Skip to content
CORPORATE TRUST SERVICES

Kryptografie basierte Trust Services zum Schutz Ihrer digitalen Identitäten, Daten und Geschäftsgeheimnisse.

QUALIFIED TRUST SERVICES

Rechtskonforme digitale Signaturen (eIDAS), um die Digitalisierung Ihrer Geschäftsprozesse voranzutreiben.

TRUST COMPONENTS

Alles rund um Smartcards, Tokens, Reader, Zertifikate und Signaturen.

INNOVATIVE UND SICHERE PERSPEKTIVEN FÜR EINE DIGITALE WELT.

PKI & KRYPTOGRAFIE PRODUKTE

egofy CARD
SmartCards & Token

primeID VSC
Virtuelle SmartCard

primeID ONDEMAND
Remote VSC Plattform

primeID SELF SERVICE
Self Service für SmartCards

primeID DISCOVER
Zertifikate überwachen

primeID VALIDATE
Enterprise OCSP

eIDAS / QUALIFIZIERTE SIGNATUREN & SIEGEL

Signaturen & Siegel für Ihre Mitarbeiter
mit primesign als Enterprise-Lösung

Online & sofort ein Dokument signieren
für Einzelpersonen und als Einstieg für Unternehmen

SUPPORT

Binden Sie unsere Experten einfach Ihn Ihre ITSM-Struktur ein / Remote- Unterstützung bis zu 24/7

MANAGED SERVICES

Wir kümmern uns um den kompletten Betrieb Ihrer Trust Services in unseren Rechenzentren, Sie sich um Ihr Business.

DIE USABILITY UNSERER LÖSUNGEN SORGT FÜR HOHE AKZEPTANZ.

Alles rund um Smartcards, Tokens, Reader, Zertifikate und Signaturen.
GENERAL

Wir sind gerne
für Sie da.
T +43 1 35553 - 0

SALES

Wir unterstützen
Sie gerne.
T +43 1 35553 - 200

SHOP

Sie sind ein Shop-Kunde und haben eine Frage oder brauchen Unterstützung.
T +43 1 35553 - 300

STANDARD SUPPORT

Sie haben einen Standard Support Vertrag und brauchen Unterstützung.
T +43 1 35553 - 800

PREMIUM SUPPORT

Sie haben einen Premium Support Vertrag und brauchen Unterstützung.

STANDORTE
BG_ICON_COURT_1

DORA – Digital Operational Resilience Act

Wie CRYPTAS Ihnen helfen kann die
Verordnung (EU) 2022/2554 zu erfüllen.

BANK_01_SQ

Was ist DORA?
Der Digital Operational Resilience Act (DORA), die Verordnung (EU) 2022/2554, befasst sich mit IKT-Risiken und legt Regeln für das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der operativen Resilienz und die Überwachung von IKT-Drittrisiken fest. Diese Verordnung erkennt an, dass IKT-Vorfälle und ein Mangel an operationeller Resilienz die Stabilität des gesamten Finanzsystems gefährden können.

Wer ist betroffen?
DORA deckt ein breites Spektrum von Finanzdienstleistern ab, wie z. B. Banken, Kreditinstitute, Zahlungsinstitute, E-Money Institutionen, Versicherungsgesellschaften, Wertpapierfirmen und Anbieter von Krypto-Assets. In der DORA werden wichtige IKT-Dienstleistungen für Finanzinstitute beschrieben. Erbringt ein Unternehmen kritische IKT-Dienstleistungen für ein Finanzinstitut, so unterliegt es gemäß dem DORA-Rahmenwerk ebenfalls der direkten regulatorischen Aufsicht. Dies umfasst Dienstleistungen wie Cloud-Plattformen und Datenanalyse.

Unternehmen, die gegen die Anforderungen des Gesetzes verstoßen, können mit Geldbußen in Höhe von bis zu 2 % ihres gesamten weltweiten Jahresumsatzes bzw. für Einzelpersonen mit einer Höchststrafe von 1.000.000 EUR belegt werden. 

Wie kann man die Herausforderung angehen?
Finanzinstitute sind mit einer Vielzahl von Einzelregeln zur Einhaltung von DORA konfrontiert. Obwohl die Themen Datensicherheit und Kryptographie nur einen kleinen Teil der gesamten DORA-Anforderungen ausmachen, wirken sie sich dennoch auf alle Prozesse im gesamten Unternehmen aus.

Ein ganzheitlicher Ansatz ist ratsam, indem Corporate Trust Services zentral für alle Organisationseinheiten und alle Geschäftsprozesse bereitgestellt werden.

CRYPTAS bietet Unterstützung bei der Konzeption, der Implementierung und dem Betrieb solcher Corporate Trust Services.

Struktur der Verordnung 
Als "Verordnung" gilt sie unmittelbar für alle Finanzunternehmen in der EU, ohne dass ein Durchführungsgesetz der einzelnen Mitgliedstaaten erforderlich ist. Am 17. Januar 2025 wird die DORA in Kraft treten. 
Während die Verordnung selbst die Ziele und Anforderungen auf einer eher abstrakten Ebene festlegt, wurden bestimmte Aspekte in einem technischen Regulierungsstandard (RTS) näher ausgeführt, der als finaler Entwurf seit Januar 2024 vorliegt.

DORA / Wie CRYPTAS Sie im Einzelnen unterstützen kann

DORA / Article 9 "Protection and Prevention"

DORA



Art 9.4 (a)


DORA Requirement
Develop and document an information security policy defining rules to protect the availability, authenticity, integrity and confidentiality of data, information assets and ICT assets, including those of their customers, where applicable.

CRYPTAS contribution
Consulting and assistance in developing and documenting such policies and rules.



Art 9.4 (c)


DORA Requirement
Implement policies that limit the physical or logical access to information assets and ICT assets to what is required for legitimate and approved functions and activities only, and establish to that end a set of policies, procedures and controls that address access rights and ensure a sound administration thereof.

CRYPTAS contribution
Egofy converged Smartcard solution, with Legic and Mifare Desfire for physical access, combined with X.509 certificates, FIDO-2 and OTP for logical Multi-factor authentication. Credential Management for administration of policies and access rights.



Art 9.4 (d)


DORA Requirement
Implement policies and protocols for strong authentication mechanisms, based on relevant standards and dedicated
control systems, and protection measures of cryptographic keys.

CRYPTAS contribution
Authentication solution, including PKI and Credential Management systems.

 



Art 15


DORA Requirement
Further harmonization of ICT risk management tools, methods, processes and policies.

CRYPTAS contribution
See contributions relating to Draft RTS 2024-01/JC 2023 86.

RTS / Article 7 "Cryptographic Key Management"

Draft RTS 2024-01/JC 2023 86



Art 7.2 and Art 7.3


DORA Requirement
Financial entities shall identify and implement controls to protect cryptographic keys through their whole lifecycle against loss, unauthorized access, disclosure and modification. The controls shall be designed taking into account the results of the approved data classification and the ICT risk assessment processes. Financial entities shall develop and implement methods to replace the cryptographic keys in the case of lost, compromised or damaged keys.

CRYPTAS contribution
Documented key management policies, to be implemented in each of the key-consuming ICT systems, and with the help of an Enterprise Key Management solution. An HSM solution is needed to secure the keys.



Art 7.4 and Art 7.5


DORA Requirement
Financial entities shall create and maintain a register for all certificates and certificate-storing devices for at least ICT assets supporting critical or important functions. The register shall be kept up-to-date. Financial entities shall ensure the prompt renewal of certificates in advance of their expiration.

CRYPTAS contribution
Certificate discovery.
Certificate lifecycle management solution.

RTS / Article 6 "Encryption and Cryptographic Controls"

Draft RTS 2024-01/JC 2023 86



Art 6.1


DORA Requirement
Financial entities shall develop, document and implement a policy on encryption and cryptographic controls, with a view to preserve the availability, authenticity, integrity and confidentiality of data.

CRYPTAS contribution
Consulting on best practices, proportionate policies and implementation architecture. CRYPTAS also supports documenting and implementation of such policies.



Art 6.2 (a)


DORA Requirement
Rules for the encryption of data at rest and in transit.

CRYPTAS contribution
360° encryption solution (file & folder, volume encryption, transparent database encryption, cloud data encryption)
SMIME email encryption and related certificate provisioning.



Art 6.2 (c)


DORA Requirement
Rules for the encryption of internal network connections and traffic with external parties.

CRYPTAS contribution
Solutions using SSL/TLS certificates. Internal connections and traffic protected through Enterprise PKI. An enterprise PKI always relies on an HSM solution to protect the keys. External traffic is protected with public trust certificates. Certificate Lifecycle Management becomes an important tool to manage this requirement.

 



Art 6.2 (d) and Art 7.1


DORA Requirement
Provisions for cryptographic key management ... managing cryptographic keys through their whole lifecycle, including generating, renewing, storing, backing up, archiving, retrieving, transmitting, retiring, revoking and destroying keys.

CRYPTAS contribution
Enterprise Key Management solution. PKI and CLM for managing the lifecycle of certificates and related keys. An HSM solution is needed to secure the keys.

RTS / Article 8 "Policies and procedures for ICT operations"

Draft RTS 2024-01/JC 2023 86



Art 8


DORA Requirement
Policies and Procedures for ICT Operations, including:

  • Secure installation, maintenance
  • Backup-Restore
  • Audit trail , system log
  • Separation of production from dev + test
  • Support and escalation contacts
  • System restart, roll-back, recovery


CRYPTAS contribution

CRYPTAS supplied solutions and CRYPTAS managed services have been built, operated, and documented to the principles of Art 8 already before DORA was put in place.

DATENBLATT

Sie haben Fragen oder benötigen mehr Informationen?