Was ist DORA?

Ab dem 17. Januar 2025 müssen Finanzunternehmen der Europäischen Union (EU) und, sobald sie benannt wurden, IKT-Drittanbieter, die von den Europäischen Aufsichtsbehörden als "kritisch" bezeichnet wurden, bereit sein, den EU-Gesetz über digitale operative Resilienz (Verordnung (EU) 2022/2554 – "DORA") einzuhalten. DORA standardisiert, wie Finanzunternehmen Cybersicherheitsvorfälle melden, ihre digitale operative Resilienz testen und risiken von IKT-Drittanbietern im Finanzdienstleistungssektor und in den EU-Mitgliedstaaten verwalten.

Zusätzlich zur Festlegung klarer Erwartungen an die Rolle der IKT-Anbieter bietet DORA den europäischen Aufsichtsbehörden (ESAs) direkte Aufsichtsbefugnisse über benannte kritische IKT-Anbieter. Microsoft ist bereit, als "kritischer ICT-Drittanbieter" benannt zu werden, der die geltenden Bestimmungen gemäß DORA erfüllt, und wird regulierten Finanzinstituten helfen, ihre eigenen Anforderungen zu erfüllen.

Dora zielt darauf ab, einen harmonisierten Ansatz bereitzustellen, um ein "hohes Maß an digitaler operativer Resilienz" der Finanzdienstleistungsbranche (FSI) zu erreichen, indem sichergestellt wird, dass Unternehmen einer Vielzahl von Bedrohungen und Störungen standhalten und sich darauf anpassen können, einschließlich Cyberangriffen, IT-Ausfällen und anderen operativen Risiken. DORA gilt für eine Vielzahl von FSI-Entitäten, darunter Banken, Versicherungsinstitute, Börsen und Handelsplattformen.

Wichtige Punkte

1. DORA-Ziel: DORA zielt darauf ab, die Resilienz und Stabilität des FSI-Sektors zu verbessern, indem sichergestellt wird, dass FSI-Entitäten wirksame Maßnahmen ergriffen haben, um operative Risiken, einschließlich Cyberrisiken, zu verwalten und zu mindern. Sie zielt darauf ab, Verbraucher, Investoren und das umfassendere FSI-System vor den potenziell schwerwiegenden Folgen größerer Störungen oder Misserfolge innerhalb des Sektors zu schützen.
2. Umfang: DORA gilt für FSI-Unternehmen, die in der Europäischen Union tätig sind, und für deren IKT-Drittanbieter, die Dienstleistungen in der EU erbringen, unabhängig davon, woher diese tätig sind. Sie gilt auch für kritische Drittanbieter (Critical Third-Party Providers, CTPPs), die von den ESAs benannt wurden und der täglichen Aufsicht über einen der drei ESA übertragen werden, d. h. entweder EBA, EIOPA oder ESMA.
3. Wesentliche Bestimmungen: DORA umfasst in erster Linie drei Anforderungen:
   1. Anforderungen, die für FSI-Entitäten gelten, einschließlich der Bereiche DES IKT-Risikomanagements, der Benachrichtigung wichtiger IKT-Vorfälle und operativer Resilienztests wie bedrohungsgesteuerte Penetrationstests.
   2. Anforderungen in Bezug auf die vertraglichen Vereinbarungen zwischen benannten IKT-Drittanbietern und FSI-Unternehmen
   3. Regeln für die Einrichtung und Durchführung des Aufsichtsrahmens für kritische IKT-Drittanbieter (CTPPs) bei der Erbringung von Dienstleistungen für FSI-Entitäten.
4. Compliance: Microsoft hält alle Gesetze und Vorschriften ein, die für die Bereitstellung seiner Dienste gelten, vorbehaltlich der Anforderungen, die als CTPP auf sie angewendet werden, sowie den DORA-Anforderungen, von denen Microsoft erwartet wird, dass microsoft FSI-Entitäten mit normalen und auch kritischen IKT-Diensten erfüllt. FSI-Unternehmen, die vertragliche Vereinbarungen für die Verwendung von Microsoft Onlinedienste zur Ausführung ihrer kritischen oder wichtigen Funktionen haben, müssen für die Einhaltung aller Verpflichtungen aus DORA und den geltenden regulatorischen Anforderungen an Finanzdienstleistungen verantwortlich bleiben. Microsoft unterstützt FSI-Entitäten, um ihre Complianceverpflichtungen zu erfüllen und die darauf geltenden Anforderungen zu erfüllen.
5. Clouddienste und -anbieter: DORA ist technologieneutral konzipiert, und die Anforderungen nach DORA gelten nicht nur für FSI-Entitäten, sondern auch für Drittanbieter von IKT-Diensten.
6. Vertragliche Verpflichtungen: DORA schreibt bestimmte vertragliche Anforderungen zwischen den ICT-Drittanbietern und FSI-Stellen vor. Microsoft stellt sicher, dass seine vertraglichen Bestimmungen mit den Anforderungen gemäß DORA in Einklang stehen. Darüber hinaus richtet Sich Microsoft bereits an den Anforderungen, die im Rahmen der EBA-, ESMA- und EIOPA-Anleitungen ausgegeben werden, und solche Anleitungen selbst dienen als Basisframework für die Anforderungen unter DORA.
7. Aufsicht: DORA entschärft FSI-Entitäten nicht von der Beaufsichtigung von Technologieanbietern, einschließlich Audits, wenn sie als Anforderung angesehen werden. Microsoft bietet Kunden eine Fülle von Zuverlässigkeitsinformationen wie Nachweise von Drittanbietern, Leistungsdaten, Incidentinformationen, Jahres- und Quartalsberichte, mit denen Microsoft als Technologieanbieter bewertet werden kann. Der Compliance Program for Microsoft Cloud (CPMC) ist ein Premium-Supportdienst, mit dem spezifischere und kompliziertere Szenarien behandelt werden können, mit denen Mitglieder konfrontiert werden können. Bei Bedarf verfügt Microsoft über umfangreiche Erfahrung bei der Unterstützung von Kunden bei der Durchführung von Audits und bei der Bereitstellung eines Grads an Transparenz und Sicherheit für die kontinuierliche Überwachung und Überwachung seiner Clouddienste.

DORA zielt darauf ab, die operative Resilienz des FSI-Sektors zu stärken und das Risikomanagement zu stärken, damit Unternehmen einer Vielzahl von Bedrohungen und Störungen standhalten und sich an sie anpassen können. Microsoft hält alle Gesetze und Vorschriften ein, die für die Bereitstellung ihrer Clouddienste gelten, vorbehaltlich der Anforderungen, die für das Unternehmen als CTPP gelten. FSI-Unternehmen, die über vertragliche Vereinbarungen für die Nutzung von IKT-Drittanbieterdiensten verfügen, bleiben für die Einhaltung aller Verpflichtungen aus DORA und den geltenden gesetzlichen Anforderungen an Finanzdienstleistungen verantwortlich, die Microsoft bei Bedarf unterstützt.

Primäre Bereiche zur Kundenbetrachtung unter DORA

Framework für das IKT-Risikomanagement

Mit dem Digital Operational Resilience Act (DORA) wird ein umfassender Mechanismus für das Management von IKT-Risiken eingerichtet, dem Finanzunternehmen nachkommen müssen, einschließlich der Ermittlung, des Schutzes und der Prävention, der Erkennung, der Reaktion und der Wiederherstellung solcher Risiken im Umfang. Finanzunternehmen müssen einen internen Governance- und Kontrollrahmen für das IKT-Risikomanagement einrichten und sich mit der laufenden Überwachung von IKT-Risiken befassen. Diese Anforderungen an das IKT-Risikomanagement und die Überwachung erstrecken sich auf die Nutzung von IKT-Diensten, die von Drittanbietern bereitgestellt werden.

Die Elemente dieses Rahmens für das IKT-Risikomanagement umfassen im Großen und Ganzen:

• Interner Governance- und Kontrollrahmen für das IKT-Risikomanagement: Finanzunternehmen müssen über einen internen Governance- und Kontrollrahmen verfügen, der ein effektives und umsichtiges Management des IKT-Risikos sicherstellt.
• Komponenten und Anforderungen des FRAMEWORKs für das IKT-Risikomanagement: Der Rahmen für das IKT-Risikomanagement muss Strategien, Richtlinien, Verfahren, IKT-Protokolle und Instrumente enthalten, die zum Schutz und zur Gewährleistung der Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, Informationsressourcen und Daten erforderlich sind.
• Spezifikationen für IKT-Systeme, Protokolle und Tools: Finanzunternehmen müssen aktualisierte IKT-Systeme, Protokolle und Tools verwenden und verwalten, die geeignet, zuverlässig, resilient und in der Lage sind, die für ihre Aktivitäten und Dienste erforderlichen Daten zu verarbeiten. Außerdem müssen sie IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -tools implementieren, die darauf abzielen, die Sicherheit von Netzwerken und Daten zu gewährleisten und IKT-bezogene Vorfälle zu verhindern.
• Identifizierung von IKT-Risikoquellen und -abhängigkeiten: Finanzunternehmen müssen alle iktgestützten Geschäftsfunktionen, Informationsressourcen und IKT-Ressourcen sowie ihre Rollen und Abhängigkeiten in Bezug auf das IKT-Risiko identifizieren, klassifizieren und dokumentieren. Außerdem müssen sie alle Quellen von IKT-Risiken, Cyberbedrohungen und SICHERHEITSrisiken identifizieren und die potenziellen Auswirkungen von IKT-Störungen bewerten.
• Erkennung von IKT-bezogenen Vorfällen und Anomalien: Finanzunternehmen müssen über Mechanismen verfügen, um anomale Aktivitäten, Probleme bei der Leistung des IKT-Netzwerks und IKT-bezogene Vorfälle umgehend zu erkennen und potenzielle Single Points of Failure zu identifizieren. Sie müssen auch Warnungsschwellenwerte und Kriterien definieren, um IKT-bezogene Prozesse zur Reaktion auf Vorfälle auszulösen und zu initiieren.
• Reaktion und Wiederherstellung nach IKT-bezogenen Vorfällen: Finanzunternehmen müssen über eine umfassende Geschäftskontinuitätsrichtlinie für IKT und zugehörige IKT-Reaktions- und Wiederherstellungspläne verfügen, die darauf abzielen, die Kontinuität kritischer oder wichtiger Funktionen sicherzustellen, IKT-bezogene Vorfälle schnell und effektiv zu lösen und Schäden und Verluste zu minimieren. Außerdem müssen sie ihre Pläne und Maßnahmen regelmäßig testen, überprüfen und aktualisieren und den zuständigen Behörden bei Bedarf Bericht erstatten.

Wie Microsoft beim Risikomanagement hilft

Microsoft bietet bereits heute eine breite Palette von integrierten IKT-Risikomanagementfunktionen in unseren Diensten, einschließlich:

• Microsoft Defender für Cloud
• Microsoft 365 Service Health Dashboard
• Microsoft-Sicherheitsbewertung
• Azure Service Health
• Microsoft Purview
• Microsoft Purview-Compliance Manager

CPMC bietet auch Unterstützung für Risikobewertungen und hilft Mitgliedern dabei, ihre Steuerungsframeworks und Anforderungen den Implementierungen von Microsoft zuzuordnen.

Microsoft bietet zusätzliche Lösungen für Finanzunternehmen, um das Risikomanagement umfassender zu unterstützen, einschließlich:

• Microsoft Entra bietet eine integrierte Identitäts-, Zugriffs- und Autorisierungsverwaltung mit erweiterten Schutzfunktionen und unterstützt Microsoft Cloud Services. Sehen Sie sich unsere ausführliche DORA-Anleitung für Microsoft Entra an.
• Microsoft Defender bietet integrierte, domänenübergreifende Bedrohungserkennung, Schutz und Reaktion über Multiclouds, E-Mail, Plattformen für die Zusammenarbeit, Identität und Endpunkte.
• Microsoft 365 Purview bietet eine umfassende Reihe von Lösungen zur Datensicherheit und Compliance, einschließlich Verhinderung von Datenverlust, Information Protection, Informationsbarrieren, Insider-Risikomanagement, Kommunikationscompliance, eDiscovery, Datenlebenszyklus und Datensatzverwaltung.
• Microsoft Intune verwaltet und schützt mit der Cloud verbundene Endpunkte unter windows-, Android-, macOS-, iOS- und Linux-Betriebssystemen.
• Microsoft Copilot for Security nutzt generative KI-gestützte Unterstützung, um Bedrohungen im großen Stil und mit ki-geschwindigkeit zu schützen und darauf zu reagieren.
• Microsoft Purview und Azure Arc helfen Ihnen, den Datenbestand in lokalen, Azure- und Multicloudumgebungen zu steuern, zu schützen und zu verwalten. Darüber hinaus wird die Datengovernance nahtlos auf Microsoft 365 SaaS erweitert.
• Azure Backup, Azure Site Recovery und Azure Business Continuity Center spezifische Lösungen für Geschäftskontinuität und Wiederherstellung gegenüber bereitgestellten Azure-Ressourcen bereitstellen. Microsoft 365-Backup ist die Sicherung für unstrukturierte Daten.

Schlüsselprinzipien für ein solides Management des IKT-Drittanbieterrisikos

Von Finanzunternehmen wird erwartet, dass sie das Risiko von IKT-Drittanbietern im Rahmen ihres Rahmens für das IKT-Risikomanagement verwalten, eine Strategie und eine Richtlinie zur Nutzung von IKT-Diensten verabschieden, die kritische oder wichtige Funktionen unterstützen, und ein Verzeichnis mit Informationen über alle vertraglichen Vereinbarungen mit IKT-Drittanbietern führen.

• Vorläufige Bewertung vor Abschluss von Verträgen: Finanzunternehmen sollten die Risiken eines Vertrags mit wichtigen IKT-Drittanbietern bewerten.
• Wichtige Vertragsbestimmungen: Finanzunternehmen sollten sicherstellen, dass die vertraglichen Vereinbarungen unter anderem eine Beschreibung der Funktionen und Dienste, der Standorte der Datenverarbeitung und -speicherung, der Verwaltung und Überwachung wichtiger Subunternehmer, die die Bereitstellung kritischer Dienste unterstützen, die Datenschutz- und Sicherheitsmaßnahmen, die Beschreibungen des Servicelevels und die Leistungsziele, die Beendigungsrechte und Die Ausstiegsstrategien umfassen; und die Zugangsrechte, Inspektionen und Prüfungsrechte der Finanzeinrichtung und der zuständigen Behörden.

Microsoft ist ein ITK-Drittanbieter für den Sektor und unterstützt Kunden bei der Erfüllung dieser Anforderungen.

Wie Microsoft beim Risikomanagement von Drittanbietern hilft

Microsoft stellt wesentliche vertragliche Verpflichtungen bereit, die den Leitlinien der ESA entsprechen und den Bestimmungen gemäß DORA entsprechen, einschließlich Artikel 30. Ihre Vertragliche Vereinbarung mit uns, die unsere Enterprise Agreements, den Datenschutzzusatz für Microsoft-Produkte und -Dienste (DPA) sowie die anwendbaren Abschnitte unserer Produktbedingungen und für regulierte Finanzunternehmen unsere Financial Services-Zusatzvereinbarung umfassen kann, deckt die wichtigsten Elemente ab, die unter DORA erforderlich sind. Es wurden Anpassungen vorgenommen, um kunden dabei zu helfen, die Anforderungen von DORA zu erfüllen. In unserem DOKUMENT zur DORA-Zuordnung, das auf Anfrage über Ihren Microsoft-Kontakt erhältlich ist, wird erläutert, wie unsere vertraglichen Verpflichtungen mit DORA übereinstimmen. Wir werden weiterhin mit Kunden zusammenarbeiten, um deren Anforderungen zu erfüllen, um die fortlaufende Compliance sicherzustellen.

Das Risikomanagement von IKT-Drittanbietern im Rahmen von DORA erstreckt sich über Microsoft hinaus und deckt auch andere Dritte aus Sicht der Finanzeinheit ab. Es gibt einige Lösungen, die dazu beitragen, Risiken von Drittanbietern umfassender zu behandeln, darunter:

• Microsoft Defender for Cloud Apps bietet umfassende Sichtbarkeits-, Steuerungs- und Bewertungsfunktionen für Apps und Dienste von Drittanbietern, um Risiken im Zusammenhang mit externen IKT-Anbietern zu minimieren. Die Cloud-App-Ermittlung kann verwendete Drittanbieter-Apps (Schatten-IT) ermitteln und Risikobewertungsberichte bereitstellen.
• Microsoft Purview hilft bei der einheitlichen Datengovernance, die über Microsoft-Cloudlösungen hinausgeht. Sie können Ihren Datenbestand auch in Clouds von Drittanbietern steuern, schützen und verwalten.
• Microsoft Purview Compliance Manager unterstützt Sie bei Risikobewertungen von Drittanbietern und bei der Complianceverwaltung von Anbietern mit mehr als 300 Standards, Richtlinien und Vorschriften und bietet Erkenntnisse und Aktionen, um Lücken zu identifizieren und Risiken für Microsoft Cloud sowie für Hybrid- und Multicloud-Umgebungen zu minimieren. Außerdem werden Bewertungsvorlagen für andere Cloudanbieter bereitgestellt.

Microsoft stellt auch Prüflisten im Service Trust Portal für Kunden aus der Finanzdienstleistungsbranche zur Verfügung, die nach regionalen und länderspezifischen Anleitungen suchen.

IKT – Zugehöriges Incidentmanagement, Klassifizierung und Berichterstellung

Für EU-Finanzunternehmen sind eine Reihe von Anforderungen an die Verwaltung, Klassifizierung und Berichterstattung von IKT-Vorfällen vorgeschrieben, einschließlich der folgenden:

• Prozess zur Verwaltung von IKT-bezogenen Vorfällen: Finanzunternehmen müssen über einen Prozess verfügen, um IKT-bezogene Vorfälle zu erkennen, zu verwalten und zu benachrichtigen und sie gemäß ihrer Priorität und ihrem Schweregrad aufzuzeichnen.
• Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen: Finanzunternehmen müssen IKT-bezogene Vorfälle und Cyberbedrohungen basierend auf Kriterien wie der Anzahl der betroffenen Kunden, der Dauer, der geografischen Verbreitung, den Datenverlusten, der Wichtigkeit der Dienste und den wirtschaftlichen Auswirkungen klassifizieren.
• Meldung wichtiger IKT-bezogener Vorfälle und freiwillige Benachrichtigungen über erhebliche Cyberbedrohungen: Finanzunternehmen müssen der zuständigen Behörde wichtige IKT-bezogene Vorfälle unter Verwendung von Standardformularen und Vorlagen melden und ihre Kunden über den Vorfall und die Maßnahmen zur Entschärfung informieren. Finanzunternehmen können der zuständigen Behörde auch auf freiwilliger Basis erhebliche Cyberbedrohungen melden.
• Harmonisierung der Berichterstattungsinhalte und -vorlagen: Die ESA entwickeln über den Gemeinsamen Ausschuss und in Abstimmung mit der ENISA und der EZB gemeinsame Entwürfe technischer Regulierungs- und Durchführungsstandards, um den Inhalt, die Fristen und das Format der Berichte und Meldungen für IKT-bezogene Vorfälle und Cyberbedrohungen festzulegen.
• Zentralisierung der Meldung wichtiger IKT-bezogener Vorfälle: Die ESA erstellen im Rahmen des Gemeinsamen Ausschusses und in Abstimmung mit der EZB und der ENISA einen gemeinsamen Bericht, in dem bewertet wird, ob eine weitere Zentralisierung der Vorfallsberichterstattung durch die Einrichtung eines einzigen EU-Hubs für die Meldung wichtiger IKT-bezogener Vorfälle durch Finanzunternehmen durchgeführt werden kann.

Microsoft kann bei der Einrichtung eines umfassenden Frameworks für das IKT-Risikomanagement helfen, um IKT-bezogene Störungen zu identifizieren, zu schützen, zu erkennen, zu reagieren und sich nach diesen zu erholen:

• Microsoft Sentinel ist ein cloudnatives SIEM-System, das Analysen, Erkennung und Reaktion auf Sicherheitsbedrohungen in Echtzeit ermöglicht und so die Einhaltung der Anforderungen an die Incidentberichterstattung erleichtert.
• Microsoft Defender XDR hilft bei der Priorisierung, Verwaltung und Reaktion auf Vorfälle.
• Microsoft Purview Insider Risk Management bietet eine End-to-End-Plattform, um Insider-Risiken mit Richtlinien, Triggern und Warnungen zu riskanten Verhaltensweisen von Benutzern abzudecken.

Für Die Onlinedienste von Microsoft können Sie die Integrität überwachen und Benachrichtigungen einrichten, wenn Unterbrechungen direkt innerhalb des Diensts auftreten:

• Microsoft 365 Service Health Dashboard: Sie können die Integrität Ihrer Microsoft-Dienste, einschließlich Office im Web, Microsoft Teams, Exchange Online und Microsoft Dynamics 365 auf der Seite Service Health im Microsoft 365 Admin Center anzeigen.
• Azure Service Health: Azure bietet eine Suite von Funktionen, um Sie über die Integrität Ihrer Cloudressourcen auf dem Laufenden zu halten. Diese Informationen umfassen aktuelle und bevorstehende Probleme, z. B. ereignisse, die sich auf den Dienst auswirken, geplante Wartungen und andere Änderungen, die sich auf Ihre Verfügbarkeit auswirken können.

Testen der digitalen resilienz

DORA führt digitale Betriebstests ein, die auf kritischen IKT-Systemen und -Anwendungen jährlich bis triennial durch bedrohungsgesteuerte Penetrationstests (TLPT) durchgeführt werden sollen. Dieser neue Testansatz stärkt die Testfunktionen von Finanzunternehmen und fördert eine rechtzeitige Wiederherstellung und Geschäftskontinuität. Microsoft ermöglicht Es Kunden bereits, dies über unser Penetrationstestprogramm zu tun. Erfahren Sie mehr über die Microsoft Cloud Penetration Testing Rules of Engagement und unsere Bug Bounty-Programme . Microsoft wird die Testanforderungen weiter durcharbeiten und unterstützen, um die Anforderungen unter diesem Testsystem gemäß DORA zu erfüllen, die mit den Grundsätzen zur Gewährleistung der Sicherheit, Integrität, Sicherheit und betrieblichen Resilienz der Microsoft Cloud übereinstimmen.

Wie Microsoft bei Tests zur operativen Resilienz hilft

Microsoft führt routinemäßig interne und Drittanbieter-Penetrationstests durch, um potenzielle Sicherheitsrisiken in den Systemen zu identifizieren, die unsere Onlinedienste bereitstellen. Penetrationstestberichte von Drittanbietern für anwendbare Microsoft-Onlinedienste stehen im Service Trust Portal zum Download zur Verfügung.

Zusätzlich zu Sicherheitsrisiken testet Microsoft die Resilienz seiner Onlinedienste mindestens jährlich. Microsoft bietet Berichte zur Überprüfung des Plans für Geschäftskontinuität und Notfallwiederherstellung im Service Trust Portal, die die Überprüfung und Wartung von BCDR-Plänen für ausgewählte Onlinedienste beschreiben.

Microsofts Verpflichtung zur Ermöglichung der Compliance im Rahmen von DORA

Microsoft bereitet sich darauf vor, die anforderungen im Rahmen von DORA zu erfüllen, soweit zutreffend, und die wichtigsten Dienste, die es für Finanzentitäten bereitstellt, die seine Clouddienste für kritische oder wichtige Funktionen nutzen. Microsoft investiert seit über einem Jahrzehnt erheblich in die Unterstützung von Finanzinstituten bei der Verwendung von Microsoft-Clouddiensten – von den kommerziellen Verträgen, die wir im Einklang mit den ESAs-Richtlinien zum Outsourcing zur Verfügung stellen, über Transparenz und Sicherheit unserer Clouddienste über das Service Trust Portal und andere Ressourcen bis hin zu den unzähligen integrierten Sicherheitsfeatures in unseren Clouddiensten. In Verbindung mit der Breite der Funktionen, die wir anbieten, um Kunden bei der Risikoverwaltung und der kontinuierlichen Überwachung der Nutzung unserer Clouddienste zu helfen, sind die Elemente von DORA ein natürlicher Schritt nach vorn, um die operative Resilienz aufrechtzuerhalten und Microsoft-Clouddienste mit Vertrauen zu nutzen. Wir arbeiten auch mit anderen Regulierungsbehörden in Rechtsgebieten wie dem Vereinigten Königreich zusammen, die ähnliche Maßnahmen wie DORA implementieren und sich darauf vorbereiten, diese Anforderungen ebenfalls zu erfüllen.

Die Stärkung der operativen Resilienz ist ein umfassendes Thema, das über die bloße Gewährleistung der DORA-Compliance oder die Behandlung von Lieferanten- und Konzentrationsrisiken hinausgeht und eine Strategie und Vision erfordert, die das Risikomanagement mit einem Blick auf die Bereitstellung von Technologie und die Optimierung von Prozessen unter Berücksichtigung der Resilienz verbindet. Wir glauben, dass Cloudtechnologien und Innovationen wie KI dabei eine wichtige Rolle spielen, da es wichtig ist, den Schutz vor unerwarteten Ausfällen zu stärken, die Zuverlässigkeit von Diensten und Vorgängen insgesamt zu erhöhen und die Cybersicherheit zu stärken. Im nächsten Schritt sollten Sie das DORA-E-Book (Digital Operational Resilience Act) von Microsoft lesen, in dem sechs Schritte beschrieben werden, die Sie ausführen können, um operative Resilienz zu schaffen.