Wie SurePay Finanzinstituten hilft DORA-konform zu werden
- Zurück zur Übersicht
- 15/07/2024
In der modernen Finanzbranche ist Technologie unverzichtbar, bringt jedoch auch neue Herausforderungen mit sich. Mit der zunehmenden Abhängigkeit von Informations- und Kommunikationstechnik (IKT) Dienstleistern etwa wächst das Risiko von Cyberangriffen. Ein einziger Vorfall kann aufgrund der engen Vernetzung im Ökosystem weite Kreise ziehen und ernsthafte Störungen verursachen. Daher sind robuste und einheitliche Sicherheitsmaßnahmen entlang der gesamten IKT-Risikomanagementkette unerlässlich.
DORA, der neue EU-Standard für das IKT-Risikomanagement
Um die Widerstandsfähigkeit des Finanzsektors zu stärken, tritt am 17. Januar 2025 der europäische Digital Operational Resilience Act (DORA) in Kraft. DORA führt einheitliche Vorschriften für Finanzinstitute hinsichtlich IT-Sicherheit, Risikomanagement und Reaktion auf Zwischenfälle ein – einschließlich des Managements von IT-Risiken bei Drittanbietern. DORA wird einen EU-weiten technischen Standard setzen, der sicherstellt, dass der europäische Finanzsektor auch bei schweren Betriebsstörungen widerstandsfähig bleibt.
DORA: Eine gemeinsame Verantwortung
DORA gilt für alle EU-Finanzinstitute unter Finanzaufsicht. Auch wenn SurePay nicht direkt von DORA betroffen ist, nutzen wir die Vorschriften als Standard für unser IT-Sicherheitsrisikomanagement. Wir sehen digitale Resilienz als gemeinsame Verantwortung: Unsere Kunden können sich darauf verlassen, dass unser robustes IT-Sicherheits- und Zwischenfallmanagement ihnen hilft, ihre eigenen regulatorischen Anforderungen zu erfüllen.
SurePay bietet verlässliche VoP-Dienste
Eine Nicht-Einhaltung von DORA kann zu weiteren regulatorischen Problemen führen. Zum Beispiel tritt am 20. Oktober 2025 eine neue Verordnung über Sofortzahlungen in Kraft, die Zahlungsdienstleister verpflichtet, Verification of Payee-Dienste (VoP) zu nutzen, die dabei helfen, Zahlungsbetrug und fehlgeleitete Zahlungen zu verhindern und Online-Zahlungen sicherer zu machen.
SurePay ist Vorreiter im Bereich der VoP-Services. Wir bieten bereits seit 2017 mit dem IBAN-Name Check eine Lösung an, die der EU-Regulation weit vorausging. Und weil jede Störung unserer Dienste auch zu einer Nicht-Einhaltung für unsere Kunden führen würde, haben wir unsere Technologie und unser IKT-Risikomanagement so angepasst, dass die Verlässlichkeit unserer VoP-Dienste stets gewährleistet bleibt.
SurePay ist Vorreiter im Bereich der VoP-Services. Wir bieten bereits seit 2017 mit dem IBAN-Name Check eine Lösung an, die der EU-Regulation weit vorausging. Und weil jede Störung unserer Dienste auch zu einer Nicht-Einhaltung für unsere Kunden führen würde, haben wir unsere Technologie und unser IKT-Risikomanagement so angepasst, dass die Verlässlichkeit unserer VoP-Dienste stets gewährleistet bleibt.
Wie SurePay Finanzinstituten hilft, DORA-konform zu werden
DORA bringt viele Anforderungen mit sich, bei denen SurePay als Dienstleister unterstützen kann. Indem wir ihren Zahlungsprozess sicher halten, geben wir unseren Kunden die Gewissheit über die Sicherheitsanfälligkeiten von Drittanbietern. Wir setzen DORA-äquivalente Standards und Anforderungen für ein solides Sicherheitsrisikomanagement und erwarten dasselbe von unseren Geschäftspartnern. Unsere Kunden können sich dabei auf zwei Hauptmerkmale verlassen, um die digitale betriebliche Resilienz sicherzustellen und aufrechtzuerhalten:
- Ein robustes Risikomanagement-Framework
- Kooperation, Beratung und Transparenz
Und so setzen wir das um:
Robustes Risikomanagement-Framework
Unsere Kunden sollen sich keine Sorgen darüber machen müssen, wie ihre Daten gehandhabt werden. Wir stellen deshalb sicher, dass alle Daten in einer sicheren, kontrollierten und vertraulichen Umgebung verarbeitet werden. SurePay hat dazu ein hochmodernes Informationssicherheitsrisikomanagementsystem (ISMS) implementiert, das Folgendes umfasst:
- Standards, Verfahren und Maßnahmen zur Identifizierung, Minderung, Überwachung, Berichterstattung und Behebung von Sicherheitsrisiken, dokumentiert und implementiert gemäß ISO 27001.
- Ein robustes Sicherheitsvorfall-Managementsystem.
- Einen bewährten Business-Continuity-Plan für den Fall von Störungen.
Wir führen regelmäßige Tests unseres Risikomanagement-Frameworks durch, um sicherzustellen, dass es immer zweckdienlich bleibt. Dazu gehören:
- Regelmäßige Penetrationstests unserer Business-Continuity-Management- und Geschäftswiederherstellungspläne.
- Überwachung des IKT-Risikomanagements unserer Drittanbieter durch Stresstests und Nachweise über Testergebnisse (z. B. ISO 27001, ISAE 3000, SOC).
Seit unserer Gründung erhalten wir jährlich die ISAE 3000 Typ II-Zertifizierung, die unsere strengen Standards für den jährlichen Auditierungsprozess bestätigt.
Kooperation, Beratung und Transparenz
Da die Einhaltung von DORA eine gemeinsame Anstrengung ist, arbeiten wir eng mit unseren Kunden zusammen, um sie auf ihrem Compliance-Weg zu unterstützen. Durch einen proaktiven, beratenden Ansatz maximieren wir den Wissensaustausch, die Effizienz und die Geschwindigkeit und können schnell auf zukünftige Änderungen reagieren. Zudem nutzen wir das Wissen unserer Kunden zur Minderung von Sicherheitsrisiken, sowie um unser eigenes IKT-Risikomanagement-Framework und unsere VoP-Dienste kontinuierlich zu verbessern.
Wir unterstützen unsere Kunden auch bei ihren eigenen Informationsbedürfnissen, einschließlich der Bereitstellung von Nachweisen für implementierte IT-Sicherheitsstandards oder der Unterstützung ihrer eigenen Auditorenanfragen. Im Falle eines Sicherheitsvorfalls werden betroffene Kunden benachrichtigt und über die Ursachenanalyse, Lösungen und Lehren informiert. Dasselbe erwarten wir auch von unseren Geschäftspartnern.
Unsere Kunden bestätigen uns, dass dieser Ansatz das Vertrauen stärkt, das sie benötigen, um ihre eigenen Prozesse zu optimieren.
Wir unterstützen unsere Kunden auch bei ihren eigenen Informationsbedürfnissen, einschließlich der Bereitstellung von Nachweisen für implementierte IT-Sicherheitsstandards oder der Unterstützung ihrer eigenen Auditorenanfragen. Im Falle eines Sicherheitsvorfalls werden betroffene Kunden benachrichtigt und über die Ursachenanalyse, Lösungen und Lehren informiert. Dasselbe erwarten wir auch von unseren Geschäftspartnern.
Unsere Kunden bestätigen uns, dass dieser Ansatz das Vertrauen stärkt, das sie benötigen, um ihre eigenen Prozesse zu optimieren.
Letzte Schritte zur Unterstützung Ihrer DORA-Compliance
Bis Januar 2025 sind noch drei letzte Schritte erforderlich, um sicherzustellen, dass unsere Kunden die DORA-Anforderungen erfüllen.
1. Kommunikation
Um zu beweisen, dass SurePay der beste VoP-Dienstleister ist, werden wir:
- Nachweise über das geeignete IKT-Framework gemäß ISO-Standards durch die jährlich erhaltene ISAE 3000 Typ 2-Zertifizierung bereitstellen, die unsere Effektivität bei der Überwachung, Identifizierung, Reaktion, Behandlung und Berichterstattung über Informationssicherheitsrisiken bestätigt.
- Transparenz über unsere Richtlinien und Verfahren zur Sicherung der Daten unserer Kunden sowie über alle Vorfälle im Zusammenhang mit ihren Dienstleistungen gewährleisten.
- Auf Informationsanfragen innerhalb eines angemessenen Zeitrahmens reagieren.
2. Feinabstimmung der Verträge
Wir werden die vertraglichen Vereinbarungen mit unseren SurePay-Kunden und relevanten Subunternehmern überprüfen und verfeinern, um sicherzustellen, dass sie „DORA-sicher“ sind und alle notwendigen Details enthalten, um das Drittanbieterrisiko angemessen zu managen.
3. Notfallplanung alternativer Lösungens
Wir werden alternative Lösungen zu wichtigen Subunternehmern, wie Cloud-Anbietern, weiter untersuchen. Dazu gehört die Prüfung der Möglichkeiten für interne Lösungen und klare Maßnahmen zum Wechsel zu alternativen Anbietern, falls erforderlich.
SurePay verfügt bereits über ein robustes IKT-Risikomanagement und ein Vorfallreaktionsmanagement-Framework. Dieser kundenorientierte Ansatz bringt unsere Technologie sowie Prozesse zur Minderung von Sicherheitsrisiken jedoch auf ein neues Niveau der Exzellenz.
SurePay verfügt bereits über ein robustes IKT-Risikomanagement und ein Vorfallreaktionsmanagement-Framework. Dieser kundenorientierte Ansatz bringt unsere Technologie sowie Prozesse zur Minderung von Sicherheitsrisiken jedoch auf ein neues Niveau der Exzellenz.
Ihr Partner auf dem Weg zur DORA-Compliance
Auf dem letzten Abschnitt des Weges zur Umsetzung von DORA können unsere Kunden sicher sein, dass wir unsere Verantwortung in der Wertschöpfungskette wahrnehmen. Wir unterstützen nicht nur ihre DORA-Compliance, sondern beschleunigen sie auch und helfen ihnen so dabei, Potenziale für ihre Geschäftsentwicklung weiter zu entfalten.
Möchten Sie mehr erfahren?
Entdecken Sie unsere Lösung zur Verifizierung von Zahlungsempfängern
Thank you for reading this post, don't forget to subscribe!