Digital Operational Resilience Act (DORA)
Eine neue Ăra der digitalen Betriebssicherheit in der Finanzbranche
Um die digitalen Betriebssicherheit in der Finanzbranche zu gewĂ€hrleisten, hat die EuropĂ€ische Union (EU) die Digital Operational Resilience Act (DORA) Regulation ins Leben gerufen. Die DORA-Regulation legt klare GrundsĂ€tze fĂŒr die digitale Betriebssicherheit fest und soll sicherstellen, dass Finanzinstitute den sich Ă€ndernden Bedrohungen und Risiken gewachsen sind.
Einleitung
Die Digitalisierung hat die Finanzbranche revolutioniert und gleichzeitig neue Herausforderungen mit sich gebracht. Angesichts der zunehmenden AbhÀngigkeit von Informationstechnologie (IT) ist es von entscheidender Bedeutung, deren Betriebssicherheit zu gewÀhrleisten. In diesem Zusammenhang hat die EuropÀische Union (EU) die Regulation Digital Operational Resilience Act (DORA) ins Leben gerufen.
Mit diesem Gesetzesvorhaben sollen die bisherigen nationalen Regelungen konsolidiert werden, um ein effektives und harmonisiertes Rahmenwerk zu schaffen. Sowohl traditionelle Marktakteure wie Banken, Versicherungen und Investmentgesellschaften als auch Fin- und BigTechs, die digitale Finanzdienstleistungen anbieten, werden von den Regelungen erfasst.
Auch IKT-Drittdienstleister sind betroffen, so dass DORA im Vergleich zu den EBA-Leitlinien zu Auslagerungen und dem Management von IKT- und Sicherheitsrisiken einen gröĂeren Anwendungsbereich schafft. Die DORA-Regulation legt klare GrundsĂ€tze fĂŒr die digitale Betriebssicherheit fest und soll sicherstellen, dass Finanzinstitute den sich Ă€ndernden Bedrohungen und Risiken gewachsen sind.
Digital Operational Resilience im Gesamtkontext
FĂŒr eine besseres VerstĂ€ndnis der DORA ist es unabdinglich, den Kern und somit die digitale operationale Resilienz ganzheitlich einzuordnen. Diese ist klar als strategische Aufgabe zu betrachten und nimmt somit direkten Einfluss auf die Leitlinien zu Governance, IT, Risikomanagement, BCM und Auslagerungsmanagement. Ăbergreifend ist es sinnvoll, eine dedizierte Position (Chief Resilience Officer/Head of Resilience) als umfassende Organisationsfunktion zu etablieren, um die notwendigen Umsetzungspflichten der DORA strategisch mit der Managementebene aber auch operativ mit der 1st Line zu vereinbaren. Dies gewĂ€hrleistet eine koordinierte Verzahnung von 2nd Line Funktionen und die Operationalisierung in der 1st Line.
Abbildung 1: ErgĂ€nzung der Governance um eine dedizierte Position der digitalen Resilienz (zum VergröĂern anklicken)
Die fĂŒnf SĂ€ulen der DORA-Regulation und deren Handlungsfelder
Die DORA-Umsetzungspflichten sind in fĂŒnf relevanten Kapiteln aufgefĂŒhrt, die die bisher bekannten aufsichtsrechtlichen Anforderungen erweitern oder ergĂ€nzen.
Kapitel 2: IKT-Risikomanagement [Art. 5-16]:  Im Zentrum von DORA steht die Schaffung eines umfassenden IKT-Risikomanagementrahmens. Dieser erlegt Unternehmen auf, IKT-Risiken frĂŒhzeitig zu identifizieren und effektiv darauf zu reagieren. Die Umsetzungspflichten dieses Kapitels umfassen verschiedene Aspekte wie die kontinuierliche Ăberwachung der BetriebsstabilitĂ€t, die Implementierung von Mechanismen zur IKT-PrĂ€vention, -Erkennung und -BewĂ€ltigung sowie die Entwicklung von Kommunikationsstrategien fĂŒr IKT-bezogene VorfĂ€lle.
Unternehmen sind ebenfalls dazu verpflichtet, prĂ€ventive Tests der digitalen operativen Resilienz durchzufĂŒhren und Leitlinien fĂŒr die GeschĂ€ftsfortfĂŒhrung zu erstellen. Hierbei mĂŒssen auch Sicherheitsziele, Risikotoleranzschwellen und Auswirkungstoleranzen festgelegt werden. Dabei mĂŒssen Finanzinstitute ihre aktuellen Betriebsprozesse ĂŒberprĂŒfen und eine grĂŒndliche Risikobewertung durchfĂŒhren, um potenzielle Sicherheitsrisiken oder Datenschutzverletzungen zu identifizieren, was durch eine Compliance und Risikobewertung erfolgen kann.
Ziel ist es, die IKT-Strategie eng mit den Unternehmenszielen zu verknĂŒpfen und regelmĂ€Ăig Berichte ĂŒber die IKT-RisikomanagementprĂŒfungen zu erstellen. Durch die kontinuierliche Ăberwachung der BetriebsstabilitĂ€t, die Implementierung von IKT-PrĂ€ventions- und -BewĂ€ltigungsmechanismen sowie die DurchfĂŒhrung prĂ€ventiver Tests soll ein hohes Niveau an digitaler operativer Resilienz gewĂ€hrleistet werden (zum Beispiel durch Erweiterung des bestehenden SIEM/SOC). Final wird die GeschĂ€ftsleitung bei der Steuerung und Verantwortung des IKT-Risikomanagements wesentlich stĂ€rker in die Pflicht genommen. Durch die verschĂ€rften Sanktionsmöglichkeiten der Aufsicht ist eine Delegation der Verantwortung folgenschwer.
Kapitel 3: Behandlung, Klassifizierung und Berichterstattung IKT-bezogener VorfĂ€lle [Art. 17-23]: Das weltweite Volumen von Cyberangriffen erreichte im Jahr 2022 ein Allzeithoch.  Es können daher hohe AufwĂ€nde zur BewĂ€ltigung IKT-bezogener VorfĂ€lle erwartet werden. Hinzu kommen umfangreiche Meldepflichten bei Eintreten und wĂ€hrend der Behebungsphase derartiger VorfĂ€lle. Resultierend daraus werden Unternehmen dazu verpflichtet, strukturiert und effektiv auf solche VorfĂ€lle zu reagieren. Durch die kontinuierliche Ăberwachung der digitalen BetriebsstabilitĂ€t, die Bewertung und Klassifizierung von VorfĂ€llen sowie die Meldung an Behörden können angemessene SicherheitsmaĂnahmen ergriffen und potenzielle SchĂ€den minimiert werden.
Kapitel 4: Testen der digitalen operationalen Resilienz [Art. 24-27]: Ein wichtiger Aspekt der DORA-Regulation ist die DurchfĂŒhrung von Belastbarkeitstests fĂŒr IT-Systeme und Prozesse in Finanzunternehmen. Diese Tests sollen die Robustheit der Systeme und die FĂ€higkeit zur BewĂ€ltigung potenzieller IT-Schwachstellen ĂŒberprĂŒfen. Die Tests mĂŒssen regelmĂ€Ăig stattfinden und verschiedene Aspekte wie PrĂ€vention, Erkennung, Reaktion und WiederherstellungsfĂ€higkeiten abdecken. Besonders bedeutende Finanzinstitute mĂŒssen auch bedrohungsgesteuerte Penetrationstests durchfĂŒhren. Im Sinne der DatenintegritĂ€t und GeschĂ€ftskontinuitĂ€t ist es unerlĂ€sslich, VerschlĂŒsselungs- und Sicherheitsstandards zu ĂŒberprĂŒfen sowie die EffektivitĂ€t des Berechtigungsmanagements zu gewĂ€hrleisten.
Durch die Ausformulierung dieses Kapitels ist jetzt schon ersichtlich, dass der explizite Fokus auf TLPT, die AbhĂ€ngigkeit einer Validierung durch die zustĂ€ndigen Behörden sowie die (vertragliche) Verpflichtung und Einbindung der IKT-Drittdienstleister zur Durchsetzung der Penetrationstests, zu deutlichen Mehraufwendungen fĂŒhrt.
Kapitel 5: Management des IKT-Drittparteienrisikos [Art. 28-44]: Die Auslagerung von IT-Dienstleistungen an Drittanbieter spielt eine wichtige Rolle in der Finanzbranche. DORA zielt darauf ab, Regeln fĂŒr die Ăberwachung und Kontrolle des IT-Drittrisikos festzulegen. Finanzinstitute mĂŒssen sicherstellen, dass VertrĂ€ge mit IT-Drittanbietern angemessene SchutzmaĂnahmen enthalten und die Risiken wirksam kontrolliert werden können. Unternehmen sollen sicherstellen, dass VertrĂ€ge mit IKT-Dienstleistern den notwendigen Standards entsprechen.
Es werden Mindestinhalte fĂŒr vertragliche Vereinbarungen gefordert, die ĂŒber die bereits bestehenden Richtlinien hinausgehen und besonders den sonstigen IT-Fremdbezug betreffen werden. Dementsprechend muss auch die AbhĂ€ngigkeiten von IKT-bezogenen Dienstleistern und Drittanbietern ermittelt und bewertet werden. Partnerschaften und ausgelagerte Prozesse sollten auf die Waagschale gelegt sowie mit den Aufsichtsanforderungen ĂŒberprĂŒft und sichergestellt werden. Um AbhĂ€ngigkeitsrisiken zu minimieren, mĂŒssen zudem umfassende Ausstiegsstrategien, NotfallmaĂnahmen und Informationssicherheitsstandards fĂŒr IKT-Drittparteien eruiert werden.
Kapitel 6: Vereinbarungen ĂŒber den Austausch von Informationen [Art. 45]: Als eine erweiterte SicherheitsmaĂnahem ist es Finanzunternehmen erlaubt ihre Erkenntnisse im Umgang mit IKT-bezogenen VorfĂ€llen zu teilen. Sofern das Ziel der StĂ€rkung der digitalen operationalen Resilienz besteht, können Indikatoren fĂŒr BeeintrĂ€chtigungen, Taktiken, Techniken und Verfahren ausgetauscht werden.
Der Aufbau dieses Informationsnetzwerks soll dazu beitragen aus externen VorfĂ€llen zu lernen und angemessene MaĂnahmen abzuleiten, die im Sinne von kontinuierlicher Verbesserung und Weiterentwicklung der Resilienz genutzt werden. Der Informationsaustausch ist geschĂŒtzt und unterliegen Verhaltensregeln zu GeschĂ€ftsgeheimnissen und Datenschutz. In diesem Sinne wird festgelegt, was die Voraussetzungen fĂŒr die Teilnahme des Informationsaustauschs sind und wie staatliche Behörden gegebenenfalls einzubinden sind.
Wie können Sie den verbundenen Aufwand in Ihrem Haus optimieren und minimieren?
Der Handlungsbedarf hÀngt vom regulatorischen Reifegrad des Instituts ab.
Ihr Haus ist gut aufgestellt, wenn bereits aufsichtsrechtliche Anforderungen wie MaRisk i.V.m. BAIT, Leitlinien der EBA und internationale ISO-Standards erfĂŒllt sind.
ZusÀtzliche sollten folgende DORA-Voraussetzungen getroffen werden:
- Das Gesamtrisikomanagementsystem muss um IKT-Risiken eindeutig und nachvollziehbar ergÀnzt werden.
- EndgĂŒltige Vernetzung und Einbindung aller relevanten 1st und 2nd Line Funktionen (u.a. IT, Risk, BCM, ISO, AM, Legal)
- Neben der Anpassung von Strategien, Leit- und Richtlinien wird die Umsetzung von qualitativen MaĂnahmen spezifische Kenntnisse und FĂ€higkeiten erfordern.
- Auslagernde Fachbereiche benötigen fachliches und technisches VerstÀndnis zur Anpassung von IT-DrittanbietervertrÀgen ergÀnzt um regulatorisches Knowhow.
- Die Zusammenarbeit mit IKT-Drittanbietern fĂŒr regulatorische KonformitĂ€t wird Zeit in Anspruch nehmen.
Profitieren Sie von unserer langjÀhrigen Branchenerfahrung und minimieren Sie den Aufwand in ihrem eigenen Institut!
DORA Kapitel: | msg for banking Beratungsleistung: | Umsetzungsaufwand: |
Kapitel II | IKT-Risikomanagement:Â
|
 HOCH |
Kapitel III | Behandlung, Klassifizierung und Berichterstattung IKT-bezogener VorfÀlle:
|
 MITTEL |
Kapitel IV | Testen der digitalen operationalen Resilienz:
|
MITTEL |
Kapitel V | Management des IKT-Drittparteienrisikos:
|
 HOCH |
Kapitel VI | Vereinbarungen ĂŒber den Austausch von Informationen:
|
 NIEDRIG
|
Fazit: Erhöhte Sicherheit mit einhergehenden Pflichten
Die DORA-Regulation stellt einen wichtigen Meilenstein in der Sicherstellung der digitalen Betriebssicherheit in der Finanzbranche dar. Die Implementierung der genannten Handlungsfelder ist von entscheidender Bedeutung, um den Anforderungen der Regulation gerecht zu werden und die digitale BetriebsstabilitĂ€t zu gewĂ€hrleisten. Durch konsequente Umsetzung können Finanzinstitute ihre WiderstandsfĂ€higkeit gegenĂŒber digitalen Risiken stĂ€rken und das Vertrauen der Kunden in die Sicherheit ihrer Finanzdaten fördern.
Die EinfĂŒhrung einheitlicher Regelungen fĂŒr die Betriebssicherheit hat weitreichende Auswirkungen auf die Finanzbranche. Einerseits bietet dies den Finanzunternehmen eine klare Struktur und klare Leitlinien, um ihre IT-Systeme und -Prozesse effektiv zu schĂŒtzen. Dadurch wird das Vertrauen der Kunden gestĂ€rkt und das Risiko von SicherheitsvorfĂ€llen und Cyberangriffen reduziert. Andererseits bringt die DORA-Regulation auch zusĂ€tzliche Verantwortlichkeiten und Herausforderungen fĂŒr die Finanzinstitute mit sich. Sie mĂŒssen in die StĂ€rkung ihrer IT-Infrastruktur investieren, qualifiziertes Personal fĂŒr das IKT-Risikomanagement einstellen und Schulungsprogramme implementieren, um sicherzustellen, dass ihre Mitarbeiter ĂŒber das notwendige Wissen und die FĂ€higkeiten verfĂŒgen, um IT-Risiken zu erkennen und darauf angemessen zu reagieren.
Dennoch ist damit die Thematik DORA noch nicht vollstĂ€ndig abgeschlossen. FĂŒr Januar und Juli 2024 stehen weitere Konkretisierungen von technischen Regulierungs- und DurchfĂŒhrungsstandards (RTS/IST) an, die PrĂ€zisierungen zu den Kapiteln 2 bis 5 beinhalten und dabei genauere Kriterien, Standardvorlagen, KostenschĂ€tzungen und Anforderungen fĂŒr die Operationalisierung festlegen werden, bevor am 17.01.2025 die Umsetzungsfrist greift – weitere Ăbergangsvorschriften sind nicht vorgesehen.
Bei Banking.Vision halten wir Sie dazu auf dem Laufenden.
Sie mĂŒssen sich anmelden, um einen Kommentar zu schreiben.