Die Verordnung (EU) 2022/2554 - Digital Operational Resilience Act (DORA) - ist seit Januar 2025 in Kraft. Wenn Sie CISO, IT-Risikoverantwortlicher oder Compliance-Architekt in einem regulierten Finanzunternehmen sind, sind Sie bereits informiert. Die Frage, die die meisten Unternehmen noch nicht beantwortet haben, ist trügerisch spezifisch: Was bedeutet überprüfbare Forderung nach Datenintegrität Ihres ICT-Stacks? Eine Umfrage ergab, dass 96% der Unternehmen in der EMEA-Region halten ihr derzeitiges Niveau an digitaler Resilienz für unzureichend.
Hier können Sie verstärken und lernen:
- was der DORA-Integritätsstandard sagt - in seiner eigenen Sprache;
- wo die Standardsysteme nicht ausreichen;
- wie eine technisch vertretbare Integritätskontrolle aussieht;
- und welche operativen Instrumente die damit einhergehenden Verpflichtungen in Bezug auf Verfügbarkeit und Kontinuität erfüllen.
Was DORA tatsächlich über Datenintegrität aussagt
DORA verwendet die Integrität als eine spezifische, wiederkehrende Verpflichtung - nicht als allgemeinen Grundsatz. Artikel 9 Absatz 2 legt den Ausgangspunkt fest:
"Die Finanzinstitute müssen IKT-Sicherheitsstrategien, -verfahren, -protokolle und -instrumente entwerfen, beschaffen und umsetzen, ... um hohe Standards für die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten zu wahren, ob in Ruhe, im Gebrauch oder auf der Durchreise"."
In Artikel 12 Absatz 7 wird die Obergrenze festgelegt:
"Bei der Bewältigung eines IKT-bedingten Vorfalls führen die Finanzinstitute die erforderlichen Kontrollen durch, einschließlich etwaiger Mehrfachkontrollen und Abgleiche, um sicherstellen, dass ein Höchstmaß an Datenintegrität aufrechterhalten wird."
Diese Abgleichsverpflichtung erfordert einen festen Bezugspunkt - eine unabhängig überprüfbare Integritätsbasis, anhand derer die wiederhergestellten Daten überprüft werden können. Artikel 18 Absatz 1 Buchstabe d verknüpft die Integrität mit der Klassifizierung von Vorfällen. In Artikel 30 Absatz 2 Buchstabe c wird diese Verpflichtung auf IKT-Verträge mit Dritten ausgedehnt. Datenintegrität ist eine systemische Anforderung für Ihre gesamte Geschäftstätigkeit und Ihre Lieferkette.
Die Lücke, die die meisten Unternehmen nicht benannt haben
Die meisten beaufsichtigten Unternehmen verfügen bereits über SharePoint, Salesforce, Dynamics 365, Google Workspace, Microsoft 365 oder vergleichbare Plattformen, die Zugriffsprotokolle, Versionsverläufe und Zeitstempel erstellen. Es wird davon ausgegangen, dass dies eine angemessene Integritätskontrolle darstellt. Das ist nicht der Fall.
ENISA'In den technischen Standards des EU Cyber Resilience Act heißt es, dass die Datenintegrität "unter Verwendung aktueller, nicht veralteter Technologien sichergestellt werden sollte" und dass die Systeme unter Berücksichtigung der "Beweissicherung" entwickelt werden müssen, denn wenn der Zugang zu den Protokollen gefährdet ist, kann ein Angreifer seine Spuren verwischen.
Ein internes Protokoll, das im selben System gespeichert ist, kann verändert werden. Es ist nicht fälschungssicher. Wenn eine Aufsichtsbehörde Sie auffordert zu beweisen, dass eine Datei zu einem bestimmten Zeitpunkt in einem bestimmten Zustand war und seitdem nicht verändert wurde, kann ein interner Zeitstempel diese Frage nicht unabhängig beantworten. GDPR Artikel 5 Absatz 2 liegt die Beweislast beim für die Verarbeitung Verantwortlichen: Er muss die Einhaltung der Vorschriften nachweisen, nicht behaupten.
Wie überprüfbare Integrität tatsächlich aussieht
DORA schreibt keine technische Methode vor. Es schreibt ein Ergebnis vor: Daten, die authentisch, rückverfolgbar, fälschungssicher und über ihren gesamten Lebenszyklus hinweg unabhängig überprüfbar sind.
Ein technisch vertretbarer Weg ist die kryptografische Hash-Verankerung. Ein Fingerabdruck der Datei wird zum Zeitpunkt der Erstellung oder der letzten autorisierten Änderung erzeugt und in einem unveränderlichen öffentlichen Hauptbuch verankert. Der Inhalt des Dokuments gelangt nie in die Kette - die Vertraulichkeit ist somit gewahrt. Jede nachfolgende Änderung erzeugt einen anderen Hash. Die Divergenz ist mathematisch sicher und unabhängig überprüfbar, ohne Zugang zu sensiblen Inhalten.
Die Das Finanzstabilitätspapier 2024 der Bank of England über die operative Belastbarkeit stellte fest, dass Finanzunternehmen "das Potenzial der Distributed-Ledger-Technologie erkunden, um Finanzprozesse und -transaktionen effizienter zu gestalten... Sie wird wahrscheinlich auch im traditionellen Finanzsystem Anwendung finden"."
Truth Enforcer operationalisiert dies: Hash-Verankerung in einer öffentlichen Blockchain, sofortige Erkennung von Manipulationen, unabhängige Überprüfung ohne Offenlegung der Inhalte und Integration mit SharePoint, Salesforce, Google Workspace, und andere. Sie macht die Integritätsverpflichtung von DORA von einer politischen Aussage zu einer nachweisbaren und überprüfbaren Tatsache.
Integrität in operativer Belastbarkeit und Risikobeherrschung
DORA Artikel 5(2) legt die IKT-Risikosteuerung auf Vorstandsebene fest. Das Leitungsorgan muss die Geschäftskontinuitätspolitik und die Wiederherstellungspläne genehmigen, beaufsichtigen und überprüfen. Deloitte formuliert das Mandat direktUnternehmen müssen nachweisen, dass sie "allen Arten von IKT-bezogenen Störungen und Bedrohungen widerstehen, darauf reagieren und sich davon erholen können"."
Hash-verankerte Integritätsaufzeichnungen und Echtzeit-Synchronisationskontinuitätsprotokolle sind keine technologischen Vorlieben. Sie sind dokumentierter Nachweis der Einhaltung der Vorschriften mit Verpflichtungen, die der Vorstand gesetzlich überwachen muss. Der Grundsatz der Rechenschaftspflicht der DSGVO bringt das Argument auf den Punkt: Die Beweislast liegt bei Ihrer Organisation, und sie muss der Überprüfung standhalten.
Der Integritätsstandard von DORA ist direkt und bereits in Kraft. Die meisten Finanzinstitute verfügen über Zugangsprotokolle. Die meisten verfügen nicht über unabhängig überprüfbare, fälschungssichere Integritätsaufzeichnungen. Das ist die Lücke.
Ihr IKT-Risikorahmen sollte in der Lage sein, einen unabhängig überprüfbaren Integritätsnachweis für eine bestimmte Datei zu einem bestimmten Zeitpunkt zu erbringen, das ist der Standard, den Sie wollen - der höchste.
.
Kontaktieren Sie uns für den DORA-Integritätsstandard: https://www.connecting-software.com/truth-enforcer-sign-up/
OR
Probieren Sie es kostenlos aus:
Wahrheitsüberprüfer für IP-Schöpfer: https://truth-verifier.com/landing
Wahrheitsüberprüfer für Journalisten: https://truthverifier.news/landing
.
Informieren Sie sich über Microsoft-Synchronisierung für Geschäftskontinuität und Verfügbarkeit: https://www.connecting-software.com/microsoft-synchronization/
Durch Francisco Rodrigues, Produktmanager
"Ich schreibe darüber, wie sich Software-Integrationen an Geschäftsumgebungen anpassen und auf branchenspezifische Anforderungen reagieren können. Ich möchte Unternehmen den Weg zeigen, wie sie Prozesse rationalisieren, Engpässe beseitigen und die Einhaltung von Vorschriften sicherstellen können, indem sie Teams und Führungskräfte mit den richtigen Tools ausstatten."
Verwandte Lektüre
DORA-Datenintegrität: Was der “Höchste Standard” tatsächlich erfordert
Das Änderungsproblem: SEC-Regel 613 - CAT-Compliance mit Daten, die nachweislich nie berührt wurden
Reform des britischen Testamentsrechts 2025: Vorbereitung auf die unabhängige digitale Verifizierung, bevor das Gesetz in Kraft tritt