Digital Operational Resilience Act (DORA)
Mit der Verordnung DORA hat die Europäische Union eine Regulierung des Finanzsektors zum Thema Cybersicherheit, IKT-Risiken und Cyberresilienz geschaffen. Ein wichtiger Bestandteil ist dabei nach Kapitel IV „Testen der digitalen operationalen Resilienz“ das regelmäßige Durchführen von Sicherheitsüberprüfungen wie Schwachstellenscans, Penetrationstests und Red Team Assessments. Unterschieden wird dabei zwischen dem „Testen von IKT-Tools und -Systemen“, sowie „Erweiterten Tests […] auf Basis von TLPT“.
Testen von IKT-Tools und -Systemen
Alle von DORA betroffenen Unternehmen, mit Ausnahme von Kleinstunternehmen (weniger als 10 Mitarbeiter und weniger als 10 Million Euro Jahresumsatz), werden verpflichtet mindestens einmal jährlich Tests durchzuführen. Die Tests müssen dabei „bei allen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen“ durchgeführt werden.
Als Anbieter für Penetrationstests mit über 10 Jahren Erfahrung ist NSIDE der richtige Partner, um regelmäßige Tests nach DORA durchzuführen. Kommen Sie hierzu gerne auf uns zu, um sich beraten zu lassen. Dies schließt Penetrationstests, Quellcode-Analysen oder Schwachstellenscans ein, bei letzteren beraten wir Sie auch gerne für einen eigenen Aufbau.
Erweiterten Tests auf Basis von TLPT
„Bedrohungsorientierte Penetrationstests“, die erstmals im Dokument “G-7 Fundamental Elements for Threat-Led Penetration Testing” definiert wurden, beschreiben durch Threat Intelligence gesteuerte Red Team Assessments, wie sie bereits in TIBER definiert wurden. DORA baut dabei sehr stark auf dem TIBER-Rahmenwerk auf, bringt jedoch eine eigene, rechtliche bindende Ausarbeitung mit. Die operativ relevanten Abweichungen sind dabei jedoch gering.
Als TIBER Red Team Provider mit über 10 Jahren Erfahrung in generellen Red Team Assessments ist NSIDE der richtige Partner, um bei Ihnen Threat-Led Penetration Tests durchzuführen. Kommen Sie hierzu gerne auf uns zu, um sich beraten zu lassen.