Blogpost

Digital Operational Resilience Act (DORA)

Eine neue Ära der digitalen Betriebssicherheit in der Finanzbranche

Um die digitalen Betriebssicherheit in der Finanzbranche zu gewĂ€hrleisten, hat die EuropĂ€ische Union (EU) die Digital Operational Resilience Act (DORA) Regulation ins Leben gerufen. Die DORA-Regulation legt klare GrundsĂ€tze fĂŒr die digitale Betriebssicherheit fest und soll sicherstellen, dass Finanzinstitute den sich Ă€ndernden Bedrohungen und Risiken gewachsen sind.

2692
8 Minuten Lesezeit
DORA

Einleitung

Die Digitalisierung hat die Finanzbranche revolutioniert und gleichzeitig neue Herausforderungen mit sich gebracht. Angesichts der zunehmenden AbhÀngigkeit von Informationstechnologie (IT) ist es von entscheidender Bedeutung, deren Betriebssicherheit zu gewÀhrleisten. In diesem Zusammenhang hat die EuropÀische Union (EU) die Regulation Digital Operational Resilience Act (DORA) ins Leben gerufen.

Mit diesem Gesetzesvorhaben sollen die bisherigen nationalen Regelungen konsolidiert werden, um ein effektives und harmonisiertes Rahmenwerk zu schaffen. Sowohl traditionelle Marktakteure wie Banken, Versicherungen und Investmentgesellschaften als auch Fin- und BigTechs, die digitale Finanzdienstleistungen anbieten, werden von den Regelungen erfasst.

Auch IKT-Drittdienstleister sind betroffen, so dass DORA im Vergleich zu den EBA-Leitlinien zu Auslagerungen und dem Management von IKT- und Sicherheitsrisiken einen grĂ¶ĂŸeren Anwendungsbereich schafft. Die DORA-Regulation legt klare GrundsĂ€tze fĂŒr die digitale Betriebssicherheit fest und soll sicherstellen, dass Finanzinstitute den sich Ă€ndernden Bedrohungen und Risiken gewachsen sind.

Digital Operational Resilience im Gesamtkontext

FĂŒr eine besseres VerstĂ€ndnis der DORA ist es unabdinglich, den Kern und somit die digitale operationale Resilienz ganzheitlich einzuordnen. Diese ist klar als strategische Aufgabe zu betrachten und nimmt somit direkten Einfluss auf die Leitlinien zu Governance, IT, Risikomanagement, BCM und Auslagerungsmanagement. Übergreifend ist es sinnvoll, eine dedizierte Position (Chief Resilience Officer/Head of Resilience) als umfassende Organisationsfunktion zu etablieren, um die notwendigen Umsetzungspflichten der DORA strategisch mit der Managementebene aber auch operativ mit der 1st Line zu vereinbaren. Dies gewĂ€hrleistet eine koordinierte Verzahnung von 2nd Line Funktionen und die Operationalisierung in der 1st Line.

Digital Operational Resilience Act (DORA), ErgÀnzung der Governance um eine Position der digitalen Resilienz

Abbildung 1: ErgĂ€nzung der Governance um eine dedizierte Position der digitalen Resilienz (zum VergrĂ¶ĂŸern anklicken)

Die fĂŒnf SĂ€ulen der DORA-Regulation und deren Handlungsfelder

Die DORA-Umsetzungspflichten sind in fĂŒnf relevanten Kapiteln aufgefĂŒhrt, die die bisher bekannten aufsichtsrechtlichen Anforderungen erweitern oder ergĂ€nzen.

Kapitel 2: IKT-Risikomanagement [Art. 5-16]:  Im Zentrum von DORA steht die Schaffung eines umfassenden IKT-Risikomanagementrahmens. Dieser erlegt Unternehmen auf, IKT-Risiken frĂŒhzeitig zu identifizieren und effektiv darauf zu reagieren. Die Umsetzungspflichten dieses Kapitels umfassen verschiedene Aspekte wie die kontinuierliche Überwachung der BetriebsstabilitĂ€t, die Implementierung von Mechanismen zur IKT-PrĂ€vention, -Erkennung und -BewĂ€ltigung sowie die Entwicklung von Kommunikationsstrategien fĂŒr IKT-bezogene VorfĂ€lle.

Unternehmen sind ebenfalls dazu verpflichtet, prĂ€ventive Tests der digitalen operativen Resilienz durchzufĂŒhren und Leitlinien fĂŒr die GeschĂ€ftsfortfĂŒhrung zu erstellen. Hierbei mĂŒssen auch Sicherheitsziele, Risikotoleranzschwellen und Auswirkungstoleranzen festgelegt werden. Dabei mĂŒssen Finanzinstitute ihre aktuellen Betriebsprozesse ĂŒberprĂŒfen und eine grĂŒndliche Risikobewertung durchfĂŒhren, um potenzielle Sicherheitsrisiken oder Datenschutzverletzungen zu identifizieren, was durch eine Compliance und Risikobewertung erfolgen kann.

Ziel ist es, die IKT-Strategie eng mit den Unternehmenszielen zu verknĂŒpfen und regelmĂ€ĂŸig Berichte ĂŒber die IKT-RisikomanagementprĂŒfungen zu erstellen. Durch die kontinuierliche Überwachung der BetriebsstabilitĂ€t, die Implementierung von IKT-PrĂ€ventions- und -BewĂ€ltigungsmechanismen sowie die DurchfĂŒhrung prĂ€ventiver Tests soll ein hohes Niveau an digitaler operativer Resilienz gewĂ€hrleistet werden (zum Beispiel durch Erweiterung des bestehenden SIEM/SOC). Final wird die GeschĂ€ftsleitung bei der Steuerung und Verantwortung des IKT-Risikomanagements wesentlich stĂ€rker in die Pflicht genommen. Durch die verschĂ€rften Sanktionsmöglichkeiten der Aufsicht ist eine Delegation der Verantwortung folgenschwer.

Kapitel 3: Behandlung, Klassifizierung und Berichterstattung IKT-bezogener VorfĂ€lle [Art. 17-23]: Das weltweite Volumen von Cyberangriffen erreichte im Jahr 2022 ein Allzeithoch.  Es können daher hohe AufwĂ€nde zur BewĂ€ltigung IKT-bezogener VorfĂ€lle erwartet werden. Hinzu kommen umfangreiche Meldepflichten bei Eintreten und wĂ€hrend der Behebungsphase derartiger VorfĂ€lle. Resultierend daraus werden Unternehmen dazu verpflichtet, strukturiert und effektiv auf solche VorfĂ€lle zu reagieren. Durch die kontinuierliche Überwachung der digitalen BetriebsstabilitĂ€t, die Bewertung und Klassifizierung von VorfĂ€llen sowie die Meldung an Behörden können angemessene Sicherheitsmaßnahmen ergriffen und potenzielle SchĂ€den minimiert werden.

Kapitel 4: Testen der digitalen operationalen Resilienz [Art. 24-27]: Ein wichtiger Aspekt der DORA-Regulation ist die DurchfĂŒhrung von Belastbarkeitstests fĂŒr IT-Systeme und Prozesse in Finanzunternehmen. Diese Tests sollen die Robustheit der Systeme und die FĂ€higkeit zur BewĂ€ltigung potenzieller IT-Schwachstellen ĂŒberprĂŒfen. Die Tests mĂŒssen regelmĂ€ĂŸig stattfinden und verschiedene Aspekte wie PrĂ€vention, Erkennung, Reaktion und WiederherstellungsfĂ€higkeiten abdecken. Besonders bedeutende Finanzinstitute mĂŒssen auch bedrohungsgesteuerte Penetrationstests durchfĂŒhren. Im Sinne der DatenintegritĂ€t und GeschĂ€ftskontinuitĂ€t ist es unerlĂ€sslich, VerschlĂŒsselungs- und Sicherheitsstandards zu ĂŒberprĂŒfen sowie die EffektivitĂ€t des Berechtigungsmanagements zu gewĂ€hrleisten.

Durch die Ausformulierung dieses Kapitels ist jetzt schon ersichtlich, dass der explizite Fokus auf TLPT, die AbhĂ€ngigkeit einer Validierung durch die zustĂ€ndigen Behörden sowie die (vertragliche) Verpflichtung und Einbindung der IKT-Drittdienstleister zur Durchsetzung der Penetrationstests, zu deutlichen Mehraufwendungen fĂŒhrt.

Kapitel 5: Management des IKT-Drittparteienrisikos [Art. 28-44]: Die Auslagerung von IT-Dienstleistungen an Drittanbieter spielt eine wichtige Rolle in der Finanzbranche. DORA zielt darauf ab, Regeln fĂŒr die Überwachung und Kontrolle des IT-Drittrisikos festzulegen. Finanzinstitute mĂŒssen sicherstellen, dass VertrĂ€ge mit IT-Drittanbietern angemessene Schutzmaßnahmen enthalten und die Risiken wirksam kontrolliert werden können. Unternehmen sollen sicherstellen, dass VertrĂ€ge mit IKT-Dienstleistern den notwendigen Standards entsprechen.

Es werden Mindestinhalte fĂŒr vertragliche Vereinbarungen gefordert, die ĂŒber die bereits bestehenden Richtlinien hinausgehen und besonders den sonstigen IT-Fremdbezug betreffen werden. Dementsprechend muss auch die AbhĂ€ngigkeiten von IKT-bezogenen Dienstleistern und Drittanbietern ermittelt und bewertet werden. Partnerschaften und ausgelagerte Prozesse sollten auf die Waagschale gelegt sowie mit den Aufsichtsanforderungen ĂŒberprĂŒft und sichergestellt werden. Um AbhĂ€ngigkeitsrisiken zu minimieren, mĂŒssen zudem umfassende Ausstiegsstrategien, Notfallmaßnahmen und Informationssicherheitsstandards fĂŒr IKT-Drittparteien eruiert werden.

Kapitel 6: Vereinbarungen ĂŒber den Austausch von Informationen [Art. 45]: Als eine erweiterte Sicherheitsmaßnahem ist es Finanzunternehmen erlaubt ihre Erkenntnisse im Umgang mit IKT-bezogenen VorfĂ€llen zu teilen. Sofern das Ziel der StĂ€rkung der digitalen operationalen Resilienz besteht, können Indikatoren fĂŒr BeeintrĂ€chtigungen, Taktiken, Techniken und Verfahren ausgetauscht werden.

Der Aufbau dieses Informationsnetzwerks soll dazu beitragen aus externen VorfĂ€llen zu lernen und angemessene Maßnahmen abzuleiten, die im Sinne von kontinuierlicher Verbesserung und Weiterentwicklung der Resilienz genutzt werden. Der Informationsaustausch ist geschĂŒtzt und unterliegen Verhaltensregeln zu GeschĂ€ftsgeheimnissen und Datenschutz. In diesem Sinne wird festgelegt, was die Voraussetzungen fĂŒr die Teilnahme des Informationsaustauschs sind und wie staatliche Behörden gegebenenfalls einzubinden sind.

Wie können Sie den verbundenen Aufwand in Ihrem Haus optimieren und minimieren?

Der Handlungsbedarf hÀngt vom regulatorischen Reifegrad des Instituts ab.
Ihr Haus ist gut aufgestellt, wenn bereits aufsichtsrechtliche Anforderungen wie MaRisk i.V.m. BAIT, Leitlinien der EBA und internationale ISO-Standards erfĂŒllt sind.

ZusÀtzliche sollten folgende DORA-Voraussetzungen getroffen werden:

  1. Das Gesamtrisikomanagementsystem muss um IKT-Risiken eindeutig und nachvollziehbar ergÀnzt werden.
  2. EndgĂŒltige Vernetzung und Einbindung aller relevanten 1st und 2nd Line Funktionen (u.a. IT, Risk, BCM, ISO, AM, Legal)
  3. Neben der Anpassung von Strategien, Leit- und Richtlinien wird die Umsetzung von qualitativen Maßnahmen spezifische Kenntnisse und FĂ€higkeiten erfordern.
  4. Auslagernde Fachbereiche benötigen fachliches und technisches VerstÀndnis zur Anpassung von IT-DrittanbietervertrÀgen ergÀnzt um regulatorisches Knowhow.
  5. Die Zusammenarbeit mit IKT-Drittanbietern fĂŒr regulatorische KonformitĂ€t wird Zeit in Anspruch nehmen.

Profitieren Sie von unserer langjÀhrigen Branchenerfahrung und minimieren Sie den Aufwand in ihrem eigenen Institut!

DORA Kapitel: msg for banking Beratungsleistung: Umsetzungsaufwand:
Kapitel II IKT-Risikomanagement: 

  • Entwicklung eines vollumfassenden Informationssicherheitskonzeptes und IKT-Risikomanagementrahmens
  • PrĂŒfung der bisherigen WiderstandsfĂ€higkeit und Aufbau detektiver Sicherheitssysteme
 HOCH
Kapitel III Behandlung, Klassifizierung und Berichterstattung IKT-bezogener VorfÀlle:

  • Einrichtung von FrĂŒhwarnindikatoren als Warnmeldungen und Vorlagen zur Klassifikation von VorfĂ€llen
  • Erstellung von Berichtsvorlagen zur Bewertung und Meldung der Signifikanz
 MITTEL
Kapitel IV Testen der digitalen operationalen Resilienz:

  • End-to-End Aufbau von bedrohungsorientierten Penetrationstests (TLPT)
  • Aufbau interner Validierungsmethoden und Programme zur PrĂŒfung der digitalen BetriebsstabilitĂ€t
MITTEL
Kapitel V Management des IKT-Drittparteienrisikos:

  • Bewertung des Ausmaßes, der KomplexitĂ€t und Relevanz von IKT-bezogener AbhĂ€ngigkeiten zu Dienstleistern
  • Ermittlung und Sicherstellung der KonformitĂ€t von aufsichtsrelevanten VertrĂ€gen (bes. sonst. IT-FremdbezĂŒge)
 HOCH
Kapitel VI Vereinbarungen ĂŒber den Austausch von Informationen:

  • PrĂŒfung von Indikatoren, Techniken und Verfahren, Cybersicherheitswarnungen und Tools
  • Aufsetzen von Verhaltensregeln zu GeschĂ€ftsgeheimnissen und Datenschutz
 NIEDRIG

 

Fazit: Erhöhte Sicherheit mit einhergehenden Pflichten

Die DORA-Regulation stellt einen wichtigen Meilenstein in der Sicherstellung der digitalen Betriebssicherheit in der Finanzbranche dar. Die Implementierung der genannten Handlungsfelder ist von entscheidender Bedeutung, um den Anforderungen der Regulation gerecht zu werden und die digitale BetriebsstabilitĂ€t zu gewĂ€hrleisten. Durch konsequente Umsetzung können Finanzinstitute ihre WiderstandsfĂ€higkeit gegenĂŒber digitalen Risiken stĂ€rken und das Vertrauen der Kunden in die Sicherheit ihrer Finanzdaten fördern.

Die EinfĂŒhrung einheitlicher Regelungen fĂŒr die Betriebssicherheit hat weitreichende Auswirkungen auf die Finanzbranche. Einerseits bietet dies den Finanzunternehmen eine klare Struktur und klare Leitlinien, um ihre IT-Systeme und -Prozesse effektiv zu schĂŒtzen. Dadurch wird das Vertrauen der Kunden gestĂ€rkt und das Risiko von SicherheitsvorfĂ€llen und Cyberangriffen reduziert. Andererseits bringt die DORA-Regulation auch zusĂ€tzliche Verantwortlichkeiten und Herausforderungen fĂŒr die Finanzinstitute mit sich. Sie mĂŒssen in die StĂ€rkung ihrer IT-Infrastruktur investieren, qualifiziertes Personal fĂŒr das IKT-Risikomanagement einstellen und Schulungsprogramme implementieren, um sicherzustellen, dass ihre Mitarbeiter ĂŒber das notwendige Wissen und die FĂ€higkeiten verfĂŒgen, um IT-Risiken zu erkennen und darauf angemessen zu reagieren.

Dennoch ist damit die Thematik DORA noch nicht vollstĂ€ndig abgeschlossen. FĂŒr Januar und Juli 2024 stehen weitere Konkretisierungen von technischen Regulierungs- und DurchfĂŒhrungsstandards (RTS/IST) an, die PrĂ€zisierungen zu den Kapiteln 2 bis 5 beinhalten und dabei genauere Kriterien, Standardvorlagen, KostenschĂ€tzungen und Anforderungen fĂŒr die Operationalisierung festlegen werden, bevor am 17.01.2025 die Umsetzungsfrist greift – weitere Übergangsvorschriften sind nicht vorgesehen.

Bei Banking.Vision halten wir Sie dazu auf dem Laufenden.

Maximilian Barg

Maximilian Barg

ist bei msg for banking Manager im Bereich IT-GRC (Governance, Risk und Compliance) und verantwortet das Thema BAIT in Verbindung mit MaRisk sowie weitere regulatorische Themenschwerpunkte, wie zum Beispiel DORA (Digital Operational Resilience Act).

Schreiben Sie einen Kommentar

Sie mĂŒssen sich anmelden, um einen Kommentar zu schreiben.