherungen, Krypto-Dienstleister und weitere systemrelevante Akteure im Finanzsektor.

Frühwarnsysteme
Systeme zur frühzeitigen Erkennung potenzieller IKT-bezogener Vorfälle. Sie ermöglichen eine schnelle Identifikation und Reaktion auf Bedrohungen und unterstützen die Eskalation und Behandlung von Vorfällen.

Gap-Analyse
Eine Gap-Analyse ist ein systematisches Verfahren zur Identifikation und Bewertung von Lücken zwischen den bestehenden Prozessen eines Unternehmens und den Anforderungen von DORA. Sie hilft Unternehmen, ihre derzeitigen Sicherheits- und Resilienzmaßnahmen zu evaluieren und zu identifizieren, welche Anpassungen nötig sind, um die DORA-Standards vollständig zu erfüllen. Die Gap-Analyse umfasst die Bewertung von Prozessen, Technologien und organisatorischen Strukturen und ist ein zentraler Schritt zur Erreichung der Compliance mit DORA.

GDPR (General Data Protection Regulation)
Die Datenschutz-Grundverordnung ist eine EU-Verordnung, die den Datenschutz und die Privatsphäre in der EU schützt. DORA ist darauf ausgerichtet, auch die datenschutzrechtlichen Aspekte im Rahmen der Cyber-Resilienz zu berücksichtigen.

Gebündelte TLPT (Threat-Led Penetration Testing)
Ein TLPT, an dem mehrere Finanzunternehmen beteiligt sind, die denselben IKT-Drittdienstleister nutzen. Diese Tests simulieren Angriffsszenarien auf die gemeinsamen Systeme und Dienstleistungen des Drittdienstleisters und werden unter der Leitung eines benannten Finanzunternehmens durchgeführt.

Harmonisierung des Meldeprozesses
Die Bestrebungen der europäischen Aufsichtsbehörden zur Vereinheitlichung der Meldestandards und -verfahren für schwerwiegende IKT-bezogene Vorfälle, um die Effizienz und Vergleichbarkeit der Berichterstattung zu verbessern.

ICS (Internal Control System)
Ein internes Kontrollsystem umfasst Verfahren und Maßnahmen zur Sicherstellung der Compliance und Risikominimierung. DORA erfordert, dass Finanzinstitute über geeignete Kontrollmechanismen zur Sicherstellung der IKT-Sicherheit verfügen.

ICT (Information and Communication Technology)
IKT steht für Informations- und Kommunikationstechnologie und ist ein zentraler Bestandteil der digitalen Infrastruktur von Finanzunternehmen. DORA verlangt ein robustes IKT-Risikomanagement, um die Resilienz gegen Cyberbedrohungen zu stärken.

IKT (Informations- und Kommunikationstechnologie)
Informations- und Kommunikationstechnologie (IKT) umfasst alle technischen Systeme, die zur Verarbeitung, Speicherung und Übertragung von Informationen dienen, einschließlich Hardware, Software, Netzwerke und Datenbanken. DORA richtet sich gezielt auf die Resilienz dieser IKT-Systeme, da sie für den Geschäftsbetrieb von Finanzunternehmen unerlässlich sind. Die Verordnung verlangt, dass Unternehmen ihre IKT-Systeme regelmäßig auf Schwachstellen überprüfen und Maßnahmen zur Sicherung der Verfügbarkeit und Vertraulichkeit implementieren.

IKT-Asset
Ein digitales Asset in Form von Software oder Hardware, das von Finanzunternehmen genutzt wird und im Rahmen des IKT-Risikomanagements geschützt werden muss.

IKT-bezogener Vorfall
Ein unerwartetes Ereignis, das die Sicherheit von Netzwerk- und Informationssystemen beeinträchtigt und nachteilige Auswirkungen auf die Datenverfügbarkeit, Integrität oder Vertraulichkeit hat.

IKT-Drittdienstleister
Unternehmen, das IKT-Dienstleistungen für Finanzunternehmen bereitstellt. Diese Beziehungen müssen gemäß DORA sorgfältig verwaltet werden, um die erforderlichen Sicherheitsstandards zu gewährleisten.

IKT-Drittparteiengebühren
Gebühren, die von kritischen IKT-Drittdienstleistern erhoben werden, um die Kosten für Überwachung und regulatorische Maßnahmen im Rahmen von DORA zu decken.

IKT-Drittparteienrisiko
Risiken, die durch die Nutzung von IKT-Dienstleistungen von Drittanbietern entstehen und potenziell die digitale Resilienz und den Betrieb von Finanzinstituten beeinträchtigen können.

IKT-Drittparteienrisiko-Managementfunktion
Eine spezifische Funktion innerhalb eines Finanzinstituts, die sich auf das Management von Risiken konzentriert, die durch die Zusammenarbeit mit IKT-Drittdienstleistern entstehen. Sie überwacht die Einhaltung der Sicherheitsanforderungen und berichtet regelmäßig an die Geschäftsführung.

IKT-Konzentrationsrisiko
Das Risiko, das entsteht, wenn mehrere Finanzinstitute auf einen einzelnen IKT-Drittdienstleister angewiesen sind. Dies kann zu systemischen Risiken führen, da der Ausfall eines zentralen Anbieters weite Teile des Finanzsystems gefährden könnte.

IKT-Risikomanagement
IKT-Risikomanagement bezieht sich auf die systematische Identifikation, Bewertung und Steuerung von Risiken, die mit der Nutzung von Informations- und Kommunikationstechnologie verbunden sind. DORA verlangt von Unternehmen, dass sie ein umfassendes IKT-Risikomanagement implementieren, um potenzielle Bedrohungen frühzeitig zu erkennen und angemessene Maßnahmen zur Risikominderung zu ergreifen. Dies umfasst die Bewertung von Bedrohungen wie Cyberangriffen, Systemausfällen und Datenverlusten sowie die Implementierung von Sicherheitsstrategien, um die Widerstandsfähigkeit des Unternehmens zu erhöhen.

Incident-Management-Systeme
Spezielle Systeme, die Finanzunternehmen einsetzen, um IKT-bezogene Vorfälle zu überwachen, zu erkennen und schnell zu eskalieren. Diese Systeme unterstützen den gesamten Prozess der Vorfallbehandlung, von der Identifikation bis zur Berichterstattung.

Incident-Response-Prozesse
Incident-Response-Prozesse sind standardisierte Abläufe zur Erkennung, Bewertung und Behandlung von sicherheitskritischen Ereignissen, wie z. B. Cyberangriffen, Datenpannen oder Systemausfällen. DORA fordert von Unternehmen, dass sie robuste Incident-Response-Prozesse implementieren, um Vorfälle frühzeitig zu erkennen und angemessene Gegenmaßnahmen einzuleiten.

Informationsaustausch über Cyberbedrohungen
Vorgabe, um Bedrohungen besser zu verstehen und gemeinsam effektive Abwehrmaßnahmen zu entwickeln. Finanzunternehmen sollen Informationen zu Cyberbedrohungen und Schwachstellen austauschen.

Informationsregister für IKT-Drittparteienverträge
Ein Verzeichnis, das alle Verträge eines Finanzinstituts mit IKT-Drittdienstleistern enthält. Es wird regelmäßig aktualisiert und den Aufsichtsbehörden zur Überprüfung bereitgestellt.

Informationsasset
Eine Sammlung schützenswerter materieller oder immaterieller Informationen, die im Rahmen der IKT-Sicherheit geschützt werden sollten.

Informationssicherheitsrichtlinien (ISR)
Informationssicherheitsrichtlinien (ISR) sind Regelwerke zur Sicherung der Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Informationen. DORA fordert die Implementierung solcher Richtlinien und verlangt eine kontinuierliche Überwachung durch die "2. Linie", also eine unabhängige Überwachungsfunktion innerhalb des Unternehmens.

Interessenkonflikte bei internen Tests
Potenzielle Konflikte, die auftreten können, wenn ein interner Tester für TLPTs verwendet wird. Finanzunternehmen sind verpflichtet, sicherzustellen, dass keine Interessenkonflikte entstehen, die die Unabhängigkeit und Objektivität der Tests beeinträchtigen könnten.

ISMS (Information Security Management System)
Ein ISMS ist ein Rahmenwerk für das Management und den Schutz von Informationen. DORA verlangt von Finanzinstituten, dass sie ein ISMS implementieren, um Cybersicherheitsrisiken zu bewältigen.

IoT (Internet of Things)
Das Internet der Dinge bezieht sich auf vernetzte Geräte und Systeme. DORA fordert, dass Finanzinstitute die Sicherheitsrisiken, die durch IoT-Geräte entstehen, überwachen und managen.

Jährliche Risikoüberprüfung
Ein jährlicher Prozess, bei dem alle bestehenden IKT-Risiken bewertet und aktualisiert werden. Diese Überprüfung ist ein wesentlicher Bestandteil der DORA-Compliance, um sicherzustellen, dass das Unternehmen auf dem neuesten Stand der Risikobewältigung bleibt und auf neue Bedrohungen reagiert.

JON (Joint Operations Network)
Ein Netzwerk für gemeinsame Operationen, das in DORA zur Förderung der Überwachung und des sektorübergreifenden Informationsaustauschs eingerichtet werden kann, um Cyberrisiken im gesamten Finanzsektor zu adressieren.

Klassifizierungskriterien für IKT-Vorfälle
Ein Satz von Kriterien, nach denen Finanzunternehmen IKT-bezogene Vorfälle einordnen und priorisieren sollen. Diese Kriterien umfassen unter anderem die geografische Reichweite, die betroffene Kundenzahl und die wirtschaftlichen Auswirkungen eines Vorfalls.

Kooperation im Krisenfall

Die koordinierte Zusammenarbeit zwischen Finanzunternehmen und Aufsichtsbehörden im Falle eines Sicherheitsvorfalls oder einer Krise. Ziel ist es, durch schnelle Reaktion und Austausch von Informationen die Auswirkungen eines Vorfalls zu minimieren.

Korrekturmaßnahmen
Maßnahmen, die Finanzunternehmen ergreifen, um identifizierte Schwachstellen und Sicherheitslücken zu beheben. Diese umfassen sowohl technische Anpassungen als auch organisatorische Maßnahmen wie Schulungen und die Aktualisierung von Sicherheitsrichtlinien.

KRI (Key Risk Indicator)
Ein KRI ist ein Messwert, der auf potenzielle Risiken hinweist. DORA fordert die Verwendung von KRIs, um Risiken frühzeitig zu erkennen und darauf zu reagieren.

Krisenmanagement
Ein strukturierter Ansatz zur Planung und Bewältigung von Krisensituationen, wie schweren IT-Ausfällen oder Cyberangriffen. DORA fordert von Finanzinstituten, dass sie umfassende Krisenmanagementpläne entwickeln, um sicherzustellen, dass der Betrieb auch in Notfällen aufrechterhalten wird.

Kritische IKT-Drittdienstleister
Drittanbieter, die als systemrelevant für die digitale Resilienz und Betriebsfähigkeit des Finanzsektors eingestuft werden. Sie unterliegen besonderen Überwachungsanforderungen und -regelungen.

Kritische oder wichtige Funktion
Eine Funktion, deren Ausfall erhebliche Auswirkungen auf die finanzielle Leistungsfähigkeit eines Unternehmens hätte oder die regulatorische Anforderungen gefährden könnte.

Lieferkettenresilienz
Die Fähigkeit eines Unternehmens, Störungen in der Lieferkette zu bewältigen. Unter DORA müssen Unternehmen sicherstellen, dass auch ihre Drittparteien und Zulieferer ausreichend resilient sind, um Ausfälle oder Schwachstellen zu vermeiden.

Live-Produktionssysteme
Reale Betriebsumgebungen und Systeme, auf denen kritische Funktionen eines Finanzunternehmens laufen und die während bedrohungsorientierter Penetrationstests (TLPT) getestet werden, um die Widerstandsfähigkeit gegen Bedrohungen unter realen Bedingungen zu bewerten.

Meldepflichten
Pflichten zur Meldung von sicherheitskritischen Vorfällen an die zuständigen Behörden innerhalb festgelegter Fristen. DORA schreibt vor, dass Unternehmen relevante IKT-Vorfälle unverzüglich melden müssen, um Transparenz und eine koordinierte Reaktion auf Bedrohungen im gesamten Finanzsektor zu gewährleisten.

Meldung erheblicher Cyberbedrohungen (freiwillig)
Finanzunternehmen können relevante Cyberbedrohungen freiwillig melden, auch wenn keine Meldepflicht besteht. Diese Meldungen tragen zur Erhöhung des Bedrohungsbewusstseins und zur Prävention bei.

MiCA (Markets in Crypto-Assets Regulation)
Die MiCA-Verordnung regelt den Markt für Krypto-Assets in der EU. Sie ist relevant für DORA, da auch Krypto-Dienstleister den Resilienzanforderungen entsprechen müssen.

MSSP (Managed Security Service Provider)
Ein MSSP ist ein externer Anbieter, der Sicherheitsdienste für Unternehmen übernimmt. DORA stellt Anforderungen an die Verwaltung und Überwachung solcher Dienstleister.

ML (Machine Learning)
Maschinelles Lernen ist eine Technologie, die auf Datenanalyse und Mustererkennung basiert. DORA ermutigt Unternehmen zur Nutzung solcher Technologien, sofern deren Sicherheit gewährleistet ist, um Cyber-Bedrohungen proaktiv zu erkennen.

Netzwerksicherheit
Maßnahmen zum Schutz des Netzwerks vor Angriffen und zur Sicherstellung der Integrität und Vertraulichkeit von Daten. Dazu gehören Zugriffskontrollen und Datenverschlüsselung.

Netzwerk zum Informationsaustausch

Ein geplantes Netzwerk in der EU, das Finanzunternehmen und Behörden zusammenführt, um den regelmäßigen Austausch sicherheitsrelevanter Informationen zu ermöglichen und die Resilienz des Finanzsektors zu stärken.

NIS2 (Network and Information Security Directive)
Die NIS2-Richtlinie ist eine EU-Richtlinie, die die Cybersicherheitsstandards und -anforderungen für verschiedene Sektoren, einschließlich Finanzdienstleistungen, festlegt. DORA ist eng mit NIS2 verbunden und ergänzt die Anforderungen für die digitale Resilienz.

NIST Cybersecurity Framework (CSF)
Das NIST Cybersecurity Framework ist ein vom National Institute of Standards and Technology (NIST) entwickeltes Rahmenwerk zur Verbesserung der Cybersicherheit. Es definiert Standards und Best Practices für das Informationssicherheitsmanagement. DORA geht jedoch über das NIST CSF hinaus, indem es auch operative Resilienz und Krisenmanagement fokussiert, was einen umfassenderen Schutz der Geschäftsprozesse sicherstellen soll.

Notfallpläne für IKT-Drittdienstleister
Pläne, die IKT-Drittdienstleister implementieren müssen, um sicherzustellen, dass sie bei Ausfällen oder Sicherheitsvorfällen angemessen reagieren und den Betrieb unterstützen können.

Notfallwiederherstellungszeiten (Recovery Time Objectives, RTOs)
Die maximal akzeptable Zeitspanne, innerhalb der kritische Geschäftsprozesse nach einem Vorfall wiederhergestellt werden müssen. DORA verlangt von Unternehmen, dass sie RTOs für ihre wesentlichen Systeme definieren und regelmäßig testen, um die Geschäftskontinuität zu gewährleisten.

Öffentliche Bekanntmachung verwaltungsrechtlicher Sanktionen

Die Verpflichtung der zuständigen Behörden, verhängte Sanktionen öffentlich auf ihren Websites bekannt zu machen, sofern keine berechtigten Gründe für die Nichtveröffentlichung bestehen.

Operative Resilienz
Die Fähigkeit eines Unternehmens, seine Geschäftsprozesse aufrechtzuerhalten und auf Störungen zu reagieren. DORA betont die operative Resilienz, um sicherzustellen, dass Unternehmen im Finanzsektor in der Lage sind, trotz Vorfällen wie Cyberangriffen oder IT-Ausfällen betriebsfähig zu bleiben.

Penetrationstests
Geplante, kontrollierte Tests, bei denen Sicherheitsexperten versuchen, Schwachstellen in der IT-Infrastruktur eines Unternehmens zu finden. DORA verlangt regelmäßige Penetrationstests, um die Widerstandsfähigkeit gegenüber potenziellen Bedrohungen sicherzustellen und Schwachstellen frühzeitig zu identifizieren.

Prozess für die Behandlung von IKT-bezogenen Vorfällen
Ein systematischer, dokumentierter Prozess, den Finanzunternehmen einrichten, um die Erkennung, Behandlung und Meldung von IKT-bezogenen Vorfällen zu gewährleisten. Dieser Prozess enthält Regeln für die Klassifizierung, Eskalation und Nachverfolgung von Vorfällen.

Prüfrechte
Rechte, die es Finanzinstituten oder den zuständigen Aufsichtsbehörden ermöglichen, Zugang zu den relevanten Informationen und Systemen des IKT-Drittdienstleisters zu erhalten, um sicherzustellen, dass alle vertraglich vereinbarten Sicherheitsstandards eingehalten werden.

Qualitätssicherung im Risikomanagement
Die kontinuierliche Überprüfung und Verbesserung der Methoden und Prozesse im IKT-Risikomanagement, um sicherzustellen, dass diese den höchsten Standards entsprechen. DORA fordert Unternehmen dazu auf, sicherzustellen, dass alle Resilienzmaßnahmen regelmäßig auf ihre Wirksamkeit überprüft und gegebenenfalls verbessert werden.

Red-Team-Tests
Eine Testmethode, bei der ein unabhängiges Team gezielte Angriffe auf die Systeme eines Unternehmens simuliert, um die Sicherheitsvorkehrungen auf die Probe zu stellen und die Abwehrfähigkeiten zu bewerten.

Risikoanalyse
Ein Prozess zur Identifikation und Bewertung potenzieller Bedrohungen für die IKT-Systeme eines Unternehmens. DORA fordert regelmäßige Risikoanalysen, um präventive Maßnahmen zu planen und umzusetzen.

Risikobasierter Ansatz für Tests
Ein Ansatz, der die Häufigkeit und Art der Resilienztests an die spezifischen Risiken und die Bedeutung der getesteten Systeme anpasst. Für kritische Systeme sind beispielsweise häufigere und intensivere Tests erforderlich.

Risikobasiertes IKT-Risikomanagement
Der risikoorientierte Ansatz zur Steuerung von IKT-Risiken, der regelmäßige Bewertungen und Anpassungen der Schutzmaßnahmen beinhaltet.

Risikobewertung
Der systematische Prozess zur Identifikation, Bewertung und Priorisierung von Risiken, denen ein Unternehmen durch die Nutzung von IKT-Systemen ausgesetzt ist. Im Rahmen von DORA ist eine regelmäßige und gründliche Risikobewertung verpflichtend, um sicherzustellen, dass Sicherheitsmaßnahmen zielgerichtet und effektiv sind.

Risikobewertung von IKT-Drittdienstleistern
Eine gründliche Analyse potenzieller Risiken, die vor der Zusammenarbeit mit einem IKT-Drittanbieter durchgeführt wird. Diese Bewertung umfasst Sicherheitsstandards, digitale Resilienzmaßnahmen und wird regelmäßig aktualisiert, insbesondere bei Änderungen im Dienstleistungsangebot.

Risikomanagement
Ein systematischer Prozess zur Erkennung, Bewertung und Behandlung von Risiken, insbesondere im Hinblick auf IKT und Cyberbedrohungen. DORA verlangt ein umfassendes Risikomanagement, das operative Resilienz sicherstellt.

Risikomanagement im Bereich der IKT
Umfasst die Identifikation und Kontrolle potenzieller Cyberrisiken und Schwachstellen innerhalb der IKT-Infrastruktur eines Finanzunternehmens.

RTO (Recovery Time Objective)
Das RTO ist die maximal tolerierbare Ausfallzeit eines Systems oder Prozesses. DORA verlangt die Festlegung von RTOs, um sicherzustellen, dass kritische Systeme nach einem Vorfall schnell wiederhergestellt werden können.

RTS (Regulatory Technical Standards)
Die Regulierungstechnischen Standards sind von den Europäischen Aufsichtsbehörden entwickelte Standards, die die Anforderungen von DORA weiter präzisieren und eine einheitliche Anwendung im Finanzsektor gewährleisten.

Schwachstelle
Eine Schwachstelle in einem System, die durch eine Schwachstelle oder Fehlfunktion ausgenutzt werden kann und ein Risiko für die Sicherheit der Systeme darstellt.

Schwachstellenmanagement
Ein kontinuierlicher Prozess zur Identifikation und Beseitigung von Sicherheitslücken in IT-Systemen und Anwendungen. DORA fordert von Finanzinstituten, dass sie regelmäßige Schwachstellenanalysen durchführen und Maßnahmen implementieren, um Sicherheitslücken schnell zu schließen.

Schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfall
Ein Betriebs- oder Sicherheitsvorfall im Bereich des Zahlungsverkehrs, der erhebliche Auswirkungen auf die Funktionsfähigkeit oder Sicherheit der betroffenen Dienste haben kann. DORA verlangt, dass solche Vorfälle gemeldet und dokumentiert werden.

Sensibilisierung und Schulungen
Programme, die darauf abzielen, das Bewusstsein der Mitarbeiter für IKT-Sicherheit zu stärken und sie auf die Erkennung und Reaktion auf Cyberrisiken vorzubereiten.

Sicherheitskultur

Das systematische Bewusstsein und Engagement für Sicherheitspraktiken und Bedrohungsanalysen innerhalb eines Unternehmens. Ziel ist es, eine präventive Sicherheitsmentalität im gesamten Finanzsektor zu fördern.

SIEM (Security Information and Event Management)
SIEM-Systeme erfassen und analysieren Sicherheitsereignisse in Echtzeit. DORA verlangt, dass Finanzunternehmen SIEM-Technologien einsetzen, um Bedrohungen schnell zu erkennen und darauf zu reagieren

SLA (Service Level Agreement)
Ein SLA ist eine Vereinbarung zwischen Dienstleister und Kunde über die zu erbringenden Leistungen. DORA verlangt, dass SLAs für Drittanbieter so gestaltet sind, dass die Sicherheitsanforderungen des Finanzunternehmens erfüllt werden.

Sollmaßnahmekatalog
Eine detaillierte Liste von empfohlenen Maßnahmen zur Erreichung bestimmter Sicherheitsziele. In der BAIT ist ein Sollmaßnahmekatalog enthalten, der jedoch mit der Einführung von DORA nicht mehr zwingend vorgeschrieben ist.

SOC (Security Operations Center)
Ein SOC ist eine zentrale Einheit zur Überwachung der Cybersicherheit in Echtzeit. DORA fordert Finanzunternehmen auf, Sicherheitsüberwachungskapazitäten zu implementieren, um Bedrohungen zu erkennen und darauf zu reagieren.

SOP (Standard Operating Procedure)
Eine SOP beschreibt standardisierte Verfahren und Abläufe. DORA fordert die Dokumentation und Umsetzung von SOPs für den Umgang mit Sicherheitsvorfällen und die Aufrechterhaltung der Resilienz.

SOX (Sarbanes-Oxley Act)
Der Sarbanes-Oxley Act ist ein US-amerikanisches Gesetz zur Unternehmensberichterstattung und -kontrolle. Es wird häufig als Modell für regulatorische Standards herangezogen, und DORA stellt ähnliche Anforderungen an die Transparenz und Kontrolle in Europa.

Standardisierte Meldungsvorlage
Eine von den europäischen Aufsichtsbehörden (ESA) entwickelte Vorlage, die sicherstellt, dass alle Meldungen schwerwiegender IKT-bezogener Vorfälle konsistent und vergleichbar sind.

Stresstests
Tests, bei denen IKT-Systeme und Geschäftsprozesse auf ihre Belastungsfähigkeit geprüft werden. DORA verlangt regelmäßige Stresstests, um sicherzustellen, dass Unternehmen auch in Krisensituationen ihre Betriebsfähigkeit aufrechterhalten können.

Substitution von IKT-Drittdienstleistern
Die Fähigkeit, einen IKT-Drittdienstleister durch einen anderen zu ersetzen. Die Analyse der Substituierbarkeit berücksichtigt die technischen und organisatorischen Herausforderungen, die durch den Wechsel zu einem alternativen Anbieter entstehen

Szenarioanalysen
Tests, die verschiedene kombinierte Bedrohungsszenarien simulieren, um die Resilienz der Systeme gegenüber komplexen Bedrohungen zu bewerten und Schwachstellen in den Reaktionsmechanismen zu identifizieren.

Tests der digitalen operativen Resilienz
Regelmäßige Tests zur Überprüfung der Belastbarkeit von IKT-Systemen und -Prozessen, um sicherzustellen, dass sie Cyberangriffe und andere Risiken überstehen können.

Tests zur Krisenbewältigung und Resilienztests
Umfassende Tests, die sicherstellen sollen, dass die Notfall- und Krisenmanagementprozesse eines Unternehmens im Ernstfall funktionieren. DORA verlangt regelmäßige Durchführung solcher Tests, um die Wirksamkeit der Resilienzmaßnahmen zu überprüfen.

Testmethodik und Testkonzept
Strukturierte Ansätze zur Durchführung der Tests, die alle Phasen des Testprozesses von der Planung bis zur Analyse der Ergebnisse abdecken.

Third-Party-Risk-Management (Management von Drittparteienrisiken)
Der Prozess zur Bewertung, Überwachung und Steuerung der Risiken, die durch die Zusammenarbeit mit Drittparteien entstehen. DORA fordert, dass Unternehmen sicherstellen, dass alle Drittparteien, die Zugang zu ihren IKT-Systemen haben, ebenfalls die hohen Standards der digitalen Resilienz erfüllen.

TLP (Traffic Light Protocol)
Das TLP ist ein Schema zur Klassifizierung von Informationssensibilität und -freigabe. DORA empfiehlt Finanzunternehmen, TLP einzusetzen, um sicherzustellen, dass Informationen über Cyber-Bedrohungen sicher und effizient geteilt werden.

TLPT-Zertifizierung
Ein formeller Nachweis, den Finanzunternehmen erhalten, nachdem sie erfolgreich einen bedrohungsorientierten Penetrationstest gemäß den DORA-Anforderungen durchgeführt haben. Die Zertifizierung dient der gegenseitigen Anerkennung solcher Tests zwischen den zuständigen Behörden.

Transparenzanforderungen
Die Anforderungen von DORA an Unternehmen, ihre Sicherheits- und Resilienzmaßnahmen klar zu dokumentieren und regelmäßig an die Geschäftsführung und Regulierungsbehörden zu berichten. Transparenz ist eine zentrale Voraussetzung für die Rechenschaftspflicht und die kontinuierliche Verbesserung der Resilienzmaßnahmen.

TPRM (Third-Party Risk Management)
TPRM bezieht sich auf das Management von Risiken, die von Drittanbietern ausgehen. DORA verlangt ein robustes TPRM, um sicherzustellen, dass Risiken aus der Zusammenarbeit mit externen Dienstleistern minimiert werden.

TTP (Trusted Third Party)
Ein TTP ist ein vertrauenswürdiger Dritter, der z.B. Zertifizierungsdienste bereitstellt. Im Kontext von DORA könnten TTPs sichere Kommunikationskanäle oder andere technische Dienste bereitstellen, die den Sicherheitsanforderungen entsprechen.

Überwachung und Reporting
DORA schreibt vor, dass Finanzunternehmen ihre IKT-Systeme und die Einhaltung der Resilienzstandards kontinuierlich überwachen und regelmäßig Berichte an das Management und die Aufsichtsbehörden liefern. Die Überwachung umfasst die laufende Analyse von Systemen auf potenzielle Bedrohungen sowie die Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen.

Überwachungsforum
Ein Gremium, das im Rahmen von DORA eingerichtet wurde, um die Zusammenarbeit zwischen Aufsichtsbehörden zu fördern und die Überwachung kritischer IKT-Drittdienstleister zu koordinieren.

Validierungsmethoden
Methoden, die von Finanzunternehmen angewendet werden, um sicherzustellen, dass die während der Tests aufgedeckten Schwächen und Sicherheitslücken vollständig und effektiv behoben wurden.

VAPT (Vulnerability Assessment and Penetration Testing)
VAPT umfasst Verfahren zur Erkennung und Überprüfung von Sicherheitslücken in Systemen. DORA schreibt regelmäßige Sicherheitsprüfungen vor, um die digitale Resilienz zu erhöhen.

Verhältnismäßigkeitsprinzip
DORA fordert von Unternehmen, dass ihre Sicherheitsmaßnahmen dem Risiko entsprechend angepasst werden. Das Verhältnismäßigkeitsprinzip bedeutet, dass die Risikobewältigungsmaßnahmen nicht nur effektiv, sondern auch kosteneffizient sein müssen, und dass Ressourcen dort eingesetzt werden, wo das Risiko am höchsten ist.

Vertragliche Mindestanforderungen
Die Mindestanforderungen, die Verträge mit IKT-Drittdienstleistern beinhalten müssen, um die digitale Resilienz und Sicherheitsmaßnahmen sicherzustellen. Dazu gehören Sicherheitsstandards, Meldepflichten bei Vorfällen und das Recht auf Prüfung und Zugriff.

VPN (Virtual Private Network)
Ein VPN ist eine Technologie, die sichere, verschlüsselte Verbindungen über das Internet ermöglicht. DORA fordert die Nutzung von VPNs und anderen Verschlüsselungstechniken, um die Datensicherheit zu gewährleisten.

Vorfalleskalation
Ein Prozess zur schnellen Weiterleitung von Informationen über IKT-bezogene Vorfälle an die relevanten Führungsebenen und Behörden. Eskalationspläne stellen sicher, dass Vorfälle schnell und effizient behandelt werden.

Vorfallmanagement
Ein strukturierter Ansatz zur Erkennung, Meldung und Behandlung von IKT-Sicherheitsvorfällen. DORA verlangt, dass Unternehmen ein effektives Vorfallmanagementsystem implementieren, um sicherzustellen, dass sicherheitsrelevante Ereignisse schnell und wirksam behandelt werden, um Schäden zu minimieren.

Vulnerability Scans
Tests, die potenzielle Schwachstellen in der IT-Infrastruktur eines Unternehmens aufspüren. Diese Scans identifizieren Sicherheitslücken, die bei einer Bedrohung ausgenutzt werden könnten.

WAF (Web Application Firewall)
Eine WAF schützt Webanwendungen vor Angriffen. DORA fordert Finanzinstitute dazu auf, geeignete Schutzmaßnahmen wie WAFs zu implementieren, um ihre Online-Anwendungen zu sichern.

Widerstandsfähigkeit
Die Fähigkeit eines Systems oder Unternehmens, sich von Störungen zu erholen und seine Betriebsfähigkeit aufrechtzuerhalten. DORA fördert die Widerstandsfähigkeit von Finanzinstituten gegenüber Cyberbedrohungen und anderen IT-Risiken.

Wiederherstellungs- und Geschäftskontinuitätspläne
Pläne, die sicherstellen, dass kritische Geschäftsprozesse auch im Falle eines IKT-Vorfalls funktionsfähig bleiben und schnell wiederhergestellt werden können.

Wiederherstellungszeitziele (Recovery Time Objectives, RTOs)
Die maximal akzeptable Zeitspanne, innerhalb derer ein kritisches System nach einem Ausfall wiederhergestellt werden muss, um den Geschäftsbetrieb nicht zu gefährden. DORA fordert Unternehmen auf, spezifische RTOs für ihre IKT-Systeme festzulegen und regelmäßig zu testen, um sicherzustellen, dass sie im Krisenfall eingehalten werden können.

Zentralisierte EU-Plattform für Vorfallsmeldungen
Eine potenzielle Plattform, die von der EU eingerichtet werden soll, um die Meldung schwerwiegender IKT-bezogener Vorfälle zu zentralisieren und so den Meldeprozess effizienter zu gestalten.

Zero-Trust-Architektur
Ein Sicherheitskonzept, das davon ausgeht, dass keine internen oder externen Systeme oder Benutzer automatisch vertraut werden dürfen. Stattdessen wird jeder Zugriff auf ein IKT-System überprüft und authentifiziert. DORA unterstützt das Konzept der Zero-Trust-Architektur, um sicherzustellen, dass sensible Daten und Systeme bestmöglich geschützt sind.

Zugriffsmanagement
Regeln und Protokolle, um den Zugriff auf Systeme und Daten zu beschränken. DORA verlangt die Implementierung von Multi-Faktor-Authentifizierung und privilegiertem Zugriffsmanagement.

Zusammenarbeit mit IKT-Drittdienstleistern
Eine Anforderung, dass Finanzunternehmen sicherstellen, dass auch ausgelagerte Dienste und Systeme den Resilienzstandards entsprechen. Dazu müssen klare vertragliche Vereinbarungen getroffen werden, die die Beteiligung von IKT-Dienstleistern an den Resilienztests sicherstellen

Zusammenfassende Berichte und Abhilfemaßnahmen
Berichte, die nach Abschluss der TLPT erstellt werden und eine Zusammenfassung der Testergebnisse, identifizierte Schwachstellen und geplante Abhilfemaßnahmen enthalten. Diese Berichte werden den zuständigen Behörden vorgelegt.

Zwischenbericht
Ein Bericht, den Finanzunternehmen nach einer erheblichen Änderung des Status eines IKT-bezogenen Vorfalls einreichen. Er enthält aktualisierte Informationen über den Vorfall und die ergriffenen Maßnahmen.