Mit DORA zurechtkommen: Compliance durch Cyber-Resilienz

01:20 Raghu Nandakumara

Hallo zusammen. Willkommen zu einer weiteren Folge von The Segment. Es ist mir eine große Freude, Tristen Morgan, Geschäftsführer für Cybersicherheit bei BT Group, und Mark Hendry, Partner für digitale Dienste bei Evelyn Partners, begrüßen zu dürfen. Tris, Mark, willkommen bei The Segment.

01:34 Mark Hendry

Danke, schön, hier zu sein.

01:35 Tristan Morgan

Danke, dass du uns hast.

01:38 Raghu Nandakumara

Nun, das Vergnügen liegt ganz bei mir, und ich kann mich mit zwei Leuten unterhalten und nicht mit den üblichen. Es macht also doppelt so viel Spaß, doppelt so viel Mühe. Wir sprechen über Compliance, insbesondere in Bezug auf die Finanzdienstleistungsbranche, und darüber, was das für Cybersicherheit bedeutet. Ein bisschen Hintergrundinformationen über Sie beide. Also Tris, warum erzählst du uns nicht zuerst von dir?

01:56 Tristan Morgan

Ja, danke. Es ist toll, hier zu sein, und wissen Sie, ich habe das Vergnügen, zum Schutz aller Kunden der BT Group beizutragen, insbesondere im Geschäftsbereich. Deshalb schaue ich mir an, welche Produkte und Dienstleistungen wir auf den Markt bringen wollen, wie wir sie bedienen und letztendlich, ganz im Sinne der heutigen Zeit, wie wir sicherstellen, dass sie sicher sind. Wissen Sie, Sie können sich vor so vielen Verstößen wie möglich schützen und gleichzeitig die Vorschriften einhalten. Ich mache das also seit einigen Jahren und davor hatte ich einen soliden Hintergrund im Regierungssektor, sowohl im Vereinigten Königreich als auch international.

02:29 Raghu Nandakumara

Fantastisch. Danke, Tris. Mark.

02:33 Mark Hendry

Nett, danke für die Einladung. Also ja. Mark Hendry, ich bin Partner für digitale Dienstleistungen bei Evelyn Partners, einer Unternehmensberatungsfirma mit Fokus auf Großbritannien und Irland. Bevor ich zu dieser Kanzlei kam, habe ich einen Großteil meiner Zeit in einer Vielzahl von Unternehmen, Technologieunternehmen, Big-Four-Beratern und Anwaltskanzleien verbracht. Ab etwa 2014 war ein Großteil meiner Praxis entweder von Anwälten beauftragt oder ich arbeitete als Teil eines Rechtsteams, als technischer und operativer Experte, der regulatorische Anforderungen interpretierte, sich an Vorschriften und behördliche Durchsetzung anpasste oder diese sogar in Frage stellte. Dazu gehören Dinge wie große Programme zur digitalen regulatorischen Änderung in den Jahren der DSGVO und die Zusammenarbeit mit Mandanten, die von Datenschutzverletzungen oder Cybersicherheitsvorfällen betroffen waren und die behördliche Kontrolle und Durchsetzung untersuchen, beheben und sich mit behördlichen Kontrollen und Durchsetzungsmaßnahmen auseinandersetzen mussten. Es ist also eine unterhaltsame Zeit, in der Welt der digitalen Vorschriften am Leben zu sein — und danke, dass wir in diesem Podcast darüber sprechen dürfen.

03:43 Raghu Nandakumara

Nun, wie gesagt, richtig, das Vergnügen liegt bei uns. Also Tris, Mark, vielen Dank. Also, Mark, der letzte Teil deines Intros, glaube ich, gibt den Anstoß, wo wir wohl mit dem Beginn dieser Konversation hingehen werden. Und es geht darum, Ihre beiden Sichtweisen auf die Ihrer Meinung nach größten Cyberbedrohungen einzubeziehen, die sich nicht nur allgemein, sondern auch speziell auf den Finanzdienstleistungssektor auswirken. Tris also deine Gedanken.

04:13 Tristan Morgan

Ich meine, die Bedrohungen sind zahlreich. Und ich denke, was man bei der Sicherheit beachten sollte, ist, dass es sich nicht um eine Art von Bedrohung handelt, sondern um viele. Und selbst diese vielen entwickeln sich ständig weiter und verändern sich aufgrund einer Vielzahl von Faktoren. Es könnten wirtschaftliche Herausforderungen sein, geopolitische Herausforderungen, es könnten andere Ideologien sein. Daher sind viele unserer Kunden mit diesen sich ständig ändernden Angriffen einer Vielzahl von Kunden konfrontiert. Was wir gesehen haben, wenn auch ausgiebig, ist, dass sich viele der Angriffe früher hauptsächlich auf größere multinationale Unternehmen, Organisationen mit kritischer Infrastruktur und kritischen Daten konzentrierten. Und zunehmend ist das nicht der Fall. Sie sind immer noch absolut zielgerichtet, aber kleine und mittlere Unternehmen sind jetzt wirklich davon betroffen. Wenn man es also aus der Sicht der Bedrohung betrachtet, ist es jetzt überall und betrifft Unternehmen aller Größen und Formen. Und ich denke, das ist ein Teil der Veränderung, wissen Sie, die wir erlebt haben.

05:17 Raghu Nandakumara

Ja, absolut richtig. Und ich denke, die Daten zeigen absolut, dass die Ausweitung der Auswirkungen, angefangen von den Zielen, die durch Anführungszeichen als wertvollste Ziele angesehen wurden, hin zu etwas, das sich auf Unternehmen jeder Größe und Branche auswirkt. Wie Mark, was sind Ihre Sichtweisen, um das, was Tris gesagt hat, fortzusetzen?

05:40 Mark Hendry

Ja, ich denke, nehmen wir den historischen Punkt: großes Unternehmen, viele Vermögenswerte, großes Ziel, reiche Auswahl. Kleinere Unternehmen werden ins Visier genommen. Warum? Viele Gründe. Kriminelle Gemeinschaften wissen jedoch sehr gut, wie sich Cyberkriminalität auszahlt. Relativ niedriges Risiko. Es geht nicht darum, mit einer Schrotflinte in eine Bank zu gehen, und die Belohnungen sind riesig. Nehmen wir auch die digitale Lieferkette. Tatsächlich werden diese kleineren Unternehmen also potenziell ins Visier genommen, weil sie mit großen Unternehmen verbunden sind. Sie können sie also ins Visier nehmen, und dann können Sie sich über Netzwerke hinweg in verbundene Organisationen bewegen und mehrere Folgewirkungen erzielen. Es geht also um die Art und Weise, wie sich die Welt im Laufe der Zeit verändert und digitalisiert hat. Vernetzung: Wir haben vor ein paar Jahren über das Jahr des Supply-Chain-Angriffs gesprochen, jetzt, wo das nicht aufgehört hat. Und das Jahr der Ransomware: nicht gestoppt, sondern weiterentwickelt, einfach verändert. Niedrigere Eintrittsbarrieren für kriminelle Organisationen und kriminelle Akteure, die ihre Methoden und Tools weitergeben, Ransomware-as-a-Service, Playbooks verfügbar, Kundendienstabteilungen krimineller Organisationen tauchen auf. Das ist sehr interessant und ja, die Bedrohungsmodalitäten ändern sich oft. Ich nehme an, die Beweggründe der Bedrohungsakteure bleiben weitgehend unverändert, und das hängt davon ab, wer sie sind, ob es sich um einen Nationalstaat oder eine Organisation des organisierten Verbrechens handelt oder ob es sich um eine untergeordnete kriminelle Gruppe handelt oder ob es sich um einen Stammgast handelt. Sie sind alle hinter etwas her, und die Art und Weise, wie sie damit umgehen können, ändert sich einfach und entwickelt sich im Laufe der Zeit weiter. Also ändert sich auch die Art und Weise, wie wir Verteidiger verteidigen müssen, im Laufe der Zeit.

07:30 Tristan Morgan

Und wenn es dir nichts ausmacht, spring einfach rein. Sie denken an viele dieser Unternehmen. Sie denken an viele Organisationen, die versuchen, Unternehmen zu schaden. Sie werden tatsächlich wie Unternehmen geführt, weil sie Unternehmen sind. Wenn wir uns also die Einführung von Technologien und die digitale Transformation ansehen, schauen sie sich die Technologien an, um zu verstehen, wie sie ausgenutzt werden können, wie wir sie nutzen können, um im Internet Böses zu tun. Sie haben also zwei ähnliche, aber sehr unterschiedliche Geschäftsmodelle.

07:56 Raghu Nandakumara

Absolut. Es gibt also definitiv ein Geschäftsmodell, bei dem es um Rentabilität geht, und ich schätze, die Wirtschaftlichkeit von Ransomware und Ransomware als Unternehmen oder Cyberangriffe als Unternehmen. Und Sie haben beide verschiedene Dinge zum Thema Motivation angesprochen, dass es nicht nur das Jahr der Ransomware ist, sondern ich würde sagen, die Jahre der Ransomware, genau im Plural. Und wirklich, es ist die Modalität der Angriffe, und obwohl sich die Taktik selbst, die Taktik auf hoher Ebene, nicht wirklich von Angriff zu Angriff, von Angreifer zu Angreifer ändert, entwickeln sich einige ihrer Techniken und Verfahren weiter. Aber lassen Sie uns diese nach und nach auspacken, und schauen wir uns die Motivation und eines der Dinge an. Schauen wir uns die verschiedenen ähnlichen Berichte der letzten Jahre an. Eine Sache, die ans Licht kommt, ist ein Teil der Verlagerung hin zu mehr Angriffen, die darauf abzielen, die Verfügbarkeit und Produktivität zu beeinträchtigen, über den bloßen Erpressungsansatz hinaus. Der Rentabilitätsansatz. Wie siehst du das? Und sehen Sie dies als eine zunehmende Besorgnis der Organisationen an? Wie stellen wir sicher, dass wir weiterhin produktiv sind, weil wir wissen, dass dieser Angriff unmittelbar bevorsteht?

09:15 Mark Hendry

Du hast recht. Also der Begriff Resilienz, wovon Sie sprechen, ist, ich würde sagen, ständige Präsenz im Kopf, denn selbst wenn ein Sicherheitsverstoß im Gange ist, ist es für mich keine Frage, ob das Unternehmen nicht betriebsbereit ist. Nun ja, wie können wir weiterarbeiten, auch wenn es in unserem Unternehmen Dinge gibt, die im Gange sind? Wenn Sie sich also die digitale, vernetzte Welt ansehen, haben die meisten Unternehmen in dem neuen Hyper-Scaler-SaaS-Modell, das wir haben, alles von den Größen abgefangen. Daher liegt der Schwerpunkt auf der IT-Resilienz. Falls es zu einem Ausfall kommt, der nichts mit dem Internet zu tun hat, und tatsächlich ist ein Cyberausfall jetzt von größter Bedeutung, weil Sie hier ein berechtigtes Argument vorbringen, nämlich dass es nicht nur um Ransomware geht und darum, eine Zahlung zu verlangen, damit Ihre Daten wieder an Sie weitergegeben werden oder es Ihnen gut geht. Eigentlich geht es viel mehr darum, naja, ob Sie eine Website herunterfahren können, damit Sie keine neuen Bestellungen verkaufen können, oder Sie können verhindern, Sie wissen schon, dass all Ihre 50.000 Mitarbeiter reinkommen und alles tun, was das Unternehmen an sich auch eine Menge Geld kostet.

10:21 Raghu Nandakumara

Und ja, und ich glaube, das hängt damit zusammen. Ich habe mir einen der neueren Berichte über Datenschutzverletzungen angesehen, in denen es darum geht, dass, wenn man sich die durchschnittlichen Kosten einer Datenschutzverletzung ansieht, etwa 33% — ein Drittel davon — auf entgangene Geschäfte zurückgeführt werden. Und dieser Prozentsatz an den Gesamtkosten steigt, was zuvor — die erheblichen Auswirkungen — entweder der Zahlung des Lösegelds oder der Wiederherstellung gleichkam. Aber diese Auswirkung auf das Unternehmen selbst, die Produktivität, nimmt einfach von Tag zu Tag zu. Also, Mark, wie in Ihren Gesprächen mit Ihren Kunden, was ist die Art dieser Konversation, wenn es um betriebliche Widerstandsfähigkeit und Cyber-Resilienz geht?

11:02 Mark Hendry

Hängt davon ab, mit wem du sprichst und was ihnen wichtig ist und in welcher Branche sie tätig sind, und so oft geht es darum, eine Geschichte zu erzählen. So ist zum Beispiel einer der Ransomware-Vorfälle, an denen ich vor einiger Zeit gearbeitet habe, schon eine Weile her, aber es ist eine ziemlich gute Geschichte. Sie wurden Opfer einer massiven Ransomware-Attacke, einem ausgiebigen Ransomware-Angriff, der sie praktisch am Laufen hielt. Und sie verloren täglich Millionen. Sie waren ein schnelllebiges Konsumgüterunternehmen, also konnten sie keine Waren in und aus ihrem Lager transportieren, keine Etiketten drucken, konnten den Mitarbeitern der Gig-Economy nicht sagen, wann sie zur Arbeit kommen sollten und wo sie zur Arbeit kommen sollten, sie konnten keine Lieferanten bezahlen, konnten keine Mitarbeiter bezahlen, viele Dinge des täglichen Bedarfs. Und sie verloren Millionen im Umsatz, waren aber aus philosophischer Sicht absolut dagegen, einen kriminellen Akteur für die Wiederherstellung ihrer Systeme und Daten zu bezahlen. Wenn ich also mit einer Organisation spreche, die etwas produziert, das über Produktionslinien verfügt und bei denen Leute bei Auftritten ein- und ausgehen, Nullstunden-Vertragsarbeiter, ist das eine gute Geschichte, um sie zu erzählen und ihren Horizont dafür zu schärfen, wie die Art der Auswirkungen aussehen und sich anfühlen könnte und wie sie Entscheidungen treffen werden, wenn sie mit einer solchen Krise konfrontiert sind. Wohingegen sich ein Finanzdienstleistungsunternehmen in Bezug auf seine Arbeitsweise und die Art und Weise, wie es Umsatz erzielt, stark unterscheidet. Und daher, wie sie wahrscheinlich Entscheidungen treffen müssen, wie sie sich bei einem Kommunikationsausfall sogar koordinieren werden, wie sie diese Dinge planen und wie sie dann diese philosophischen Entscheidungen sowie die praktischen, betrieblichen und technischen Entscheidungen treffen. Und natürlich haben verschiedene Branchen unterschiedliche Verpflichtungen, Belastungen, Aufsichts- und Aufsichtsvorschriften. Wenn Sie also im Finanzdienstleistungssektor tätig sind und von den Gesamtkosten eines störenden Ransomware-Angriffs oder eines anderen digital orientierten Ausfalls sprechen, dann ist es wahrscheinlich, dass ein beträchtlicher Teil dieser Kosten auf einen Bußgeldbescheid Ihres Vorgesetzten, Ihrer Aufsichtsbehörde, zurückzuführen ist. Wenn Sie jedoch, Sie wissen schon, vorerst ein Unternehmen sind, das Lebensmittel herstellt, erwarten Sie nicht wirklich eine hohe Geldbuße für Ausfälle, die Ihre Systeme widerstandsfähig halten. Vielleicht bekommen Sie auch eine solche wegen einer Verletzung des Schutzes personenbezogener Daten, das ist eine etwas andere Sache. Es liegt in der Art der Überwachung, und die Durchsetzung kann je nach Branche drastisch variieren, und das kann Ihre Einschätzung der Gesamtkosten dieser Art von Störung wirklich drastisch verändern.

13:47 Raghu Nandakumara

Ja, absolut. Sie nähern sich einem Bereich, in dem wir untersuchen möchten, wie Compliance und regulierte Branchen oder wie konforme und stark regulierte Branchen zu besseren Standards führen, und in diesem Fall zu mehr Sicherheit und Widerstandsfähigkeit. Vor diesem Hintergrund, wie sehen Sie den Wandel? Weil ich in früheren Karrieren persönliche Erfahrungen gemacht habe. Die Checkliste aus Compliance-Sicht war ziemlich rund, okay, gehen Sie diese Liste durch, überprüfen Sie, ob Sie all diese Dinge tun, und legen Sie dann im Wesentlichen Ihre Beweise vor. Aufgrund der Auswirkungen dieser Kontrollen fehlte jedoch oft der Kontext, sodass sie eher statisch sind, als dass sie tatsächlich eine signifikante Verbesserung der Sicherheitslage aufzeigen. Was ist Ihre Perspektive dazu? Kommen wir gleich zu DORA. Es gibt einige interessante Änderungen, die DORA in dieser Hinsicht vorantreibt. Aber was ist Ihre Sicht auf einen historischen Rückblick auf die Einhaltung der Vorschriften und die Wirksamkeit dieser Anforderungen?

14:48 Tristan Morgan

Ich denke, in vielen Unternehmen wurde Compliance oft als etwas angesehen, das eine Herausforderung darstellte, aber es gab auch Fragezeichen im Zusammenhang mit dem Warum. Und Sie sprechen einen triftigen Punkt an, wo es oft als Checkbox-Übung bezeichnet wurde. Und wenn Sie sich einige der jüngsten Entwicklungen ansehen, wenn Sie dann nach vorne schauen, zum Beispiel das Cyber-Assessment-Framework, das vom britischen NCSC entwickelt wurde, wissen Sie, das ist kein Kästchen. Es geht wirklich um eine Bewertung auf einer Skala. Was Sie also auf organisatorischer Basis tun können, ist, sagen wir, einige Unternehmen, diese Dinge sind wichtiger als andere Dinge. So können Sie die Bereiche, in denen Sie die Vorschriften einhalten müssen, auswählen und herausfinden, in welchem Maße Sie die Vorschriften im Vergleich zur Waage einhalten müssen? Ich denke, das ist wirklich wichtig, denn ein gutes Beispiel wären betriebliche Playbooks für den Fall eines Verstoßes. Nun, welche Art von Szenarien versuchst du zu simulieren? Wie weit würden Sie nach einer Sicherheitslücke suchen, die ein ganzes Unternehmen durchdringen kann? Es sind all diese Dinge, bei denen Sie anhand des Risikos für Kunden und eine breitere Lieferkette beurteilen müssen, inwieweit Sie diese tatsächlich haben müssen.

15:55 Raghu Nandakumara

Ja, absolut richtig. Ich denke, das kommt wieder auf die Frage der Verhältnismäßigkeit zurück. Was ist für Sie relevant, basierend auf dem, was für Ihr Unternehmen wichtig ist. Also, ich denke Mark, was ist Ihre Sicht darauf, was Sie angesichts Ihres Hintergrunds getan haben, was Sie in der Vergangenheit mit Kunden gemacht haben und wie sich das im Laufe der Zeit verändert hat?

16:15 Mark Hendry

Ich nehme an, nun, schauen Sie, das regulatorische Umfeld im digitalen Raum — nennen wir es den digitalen Raum und den Datenraum — hat sich verändert und verändert sich massiv. In meiner jahrelangen Praxis beriet ich Kunden in Bezug auf den Data Protection Act 1998 in seiner jetzigen Form, und dann hatten wir die DSGVO und die britische DSGVO und den britischen Datenschutzgesetz. Auch die Art und Weise, wie wir das praktiziert haben, oder die Art und Weise, wie Kunden und Unternehmen dabei Hilfe benötigten, hat sich im Laufe der Zeit geändert. Ich denke, das liegt vielleicht ein bisschen an meinem eigenen Ansehen als Praktiker, und vielleicht geht es ein bisschen um die Raffinesse des digitalen Ökosystems, der Welt, und ich nehme an, die Einhaltung gesetzlicher Vorschriften oder des Normenumfelds, in dem wir alle jetzt leben. Damals bin ich zum Beispiel in Call Centern und Data Warehouses herumgegangen und habe sichergestellt, dass die Kontrollen vorhanden oder nicht vorhanden sind und bis zu einem gewissen Grad funktionieren, und ich habe vereinbarte Verfahren, Audits und was auch immer durchgeführt. Ich bin mir sicher, dass einige dieser Dinge immer noch andauern. Aber wenn Sie sich den Text der Standards ansehen, wissen Sie, das NIST-Cybersicherheits-Framework oder das Cyber-Assessment-Framework für MCSC, wie Tris gerade sagte, oder tatsächlich in NIS2 und DORA. NIS2 ist also ein gutes Beispiel. Es sagt so etwas wie die Berücksichtigung des Stands der Technik, der überhaupt nicht statisch ist. Es ändert sich ständig. Es gibt also eine Menge Interpretationen. Und warum steht das da? Weil sich der Stand der Technik in den Bereichen Schutz, Erkennung und Reaktion ändern muss, so wie sich auch der Stand der Technik in Bezug auf Angriffe und Schadensverursachung ändert. Und diese Vorschriften müssen sich 20 bis 30 Jahre lang bewähren, und sie müssen durch unterstützende Leitlinien weiterentwickelt werden. Aber es weist darauf hin, Sie wissen schon, NIS2, das eine Beziehung zu DORA hat. NIS2 hat in seinen Definitionen eine Definition für Standard. Was wir mit Norm meinen, ist, wenn sich diese Verordnung auf Normen bezieht, bezieht sie sich auf internationale Normen, bezieht sie sich auf europäische Normen, bezieht sie sich auf technische Normen. Und so weisen sie Sie sofort auf die anderen Orte hin, an denen es schneller geht als die Vorschriften selbst. Und deshalb ändert sich die Art und Weise, wie wir Kunden beraten, die Art und Weise, wie Kunden diese Dinge berücksichtigen und handeln müssen, alles sehr, sehr häufig.

18:58 Raghu Nandakumara

Ja, ich finde, du hast das wunderbar ausgedrückt. Und es ist so, Tris, weil wenn man das im Hinterkopf behält, fühlt es sich an, als ob das, was wir jetzt sehen, ist, und Sie haben NIS2 erwähnt, aber lassen Sie mich DORA hier vorstellen, dass es darüber spricht, wie es ISO 27001 als Inspiration genutzt hat, auf der man aufbauen kann. Weil da so viel drin ist, was schon irgendwie relevant ist, anstatt zu versuchen, das Rad neu zu erfinden. Ich denke, das, was Mark gesagt hat, ist eine engere Abstimmung zwischen Vorschriften und sicheren Rahmenbedingungen und Standards, die Unternehmen ohnehin übernehmen, um Doppelarbeit zu vermeiden. Stimmt das mit dem überein, was Sie beobachten?

19:46 Tristan Morgan

Oh, zu 100%, und tatsächlich hilft das, weißt du, dem Geschäft wirklich. Sie denken an einige dieser großen globalen Standards wie ISO, die viele Unternehmen in einer Reihe von Bereichen anwenden. Wenn Sie etwas völlig anderes aufbauen und alle Unternehmen auffordern würden, sich an etwas zu halten, das anders ist, würde das nicht nur erhebliche Kosten verursachen, ich denke, Sie stoßen auch auf viel größeren Widerstand, wohingegen diese Vorschriften, wie DORA, auf branchenweit anerkannten Best Practices aufbauen, die viele Unternehmen bereits bis zu einem gewissen Grad anwenden, und zwar vernünftig, aber sie verringern auch das Hindernis für die Einhaltung von Vorschriften. Ich meine, es gibt immer noch viele Dinge zu tun, um dorthin zu gelangen, aber eigentlich ist es weniger. Es bedeutet aber auch, dass Unternehmen mehr Gemeinschaften zur Verfügung stehen, mit denen sie sprechen können, um zu verstehen, was sie tun müssen und um welche Bereiche sie sich keine Sorgen machen müssen. Ich sehe, dass dies in einer Reihe von Sektoren zwar mit Herausforderungen verbunden ist, aber es ist auch leicht zu befriedigen, dass dies etwas ist, das allgemein angewendet wird, und Unternehmen müssen sich nicht an unterschiedliche lokale Gesetze und Länder halten, weil viele Unternehmen, die wir beliefern und Sie bedienen werden, über Landesgrenzen hinweg arbeiten.

20:57 Raghu Nandakumara

Ja, absolut. Und eigentlich ist das ein interessanter Punkt, über den man einfach ein bisschen mehr sprechen sollte, denn NIS2 ist naturgemäß so, dass die EU NIS2 als Richtlinie definiert und die Mitgliedsländer dann im Wesentlichen auffordert, dies in die entsprechenden lokalen Vorschriften zu übernehmen. Aber im Vergleich zum Fall von DORA hat die EU gesagt: „Eigentlich werden wir die Verantwortung dafür übernehmen, dass dies flächendeckend angewendet wird.“ Warum gibt es einen so unterschiedlichen Ansatz zwischen dem NIS2, das umfassender ist und mehr Branchen abdeckt, und DORA, das quasi zu einer EU-weiten Verordnung wird, oder? Warum gibt es einen unterschiedlichen Ansatz?

21:46 Tristan Morgan

Ich würde sagen, es erkennt und hebt es an und betrachtet dies tatsächlich als die europäische Wirtschaft. Wir müssen also erkennen, welche Auswirkungen dies haben kann, nicht nur auf der Ebene eines einzelnen Landes, sondern auf einer breiteren, breiteren geografischen Ebene, es sei denn, Sie betrachten einige dieser grundlegenden Probleme im Zusammenhang mit Resilienz und Cybersicherheit, denn ohne das, wenn Sie es unterschiedlich interpretieren, dann gibt es keine Harmonisierung, und Sie bewegen sich nicht alle in dieselbe Richtung. Natürlich gibt es noch eine weitere Sache im Bereich Sicherheit. Wenn man es als Mannschaftssport betrachtet, muss man Informationen zwischen Organisationen austauschen, um gemeinsam besser zu sein. Und ich denke noch einmal, wenn man sich diese kontinent- und europaweiten Vorschriften anschaut, sind sie wichtig, weil das einer ihrer Eckpfeiler ist.

22:32 Raghu Nandakumara

Und ja, ich denke, das ist ein wichtiger Punkt. Und ich denke auch, dass die Finanzdienstleistungsbranche, sowohl in der EU als auch weltweit, grenzüberschreitend viel stärker vernetzt ist als alle anderen kritischen Branchen, die NIS2 abdeckt. Und Mark, was sind deine Gedanken?

22:50 Mark Hendry

Ja, ich stimme voll und ganz dem zu, was du gesagt hast. Ja, ich denke, es geht ein bisschen um das Erbe. NIS2 ist der zweite. Es kommt von NIS. Wir hatten und haben NUS im Vereinigten Königreich. Für diejenigen, die das ursprüngliche NIS-Netzwerk und die Informationssysteme nicht kennen, was auch immer es ist, war die Verordnung 2018 wirklich auf die Betreiber wesentlicher Dienste ausgerichtet. Das sind also wichtige nationale Infrastrukturen, Versorgungsunternehmen, Verkehr und solche Dinge sowie sogenannte RDSPs, relevante digitale Dienstleister. Und das war alles umgesetztes internationales Recht. Es war ungefähr zur gleichen Zeit wie die DSGVO. Die DSGVO erregte die ganze Aufmerksamkeit und in der Folge praktisch die gesamte Durchsetzung und Überwachung. Und NIS2 ist der zweite Biss auf die Kirsche, weil es anerkennt, dass ein breiteres Spektrum von Branchen auf nationaler und internationaler, wirtschaftlicher und sozialer sowie gesellschaftlicher Basis als kritisch oder wichtig angesehen werden sollte. Aber sie sind nicht wirklich koordiniert, es gibt keine Koordination zwischen, ich weiß nicht, der französischen Post und der, ich weiß nicht, Wasserstoffinfrastrukturwirtschaft des Vereinigten Königreichs. Es wäre also wirklich schwierig, etwas zu entwickeln, das für all die Branchen geeignet ist, die in den Geltungsbereich von NIS2 fallen. Und harmonisch, wohingegen, wie Sie gesagt haben, die europäischen Finanzdienstleistungen, Wirtschaft und Gesellschaft sowie das Aufsichtssystem seit geraumer Zeit koordiniert sind, und aus diesem Grund hat DORA, ein harmonisiertes und pauschales Gesetz, eine viel bessere Chance. Sie wissen, die Zeit wird der Beweis sein, aber sie hat eine viel bessere Chance, das zu erreichen, was erreicht werden muss, oder die Prinzipien, die mit diesem harmonisierten Instrument erreicht werden sollen, zu erreichen.

24:45 Raghu Nandakumara

Vor diesem Hintergrund und ich denke, wir sind mit der Natur der ICT-Risikomanagementvorschriften in der Finanzdienstleistungsbranche in der Vergangenheit vertraut, was war Ihrer Meinung nach der Auslöser oder der Wendepunkt für die EU, vieles davon neu zu formulieren und die betriebliche Widerstandsfähigkeit wirklich zum Hauptziel zu machen? Was war der Wendepunkt, Mark?

25:14 Mark Hendry

Ich betrachte dies als die wahrscheinlich größte Resilienzintervention im Finanzdienstleistungssektor seit dem Crash 2008. Nach dem Crash von 2008 ging es um finanzielle Widerstandsfähigkeit, um Bargeld im System. Seit 2008 hat sich viel geändert, und wir haben schon früher darüber gesprochen, darüber, wie vernetzt die Wirtschaft und all ihre Akteure sind und wie sehr die Gesellschaft in einem Ausmaß von der digitalen Infrastruktur abhängig ist, das meiner Meinung nach schon kommen konnte, aber möglicherweise ein bisschen überraschend war, was die Dominoeffekte sein können, wenn es zu einem Ausfall kommt. Ich denke, in ganz Europa herrscht große Besorgnis und Nervosität darüber, was passiert, wenn dieser Akteur des ersten Grades, den niemand wirklich wahrnimmt, weil er tief in der digitalen Lieferkette vergraben ist, niemand wirklich die gebotene Sorgfalt walten lässt, aber wir alle verlassen uns auf ihn. Wir wissen es nur noch nicht. Sie sehen also, dass das in Dingen wie den Identifikationszielen in DORA zum Ausdruck kommt, wo Sie Ihre Lieferkette wirklich gründlich und tiefgründig abbilden müssen, um zu sehen, wer mit wem verbunden ist und wer mit ihnen verbunden ist und auf wen sie sich alle verlassen. Und vor Kurzem gab es ein wirklich gutes Beispiel, bei dem inmitten all dieser DORA-Prozesse und -Programme zur Identifizierung der Lieferkette und zur Bestimmung, wen wir als Finanzdienstleister, der DORA unterliegt, als kritischer oder wichtiger ICT-Anbieter betrachten. Als ICT-Anbieter wird das mit vielen dieser Finanzdienstleistungsinstitute zusammenarbeiten, die keinen Cyberangriff erlitten haben, deren Widgets und Dongles jedoch angeschlossen und auf vielen Servern und vielen Laptops eingesetzt wurden. Und etwas, das sie getan haben, hat zu einem großen, störenden Betriebsausfall geführt. Und das hatte nichts mit einem Cyberangriff zu tun, und deshalb beinhaltet es Elemente des ICT-Risikomanagements, die Sie und ich als Cyberziele, Cybermandate, Cyberanforderungen betrachten würden. Aber es geht um mehr als das, es geht um digitale betriebliche Widerstandsfähigkeit, denn das war kein Cyberangriff, und ja, es hatte für kurze Zeit ähnliche Auswirkungen wie ein störender Ransomware-Angriff. Und das ist der Grund, warum das zustande gekommen ist. Es geht darum, auf der Grundlage der aktuellen Funktionsweise der Welt zu intervenieren.

27:40 Raghu Nandakumara

Ja, absolut. Ich komme auf einige Dinge zurück, die du gesagt hast. Tris, hast du noch etwas hinzuzufügen?

27:44 Tristan Morgan

Ich denke, sie könnten es auch kommen sehen. Und wenn man sich nur die stark vernetzte, sondern auch die Just-in-Time-Wirtschaft anschaut, die wir in kritischen Sektoren haben, und Mark hat darauf Bezug genommen, wird einem klar, dass zu jedem Zeitpunkt, zu einem bestimmten Zeitpunkt, nicht nur kleine, lokalisierte Auswirkungen viel größere Auswirkungen haben können. Deshalb denke ich, dass in die Planung dafür mehr Weitblick eingeflossen ist, aber auch, und für die Unternehmen, mit denen ich zusammenarbeite, die Organisationen um mehr Beratung und Standardisierung in einigen dieser Dinge bitten, damit bestimmte Unternehmen oder Sektoren nicht die gesamten Kosten dafür tragen müssen.

28:28 Raghu Nandakumara

Da sind ein paar Dinge drin. Lassen Sie uns über die Auswirkungen nachdenken, denn Sie beide haben sie erwähnt. Und ich kann mir ein aktuelles Beispiel vorstellen, bei dem es sich um einen Cyberangriff im Zusammenhang mit dem ICBC-Ransomware-Angriff Ende 2023 handelte, der sich dann auf ihren wichtigsten Bestandteil der US-Wertpapiere, den US-Wertpapiermarkt, auswirkte. Und dann gab es den Dominoeffekt, dass Geschäfte usw. zwischen all ihren Gegenparteien abgewickelt werden konnten. Und das ist ein gutes Beispiel dafür, was, wie DORA und die damit verbundenen Kontrollen, buchstäblich versucht, die Auswirkungen zu reduzieren, aber die Sache mit Drittanbietern finde ich wirklich interessant. Und die erste Frage, die ich Ihnen beiden stellen werde, lautet: Wie unterscheidet man einen kritischen Drittanbieter von einem unkritischen Serviceprodukt eines Drittanbieters? Weil diese, diese Art von, diese Kette, die sich bis zum Ende krümmt, weil Sie weiter graben und sagen könnten: „Nun, das ist entscheidend für meinen Prozess, und das ist es, und das ist.“ Ich meine, alles ist entscheidend. Also, wie unterscheidet man sich?

29:35 Mark Hendry

Ich meine, es gibt einen Punkt, an dem das nicht stimmt, nämlich, es ist eine Frage der Interpretation und daher eine Frage der Tiefe und Gründlichkeit, und es besteht ein Risikogleichgewicht zwischen dem Grundsatz der Verhältnismäßigkeit. Alle diese Vorschriften enthalten einen Grundsatz der Verhältnismäßigkeit, was beispielsweise damit zu tun hat, das Risiko für X, Y und Z zu berücksichtigen. In der DSGVO geht es also um das Risiko, natürlichen Personen, Ihnen und mir, zu schaden, wenn unsere Daten gehackt oder gestohlen werden. Und es geht darum, ob es sich um medizinische Daten handelt und um jemanden, von dem wir nicht wollen, dass wir sie erhalten, oder um Finanzdaten, wie hoch ist das Schadensrisiko? Deshalb haben Sie angemessene Sicherheitsvorkehrungen getroffen, um dem entgegenzuwirken. Und wenn es dann um die Abbildung der Lieferkette geht, wenn Sie so wollen, was ist entscheidend und wichtig? Nun, weisen Sie darauf hin, dass ich kein Anwalt bin, aber schauen Sie sich die Definitionen an und interpretieren Sie sie für Ihr Unternehmen. Und es gibt wirklich zwei. Ich habe neulich einige Ratschläge dazu gegeben. Es gibt wirklich zwei Möglichkeiten, dies zu berücksichtigen, zumindest in dem Kundenszenario, mit dem ich es zu tun hatte, nämlich dass sie kritisch und wichtig sind, wenn sie ausfallen oder verschwinden, und das hindert Sie daran, die Dinge zu erledigen, die im Finanzdienstleistungssektor und in der Wirtschaft wichtig sind. Und es geht um Dinge wie den Abschluss von Transaktionen oder die Platzierung von Geschäften oder was auch immer es sein mag, Sie wissen schon, Leute, die Geld aus Automaten herausholen. Im zweiten Teil geht es darum, was Ihnen wichtig ist. Das ist es also, was für die Wirtschaft und die Menschen darin und die anderen Akteure, die handeln, wichtig ist. Und dann ist da noch die Frage, ob es für Sie entscheidend oder wichtig ist? Und da geht es eher darum, ob Sie handeln können und ob Sie die Verpflichtungen erfüllen können, die Sie sich selbst, Ihren Mitarbeitern und anderen gegenüber haben, die sich auf Sie verlassen und von Ihnen erwarten, dass Sie etwas tun. In diesem Gespräch mit dem Kunden hieß es zum Beispiel: „Ah, was ist mit unserem Risikomanagement?“ „Wir verwenden X, Y und Z, ein Cloud-Portal oder eine Cloud-Plattform, um das zu erfüllen, und es wird von X, Y und Z angewendet.“ Sind sie also von entscheidender Bedeutung? Nun, wenn sie zu einem bestimmten Zeitpunkt für mehr als eine Woche ausfallen, kommen Sie Ihrer behördlichen Verpflichtung nicht nach. Also ja, sie sind eine der beiden. Sie sind von entscheidender Bedeutung. Sie entscheiden, wer das durchstehen kann, aber so gehe ich vor.

31:58 Raghu Nandakumara

Tris, nur um dem entgegenzuwirken, ich denke, die Verhältnismäßigkeit ist Teil des Eigentums dieser Vorschriften, und insbesondere DORA, macht sie meiner Meinung nach hochdynamisch, hochflexibel und sehr anpassbar an jedes Unternehmen. Aber stellt das nicht auch eine Herausforderung dar, wenn es darum geht, herauszufinden, „Okay, das werden wir tun“, aber dann auch beweisen zu können, dass Sie die richtigen Entscheidungen getroffen haben. Stellt das nicht eine Herausforderung dar, was dann bedeutet, dass Unternehmen in der Regel standardmäßig so viel wie möglich tun? Wie entscheiden Sie und wie beweisen Sie, dass Sie die richtigen Entscheidungen getroffen haben?

32:45 Tristan Morgan

Ich denke, Sie bringen da ein berechtigtes Argument vor, nämlich, dass Sie Ihre Entscheidungsfindung tatsächlich belegen müssen und dass Sie zu einer Position kommen, die Ihren Standpunkt vertritt, dass Verhältnismäßigkeit entscheidend ist. Wie sind Sie also zu einer Entscheidung und zu Beweisen gekommen? Und was Marks Argument angeht, würde ich vorschlagen, tatsächlich auch Rat einzuholen, in Bezug darauf, wie Sie dorthin gekommen sind, denn was Sie offensichtlich nicht tun wollen, ist, Annahmen zu treffen und sich dann im Nachhinein als ungültig zu erweisen. Es ist auch erwähnenswert, dass alle Entscheidungen, die Sie heute treffen, regelmäßig überprüft werden müssen, um zu verstehen, ob sie zu streng sind? Sind sie nicht streng genug in Bezug auf das, was wir umgesetzt haben? Aber ich möchte vor einer Sekunde zurückkommen und sagen, dass dies keine Frage rund um Ihre Binärdatei ist, Sie wissen schon, Eins oder Null. Eigentlich ist das ungefähr eine Schlüsselskala. Und wenn Sie sich die kritischen Parteien ansehen, die Sie benötigen, ist es auch wichtig, über das Stack-Ranking der verschiedenen Plattformsysteme und -funktionen nachzudenken. Und etwas, worüber ich oft mit Kunden gesprochen habe, ist, dass sie oft denken, naja, wissen Sie, wenn wir keine Bestellung schreiben könnten, wäre das wirklich wichtig? Wir sagten, nun ja, wenn Sie das bräuchten, um ein paar Spezialisten für die Reaktion auf Zwischenfälle hinzuzuziehen, wäre das ein Problem. Es gibt also eine Reihe von Dingen, die Sie im Rahmen Ihrer Simulation und Ihrer Überlegungen ziemlich detailliert durcharbeiten müssen, um zu entscheiden, auf welcher Ebene und in welchem Umfang Sie die Vorschriften einhalten möchten?

34:03 Raghu Nandakumara

Das ist ein wirklich toller Punkt. Das ist so, was ist die kleinere Gruppe wichtiger Geschäftsprozesse, die Sie sicherstellen müssen, dass sie am Laufen bleiben, um im Geschäft zu bleiben, am Laufen zu bleiben. Ich habe das Gefühl, dass das alles andere untermauert. Also beginnt das Gespräch normalerweise dort? Ist das das Minimum, das für Sie als Unternehmen festgelegt wurde?

34:28 Tristan Morgan

Ja, ich plädiere immer dafür, dass Sie mit einem Kunden beginnen und sagen, wenn ich ein Kunde bin, welche Dienstleistungen benötige ich, um weiterhin bedient zu werden? Und da wird es schwierige Entscheidungen geben, was die minimalen Dinge angeht. Mark erwähnte, dass es darum geht, Bargeld zu bekommen oder Geld überweisen zu können. Das sind einige der Dinge, die, Sie wissen schon, bei Finanzdienstleistungen von grundlegender Bedeutung sind, und das dann durch eine Organisation zurückzuarbeiten, das Risiko besteht darin, dass Sie sich tatsächlich ansehen, welche Plattformsysteme usw. Sie warten müssen, aber dann verlieren Sie die eine, wichtige Sache aus den Augen, was eigentlich bedeutet, dass Sie zu einem Kunden kommen können. Deshalb schlage ich vor, es von vorne nach hinten zu betrachten.

35:08 Raghu Nandakumara

Absolut richtig. Denn wenn du dort anfängst, sobald du diese Liste hast, kannst du darüber reden: „Okay, nun, welchen Bedrohungen sind diese Dinge ausgesetzt? Wodurch sind sie gefährdet?“ Gehen Sie dann davon aus, wie Sie feststellen, wo Ihre Kontrolllücken liegen, und legen Sie dann fest, welche zusätzlichen Kontrollen Sie ergreifen müssen, um diese zu beheben, und testen Sie sie weiter und verbessern Sie sie.

35:32 Tristan Morgan

Und im Laufe der Zeit werden Sie viele Kontrolllücken feststellen. Und es ist wichtig zu sagen: „Nun, welche werden wir priorisieren? Welche sind die wichtigsten?“ Anstatt nur eine Liste mit 700 Dingen zu erstellen, die Sie tun müssen. Es geht darum zu wissen, welche die größte Wirkung haben, um sicherzustellen, dass das Unternehmen am Laufen bleiben und seine Kunden bedienen kann.

35:51 Raghu Nandakumara

Ja, und Mark, ich glaube, darauf aufbauend, ist das ein geschäftsorientierter Ansatz, der sich auf die Proportionalität bezieht, die dann im Wesentlichen den Bedrohungen entspricht, denen Sie und Ihre Prozesse ausgesetzt sind, die dann bestimmt, wie Sie testen. Ich denke, das ist ein wichtiger Teil von DORA, was es meiner Meinung nach von anderen Vorschriften unterscheidet, die wir in der Vergangenheit im Bereich des Risikomanagements für Finanzdienstleistungen hatten. Also, siehst du das so?

36:18 Mark Hendry

Ja, ich glaube schon. Ich stimme dem, was du sagst, vollkommen zu, Tris. Ich sage, was sind die Dinge, die die Leute bemerken werden, wenn sie geschlagen werden, entweder weil es unbequem oder schmerzhaft ist und wenn die Leute sagen, Sie sind ein Finanzdienstleister für Verbraucher oder ein B2B-Unternehmen, aber Sie wissen, dass das am schnellsten von den Aufsichtsbehörden geprüft wird. Was sind diese Dinge und funktionieren von dort aus rückwärts, womit sind sie verknüpft? Worauf verlassen sie sich? Und der Hinweis steckt schon im Namen: Analyse der Auswirkungen auf das Geschäft. Wir haben das mit Eseln gemacht, und nur weil wir einen scharfen Stock hinter uns haben, der uns zwingt, in Form von DORA, es jetzt zu tun. Das hatten wir bei Finanzdienstleistungen schon immer. Wie dem auch sei, andere Branchen stehen zum ersten Mal vor dem scharfen Stock. Aber wir sprechen hier wirklich hauptsächlich über DORA. Es gibt noch einen weiteren Punkt, nämlich, ja, wir sind auf dem Weg zur Durchsetzung von DORA, und wir wissen noch nicht, wie das aussieht, aber wir wissen, dass Finanzdienstleistungen, Aufsichtsbehörden, in der Regel besser ausgestattet sind, wissen Sie, gut ausgebildete Leute, okay, Ressourcen, wissen Sie. Sie werden wahrscheinlich anderer Meinung sein, wenn Sie eine Aufsichtsbehörde oder jemanden, der für einen Supervisor arbeitet, in der Leitung hätten. Nun, sie sind vielleicht anderer Meinung, aber im Vergleich zu anderen haben sie dann die Nase vorn und sind aktiver, weil es so wichtig ist. Aber jetzt sind wir, was, vier Monate von DORA entfernt? Also, was ist, wenn du nicht auf dem richtigen Weg bist? Was werden Sie priorisieren? Was wirst du eingehender oder leichter bearbeiten? Und um vorhin zur Rechenschaftspflicht zu sprechen. Wenn etwas schief geht, wie werden Sie dann die Geschichte darüber erzählen, warum dies eine angemessene Reihe von Entscheidungen und Maßnahmen war, die Sie auf der Grundlage der Informationen getroffen haben, die Ihnen zu dem Zeitpunkt zur Verfügung standen, als Sie sie getroffen haben. Das alles spielt eine Rolle, wenn Ermittlungen stattfinden und die Durchsetzung berechnet und beschlossen wird. Und das heißt nicht, dass keine Zwangsvollstreckung stattfinden wird, aber diese mildernden Umstände, wenn Sie eine gute Geschichte über sie erzählen und beweisen könnten, dass es gute und kluge Entscheidungen waren oder zumindest nicht fahrlässig, dann wissen Sie, dass Sie sich selbst an die Hand nehmen. Wenn Sie also gerade mit Ihrem DORA-Programm im Rückstand sind, denken Sie darüber nach, was wir gesagt haben: Was wird am meisten weh tun, was werden Sie priorisieren, was Sie über die Grenze bringen werden und in was Sie nächstes Jahr einsteigen werden, ein bisschen auf einer risikoausgewogenen Basis?

38:50 Tristan Morgan

Sie haben genau Recht, wenn Sie denken, dass Finanzdienstleistungsunternehmen oft sehr an Regulierung gewöhnt sind. Aber wissen Sie, wenn Sie an den Geltungsbereich von DORA denken, wie Sie bereits erwähnt haben, einschließlich IKT-Unternehmen und vieler dieser Unternehmen, ist es das erste Mal, dass es tatsächlich einer solchen Regulierung unterliegt. Daher ist der Versuch, die Vorschriften einzuhalten, nicht nur mit dem Aufwand verbunden, sondern auch mit den Kosten verbunden. Und bei einigen dieser Unternehmen kann es sich um relativ kleine Unternehmen handeln. Daher ist es für sie ziemlich mühsam, sich nicht nur auf den Weg zu machen, sondern auch die Kosten für die Einhaltung der Vorschriften zu tragen.

39:20 Mark Hendry

Du hast absolut recht. Es ist die Ausweitung des Geltungsbereichs dieser Dinge auf nicht regulierte Unternehmen. Nicht regulierte Unternehmen fallen also in den Geltungsbereich von Dora, weil sie ein kritischer oder wichtiger IKT-Anbieter für die europäische Finanzdienstleistungswirtschaft sind. Und tatsächlich steckt in DORA etwas ziemlich Interessantes. In DORA gibt es einen Mechanismus, und ich bin sehr gespannt, wie er sich auswirkt, nämlich das sogenannte Vermögensregister. Wo Finanzdienstleister diese Tabellen ausfüllen müssen, aus denen hervorgeht, dass es sich um unser wichtiges Informationssystem, IKT und Vermögenswerte Dritter handelt. Diese Daten müssen den Aufsichtsbehörden auf Anfrage und in einer bestimmten Häufigkeit bis zu einem gewissen Grad offengelegt werden. Und danach werden IKT-Anbieter von den Aufsichtsbehörden als kritisch und wichtig eingestuft. Jetzt kann ich mir eine Situation vorstellen, in der es einen Koordinierungsmechanismus gibt, einen Kooperationsmechanismus, bei dem all diese Vermögensregister in ein großes Datenleck geraten, und plötzlich, zum ersten Mal in der Geschichte auf der Ebene der Europäischen Kommission, haben sie brillante Schichten und Schichten und Schichten, Schichten, Schichten, Schichten, Schichten, Schichten, Schichten, Schichten, die zeigen, wie all diese Verbindungen und Kreuzungen funktionieren. Dass es für mich, wenn sie das mit DORA erreichen können, enorm wichtig ist, wie wir unsere Widerstandsfähigkeit aufrechterhalten und fast für eine Sekunde vergessen, was nötig ist, um dorthin zu gelangen. Nur diese Einsicht zu bekommen, ist das Werk von Jahrzehnten, und wir stehen vielleicht an der Schwelle dazu, was auf geekige Art ziemlich cool ist.

40:55 Raghu Nandakumara

Ja, absolut. Ja, ich habe einfach zwei Reaktionen darauf. Die erste Reaktion ist Ihre Reaktion darauf, dass es erstaunlich ist, die gesamten Interdependenzen zwischen der Finanzdienstleistungsbranche der Banken und den Technologiedienstleistern vollständig zu verstehen und zu verstehen, wie diese alle miteinander verknüpft sind und in welche Tiefen das geht. Aber dann auch für einen Technologieanbieter zu arbeiten. Meine Befürchtung ist, woher weiß ich, ob ich auf dieser Liste stehe und ob ich kritisch bin, wenn ich nicht auf dieser Liste stehe? Bin ich nicht kritisch? Und wie unterscheidet sich der Unterschied zwischen einem unserer Kunden, der sagt: „Oh, das ist ein wichtiger Technologieanbieter, und einem anderen Kunden, nicht wir, der uns nicht auf dieser Liste hat.“ Wie wirkt sich das dann auf meine Verpflichtungen aus, denn das ist der Teil, von dem ich glaube, dass er immer noch unklar ist.

41:48 Mark Hendry

Also, meine Firma wurde gerade als FinTech Advisor of the Year ausgezeichnet. Sie können sich also vorstellen, dass wir mit vielen Unternehmen zusammenarbeiten, die entweder am oberen Ende dieses Spektrums liegen, und sie sind reguliert, weil sie im Grunde eine digitale Bank oder so ähnlich sind. Und wenn sie auf EU-Märkten tätig sind oder von europäischen Aufsichtsbehörden beaufsichtigt werden, raten Sie mal, in welchen Anwendungsbereich sie fallen. Aber wenn sie auf der technischen Seite sind, weil sie eine Technologie sind, dann sind sie im Grunde ein Technologieanbieter, und ihre Kunden sind Finanzdienstleister. Sie müssen sich nur ansehen, wo diese Finanzdienstleistungskunden tätig sind und was sie für sie tun. Und wenn du denkst, dass du für sie wichtig genug bist, dass sie, wenn du untergehst, nicht mehr in der Lage wären, einige Dinge zu tun, dann bist du in einer Logikübung. Wenn Sie ein breiteres Technologieunternehmen sind, das Kunden im Einzelhandel, in der pharmazeutischen Fertigung und im Finanzdienstleistungssektor hat. Machen Sie einfach dieselbe Übung. Wer sind Ihre Kunden im Finanzdienstleistungsbereich? Sie wissen, wer sie sind, weil Sie ihnen eine Rechnung stellen, und denken darüber nach, dass Sie wissen, was Sie für sie bedeuten und was passiert, wenn Sie eines Tages umfallen und das planen und noch einmal, eine logische Übung. Aber um es mit Tris zu sagen: Wenn Sie sich nicht sicher sind, lassen Sie sich beraten.

43:00 Tristan Morgan

Ich denke, ich habe den letzten Punkt zur Suche nach dem Rat aufgegriffen. Also, weißt du, niemand kann das alleine schaffen. Und es gibt viele Dritte, die helfen können, sozusagen, Sie sprechen über Verhältnismäßigkeit in Bezug darauf, wo und wo Sie zuerst hingehen müssen, und Sie wissen, was andere Sektoren getan haben. Und helfen Sie dabei, sich eine solche Urteilsposition zu bilden, damit die Menschen ohne das richtige Maß an Belastung die Vorschriften einhalten können, und das gilt insbesondere für Unternehmen, die von Natur aus nicht aus diesem stärker regulierten Bereich stammen. Und Mark sprach über die Technologieunternehmen, die sich auf Finanzdienstleistungen spezialisiert haben. Ich denke, bei einigen davon ist es meiner Meinung nach am wichtigsten, mit anderen Menschen zusammenzuarbeiten.

43:42 Raghu Nandakumara

Wir nähern uns also der Zeit, und das ist ein Zero-Trust-Podcast, und wir haben den Begriff Zero Trust kein einziges Mal erwähnt, also fühle ich mich verpflichtet, das jetzt zu tun. Also Tris fängt zuerst mit dir an. Also spricht DORA viel darüber, was es erreichen will, und es zielt darauf ab, die Widerstandsfähigkeit der Finanzdienstleistungsbranche in der EU zu verbessern, damit sie auch inmitten eines Cyberangriffs in der Lage ist, weiterzumachen und produktiv zu sein. Und es gibt eine Menge technischer Anforderungen in Bezug auf die Reduzierung des Zugriffsumfangs und so weiter. Aber der Begriff Zero-Trust wird nicht ein einziges Mal und mit Absicht erwähnt. Was ist Ihre Sicht auf die Bedeutung von Zero Trust für DORA und warum wurde es bewusst weggelassen?

44:28 Tristan Morgan

Wenn ich auf Ihren zweiten Punkt eingehe, zuerst, warum er weggelassen wurde. Zero-Trust ist also offensichtlich ein umfassenderer Sicherheitsbegriff, der eine Bündelung von Funktionen zusammenfasst, um die Sicherheitslage aller Unternehmen grundlegend zu verbessern. Deshalb müssen wir uns bewusst sein, dass sich die Terminologie von Zero Trust in Zukunft ändern könnte, aber die Prinzipien, die ihm zugrunde liegen, und ich denke, das ist einer der Gründe, warum es nicht benannt wurde, bleiben tatsächlich von grundlegender Bedeutung. Und ich betrachte sie wirklich auf vier Arten. Es geht darum, Bedrohungen zu identifizieren, wissen Sie, herauszufinden, was diese kritischen oder unkritischen sind und welche Arten von Abhängigkeiten von Drittanbietern bestehen. Wie Sie dann mit Zero-Trust dazu beitragen können, Angriffe zu schützen und zu verhindern, und wo Sie die richtige Überwachung und Kontrolle einsetzen müssen, aber auch erkennen, dass es komplexere Dinge gibt, die Sie für die Dinge tun müssen, von denen Sie sich nicht sicher sind, ob es sich um Angriffe handelt. Und hier sind fortschrittlichere Sicherheitsfunktionen, wie Scheintechnologien, wirklich von größter Bedeutung, um dies zu erreichen, nämlich die fortgeschrittenere Bedrohungssuche, insbesondere wenn es um Aktivitäten vom Typ Nationalstaaten geht. Und dann wissen Sie, der andere wichtige Teil von Zero-Trust besteht darin, zu untersuchen, wie Sie auf diese Angriffe reagieren und sich davon erholen. Denken Sie daran, dass die meisten Unternehmen in der Lage sein wollen, weiterhin Kapazitäten zu verkaufen. Zero-Trust ist also eine nette Gruppierung mehrerer dieser Faktoren, aber im Grunde genommen ist es deshalb wichtig. Und natürlich kann es für einige Unternehmen sein, dass Sie eines der vier Dinge, über die ich gerade gesprochen habe, nach oben oder unten erweitern möchten, weil sie für das, was Sie tun, am relevantesten sind, wissen Sie, aber wenn Sie sich das Prinzip des Zero-Trusts ansehen, geht es um das Konzept der geringsten Privilegien. Sie möchten also Ihrer Belegschaft, Ihren Kunden, die geringstmöglichen Rechte geben, um das zu tun, was sie tun müssen, und dann diesen Weg einschlagen, wenn sie es nicht brauchen, anstatt den Leuten als Mitarbeiter für immer Administratorzugriff zu gewähren. Wissen Sie, das ist nicht das, was wir tun wollen. Zero-Trust muss es den Menschen grundsätzlich erschweren, reinzukommen. Aber wenn Mitarbeiter in ein Unternehmen kommen, müssen sie in der Lage sein, dies wirklich rechtzeitig zu erkennen, darauf zu reagieren und sich davon zu erholen.

46:32 Raghu Nandakumara

Ja, absolut. Und begrenzt, wie weit sie innerhalb der Organisation kommen können. Wie weit können sie sich bewegen, wenn sie reinkommen? Ja, absolut fantastisch ausgedrückt. Ja? Ja? Es handelt sich um eine Reihe von Prinzipien, die nicht nur für DORA gelten, sondern auch weit darüber hinaus. Und DORA profitiert, glaube ich, von einigen dieser Prinzipien, die je nach Bedarf angehoben oder heruntergefahren werden. Mark, irgendwelche Gedanken?

46:56 Mark Hendry

Ja, es ist da drin. Da ist kein Vertrauen drin. Es ist ein Standard, nach dem wir heute streben und an dem wir arbeiten. Die Terminologie könnte sich im Laufe der Zeit weiterentwickeln, und aus diesem Grund ist der Begriff wahrscheinlich nicht da, um Tris zu sagen, aber Elemente von Zero-Trust sind darin enthalten. Wenn Sie in DORA nach dem Wort segmentiert gesucht haben, wie bei der Mikrosegmentierung, dem sofortigen Durchtrennen von Elementen des Netzwerks, um Sie einzudämmen und was Sie haben, dann ist es da drin. Es ist absolut da drin. Sie müssen also nur wissen, wonach Sie suchen, und Sie werden es finden. Und Zero-Trust wird sich entwickeln. Es könnte sich zu einem anderen Namen oder einer anderen Reihe von Merkmalen entwickeln, die wir erreichen wollen. Aber DORA sollte durchhalten. Und wir könnten feststellen, dass Begriffe wie Zero-Trust in technischen Regulierungsstandards oder den dazugehörigen technischen Durchführungsstandards auftauchen. Aber es ist absolut da, weil es eine so gute Möglichkeit ist, unsere Organisationen vor Schäden zu schützen, vor den Arten von Schäden, über die wir gesprochen haben.

47:53 Raghu Nandakumara

Und glauben Sie mir, als Anbieter von Segmentierung habe ich diese Dokumente oft nach jedem einzelnen Begriff und all ihren Synonymen durchsucht und sie alle gefunden. Also, ich denke, wir sind kurz vor der Zeit. Tris, ich komme mit, komm zuerst zu dir. Also, wenn wir zum Abschluss kommen, wie, wie würden Sie, Zuhörer, gerne wirklich nicht nur über DORA nachdenken, sondern auch über die Einhaltung von Sicherheitsrisiken heute und darüber, wie sie sich in Zukunft entwickeln wird?

48:17 Tristan Morgan

Was wir daraus mitnehmen, ist, dass wir wissen, dass wir als Sektor den Einsatz digitaler Technologien verstärken werden, wir auch wissen, dass die Gegner diese nutzen werden, um immer mehr zu versuchen, gezielt zu zielen und zu versuchen, Gewinne daraus zu ziehen. Wenn man sich also die Sicherheit anschaut, stellt man fest, dass in diesen Unternehmen jeder die zentrale und wichtigste Sache ist, um sicherzustellen, dass sie dies besser erkennen und sich davor schützen und letztlich ihren Kunden einen besseren Service bieten können. Und ich meine, hier kommen auch die Regulierung und DORA ins Spiel, um die Leitlinien, die Standardisierung und letztendlich die Zusammenarbeit bereitzustellen, die dafür erforderlich ist, nicht nur in diesem Jahr, nicht im nächsten Jahr, sondern, wissen Sie, für die nächsten 5-10 Jahre.

49:02 Raghu Nandakumara

Also bessere Zusammenarbeit und bessere Standards. Damit wir gemeinsam die Sicherheit verbessern.

49:09 Tristan Morgan

Ja, bessere Zusammenarbeit, bessere Standards. Ich denke, das ist der Schlüssel zum Erfolg.

49:16 Raghu Nandakumara

Fantastisch, Mark?

49:18 Mark Hendry

Ja, stimme Tris zu. Ja, das ist immergrün. Es kommt. Es ist noch nicht da, aber es wird bald soweit sein und es ist immergrün. Also lass uns an einen guten Ort gehen und darauf aufbauen und versuchen, nicht mit Tritten und Schreien an den Ort gezerrt zu werden, an den es dich bringen will. Versuchen Sie, über die Vorteile nachzudenken. Es geht um Wertschutz. Es geht um Stabilität, Widerstandsfähigkeit. Denken Sie an Resilienz. Ja, das ist die Botschaft. Denken Sie an Resilienz. Versuchen Sie, nicht zu viel über Compliance nachzudenken, sondern tun Sie dies auf eine gesetzeskonforme Art und Weise, die für Ihr Unternehmen sinnvoll ist. Interpretieren Sie richtig. Haben Sie eine gute Geschichte zu erzählen und tun Sie, was angemessen und richtig für Sie ist, und Sie werden einen ziemlich guten Ruf haben.

49:55 Raghu Nandakumara

Nun, ich denke, das sind sehr kluge und informative Worte von Ihnen beiden, um das Ganze abzuschließen. Also Tris, Mark, vielen Dank für deine Zeit heute. Es war toll, mit Ihnen beiden zu sprechen, und ich schätze all die Weisheit. Prost Leute, danke.

‍