HubSpot & DORA: Wie Finanzunternehmen jetzt Compliance sichern

In der Finanzbranche ist digitale Sicherheit und Resilienz wichtiger denn je. Eine zentrale Rolle spielt dabei der Digital Operational Resilience Act (DORA), eine neue EU-Verordnung, die seit dem 17. Januar dieses Jahres rechtsverbindlich ist. Für Finanzunternehmen wie Banken, Versicherungen, Vermögensverwalter und Kapitalverwaltungsgesellschaften (KVG) ist DORA ein Muss. Aber was genau bedeutet DORA für den Einsatz von CRM-Systemen wie HubSpot für Banken- und Finanzdienstleister?

Was ist DORA und warum ist es so entscheidend für den Finanzsektor?

DORA steht für den Digital Operational Resilience Act. Übersetzt bedeutet dies "digitale operative Resilienz" oder "digitale Betriebsresilienz" für Unternehmen aus dem Finanzsektor. DORA ist eine EU-Verordnung, die speziell für diese Unternehmen auferlegt wurde. Das primäre Ziel ist der Schutz vor ICT-bezogenen Störungen (Information and Communication Technology). Diese Verordnung etabliert einheitliche Anforderungen an IT-Risikomanagement, Notfallplanung und Drittanbietersteuerung.

Gerade im Finanzsektor, der mit vielen sensiblen Daten – von Bankdaten bis zu persönlichen Finanzinformationen – umgeht, ist dieser Schutz unerlässlich, nicht nur im Sinne der DSGVO-Konformität, sondern auch im Rahmen von DORA.

Die 5 Kernanforderungen von DORA im Überblick

Um die Sicherheit im Finanzsektor zu erhöhen, legt der DORA-Gesetzestext fünf zentrale Anforderungen fest, die jedes regulierte Finanzunternehmen und seine Dienstleister erfüllen müssen:

1. ICT-Risikomanagement: Du musst IT-Risiken klar identifizieren, klassifizieren und behandeln. Dazu gehören regelmäßige Schwachstellen- und Risikoanalysen auf System- und Prozessebene, die auch dokumentiert werden müssen.
2. Vorfallmanagement und Meldung (Incident Reporting): Bei schwerwiegenden IT-Störungen besteht eine Meldepflicht an die zuständige Aufsichtsbehörde, wie beispielsweise die BaFin. Auch Angriffe auf SaaS-Systeme wie HubSpot müssen gemeldet werden.
3. Digitale Betriebsresilienztests: Dein Finanzunternehmen muss regelmäßige Penetrationstests, Recovery-Tests und Simulationen von Systemausfällen durchführen, um die Widerstandsfähigkeit Deiner Systeme zu prüfen und zu dokumentieren. Hierbei kommen auch sogenannte Threat-Led Penetration Tests (TLPT) zum Einsatz, die von Red Teams (ethischen Hackern) durchgeführt werden.
4. Drittanbieter-Risikomanagement: Vertragspartner wie HubSpot müssen auf ihre Sicherheit geprüft, überwacht und dokumentiert werden. Wichtig ist, dass es keine Ausnahme für Software-as-a-Service (SaaS)-Unternehmen gibt. SLAs (Service Level Agreements), Auditrechte und Exit-Strategien sind hierbei entscheidend.
5. Informationsaustausch und Governance: Es müssen Verantwortlichkeiten, IT-Strategien und Governance-Modelle dokumentiert werden. Technische und organisatorische Maßnahmen müssen in einem DORA-konformen Informationssicherheitskonzept verankert sein. Eine zentrale Ansprechperson wie ein Chief Information Security Officer (CISO) ist oft dafür verantwortlich.

Warum HubSpot für Finanzunternehmen "kritisch" ist

Obwohl  CRM-Systeme auf den ersten Blick harmlos erscheinen mögen, sind sie für Finanzunternehmen unter DORA von großer Relevanz. HubSpot wird als kritische Software eingestuft, da es sensible Kundendaten verwaltet und oft tief in Deine Systemlandschaft integriert ist, wo weitere sensible Daten fließen. Ticketing-Anfragen im Kundenservice können beispielsweise sehr sensible Informationen enthalten. Daher muss unbedingt beachtet werden, dass HubSpot die DORA-Anforderungen erfüllt.

Aktueller Stand: Die europäischen Aufsichtsbehörden haben HubSpot bisher noch nicht als "kritische Infrastruktur" eingestuft. Dies liegt daran, dass HubSpot in der Regel keine Transaktionsdaten oder ähnliche hochsensible Bankensystemdaten speichert. HubSpot bietet jedoch Funktionen für sensible Datenfelder an, um relevante Informationen regulatorisch sicher zu verwalten. Es ist jedoch wichtig zu beachten, dass sich diese Einstufung jederzeit ändern kann.

Wie HubSpot Dich bei der DORA-Compliance unterstützt

HubSpot hat proaktiv Maßnahmen ergriffen, um Finanzunternehmen bei der DORA-Konformität zu unterstützen. Die wichtigsten Ressourcen sind:

🔗 Das DORA-Addendum von HubSpot:
Dieses offizielle Vertragsdokument bezieht sich auf die EU-Verordnung und sichert die regulatorischen Anforderungen für Finanzunternehmen vertraglich und operativ ab. Es ist für alle kostenpflichtigen HubSpot-Accounts gültig und deckt Themen wie Server-Standorte (Hosting in der EU), Subprozessoren, Datenwiederherstellung, Backups, Mitarbeiterschulungen und Unterstützung bei Insolvenz ab. Es regelt auch den Export von Daten und Kündigungsrechte.

🔗 Das offizielle DORA-FAQ von HubSpot:

🔗 Das Trust Center von HubSpot:

Diese umfassenden Maßnahmen zeigen, dass HubSpot als Premium-Software einen hohen Fokus auf Sicherheit und Compliance legt.

Konkrete Schritte für Dein Unternehmen zur DORA-Konformität mit HubSpot

Um auf der sicheren Seite zu sein, solltest Du als Finanzunternehmen folgende Schritte unternehmen:

• DORA-Addendum von HubSpot prüfen und dokumentieren: Nimm das von HubSpot bereitgestellte DORA-Addendum in Deinen internen Dokumententresor auf. Es regelt die Basissicherung und ist ein zentraler Bestandteil Deiner Compliance-Strategie.
• Trust Center nutzen: Lade sämtliche Dokumentationen über Zertifizierungen (z.B. SoC2), Red Teaming Tests und Vertragsdokumente für Subunternehmer aus dem HubSpot Trust Center herunter.
• Vertragsprüfung und -ergänzung: Stelle sicher, dass Du mit Deinen Dienstleistern, einschließlich HubSpot und Servicepartnern, die erforderlichen vertraglichen Vereinbarungen wie Data Processing Agreements (DPAs) und Geheimhaltungsvereinbarungen geschlossen hast.
• Sensible Daten in HubSpot: Wenn Du kritische Funktionen oder sensible Daten in HubSpot speicherst, stelle sicher, dass die entsprechenden Einstellungen (z.B. sensible Datenfelder) genutzt werden und die Anforderungen für Penetrationstests und Audits erfüllt sind. 
• Interne Sensibilisierung schaffen: Schaffe Awareness für DORA in allen Abteilungen und etabliere Verantwortlichkeiten für DORA-konforme Prozesse.
• Regelmäßige Überprüfung: DORA ist ein sich ständig weiterentwickelnder Prozess. Bleibe auf dem Laufenden über Aktualisierungen des HubSpot Trust Centers und neuer Regulierungen.

HubSpot & DORA Fazit: Handle proaktiv!

DORA wird früher oder später alle regulierten Finanzunternehmen erreichen. Es ist entscheidend, das Thema proaktiv anzugehen. Die fortlaufende Entwicklung von DORA und HubSpot erfordert eine ständige Aufmerksamkeit und Anpassungsfähigkeit, um die digitale Resilienz Deines Unternehmens langfristig zu gewährleisten. Transparenter Umgang mit sensiblen Daten – wie hier am Beispiel Datenschutz im CRM erklärt – ist dabei ein entscheidender Faktor.

Die Umsetzung von DORA kann komplex sein. Erfahrene Dienstleister und Partner können Dir dabei helfen, die Richtlinien zu erfüllen und Sicherheitskonzepte zu erstellen. Wenn Du Unterstützung bei der Prüfung und Implementierung von DORA-Konformität für HubSpot benötigst, dann vereinbare einen individuellen Termin.

Wir bieten beispielsweise ein DORA Audit für HubSpot an, das Dir hilft, das Addendum clever zu nutzen, DORA-relevante Artikel zentral zusammenzutragen, zur sicheren Integration (Rechte- und Rollenkonzepte, Mehrfaktor-Authentifizierung) zu beraten und bei der Planung von Penetrationstests zu unterstützen.

Wenn Du auch weiterhin zu den neuesten Trends rund um CRM  auf dem Laufenden bleiben willst, dann abonniere jetzt hier unseren kostenfreien Newsletter.