Blogpost

Digital Operational Resilience Act (DORA)

Eine neue √Ąra der digitalen Betriebssicherheit in der Finanzbranche

Um die digitalen Betriebssicherheit in der Finanzbranche zu gew√§hrleisten, hat die Europ√§ische Union (EU) die Digital Operational Resilience Act (DORA) Regulation ins Leben gerufen. Die DORA-Regulation legt klare Grunds√§tze f√ľr die digitale Betriebssicherheit fest und soll sicherstellen, dass Finanzinstitute den sich √§ndernden Bedrohungen und Risiken gewachsen sind.

2241
8 Minuten Lesezeit
DORA

Einleitung

Die Digitalisierung hat die Finanzbranche revolutioniert und gleichzeitig neue Herausforderungen mit sich gebracht. Angesichts der zunehmenden Abhängigkeit von Informationstechnologie (IT) ist es von entscheidender Bedeutung, deren Betriebssicherheit zu gewährleisten. In diesem Zusammenhang hat die Europäische Union (EU) die Regulation Digital Operational Resilience Act (DORA) ins Leben gerufen.

Mit diesem Gesetzesvorhaben sollen die bisherigen nationalen Regelungen konsolidiert werden, um ein effektives und harmonisiertes Rahmenwerk zu schaffen. Sowohl traditionelle Marktakteure wie Banken, Versicherungen und Investmentgesellschaften als auch Fin- und BigTechs, die digitale Finanzdienstleistungen anbieten, werden von den Regelungen erfasst.

Auch IKT-Drittdienstleister sind betroffen, so dass DORA im Vergleich zu den EBA-Leitlinien zu Auslagerungen und dem Management von IKT- und Sicherheitsrisiken einen gr√∂√üeren Anwendungsbereich schafft. Die DORA-Regulation legt klare Grunds√§tze f√ľr die digitale Betriebssicherheit fest und soll sicherstellen, dass Finanzinstitute den sich √§ndernden Bedrohungen und Risiken gewachsen sind.

Digital Operational Resilience im Gesamtkontext

F√ľr eine besseres Verst√§ndnis der DORA ist es unabdinglich, den Kern und somit die digitale operationale Resilienz ganzheitlich einzuordnen. Diese ist klar als strategische Aufgabe zu betrachten und nimmt somit direkten Einfluss auf die Leitlinien zu Governance, IT, Risikomanagement, BCM und Auslagerungsmanagement. √úbergreifend ist es sinnvoll, eine dedizierte Position (Chief Resilience Officer/Head of Resilience) als umfassende Organisationsfunktion zu etablieren, um die notwendigen Umsetzungspflichten der DORA strategisch mit der Managementebene aber auch operativ mit der 1st Line zu vereinbaren. Dies gew√§hrleistet eine koordinierte Verzahnung von 2nd Line Funktionen und die Operationalisierung in der 1st Line.

Digital Operational Resilience Act (DORA), Ergänzung der Governance um eine Position der digitalen Resilienz

Abbildung 1: Ergänzung der Governance um eine dedizierte Position der digitalen Resilienz (zum Vergrößern anklicken)

Die f√ľnf S√§ulen der DORA-Regulation und deren Handlungsfelder

Die DORA-Umsetzungspflichten sind in f√ľnf relevanten Kapiteln aufgef√ľhrt, die die bisher bekannten aufsichtsrechtlichen Anforderungen erweitern oder erg√§nzen.

Kapitel 2: IKT-Risikomanagement [Art. 5-16]: ¬†Im Zentrum von DORA steht die Schaffung eines umfassenden IKT-Risikomanagementrahmens. Dieser erlegt Unternehmen auf, IKT-Risiken fr√ľhzeitig zu identifizieren und effektiv darauf zu reagieren. Die Umsetzungspflichten dieses Kapitels umfassen verschiedene Aspekte wie die kontinuierliche √úberwachung der Betriebsstabilit√§t, die Implementierung von Mechanismen zur IKT-Pr√§vention, -Erkennung und -Bew√§ltigung sowie die Entwicklung von Kommunikationsstrategien f√ľr IKT-bezogene Vorf√§lle.

Unternehmen sind ebenfalls dazu verpflichtet, pr√§ventive Tests der digitalen operativen Resilienz durchzuf√ľhren und Leitlinien f√ľr die Gesch√§ftsfortf√ľhrung zu erstellen. Hierbei m√ľssen auch Sicherheitsziele, Risikotoleranzschwellen und Auswirkungstoleranzen festgelegt werden. Dabei m√ľssen Finanzinstitute ihre aktuellen Betriebsprozesse √ľberpr√ľfen und eine gr√ľndliche Risikobewertung durchf√ľhren, um potenzielle Sicherheitsrisiken oder Datenschutzverletzungen zu identifizieren, was durch eine Compliance und Risikobewertung erfolgen kann.

Ziel ist es, die IKT-Strategie eng mit den Unternehmenszielen zu verkn√ľpfen und regelm√§√üig Berichte √ľber die IKT-Risikomanagementpr√ľfungen zu erstellen. Durch die kontinuierliche √úberwachung der Betriebsstabilit√§t, die Implementierung von IKT-Pr√§ventions- und -Bew√§ltigungsmechanismen sowie die Durchf√ľhrung pr√§ventiver Tests soll ein hohes Niveau an digitaler operativer Resilienz gew√§hrleistet werden (zum Beispiel durch Erweiterung des bestehenden SIEM/SOC). Final wird die Gesch√§ftsleitung bei der Steuerung und Verantwortung des IKT-Risikomanagements wesentlich st√§rker in die Pflicht genommen. Durch die versch√§rften Sanktionsm√∂glichkeiten der Aufsicht ist eine Delegation der Verantwortung folgenschwer.

Kapitel 3: Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle [Art. 17-23]: Das weltweite Volumen von Cyberangriffen erreichte im Jahr 2022 ein Allzeithoch.  Es können daher hohe Aufwände zur Bewältigung IKT-bezogener Vorfälle erwartet werden. Hinzu kommen umfangreiche Meldepflichten bei Eintreten und während der Behebungsphase derartiger Vorfälle. Resultierend daraus werden Unternehmen dazu verpflichtet, strukturiert und effektiv auf solche Vorfälle zu reagieren. Durch die kontinuierliche Überwachung der digitalen Betriebsstabilität, die Bewertung und Klassifizierung von Vorfällen sowie die Meldung an Behörden können angemessene Sicherheitsmaßnahmen ergriffen und potenzielle Schäden minimiert werden.

Kapitel 4: Testen der digitalen operationalen Resilienz [Art. 24-27]: Ein wichtiger Aspekt der DORA-Regulation ist die Durchf√ľhrung von Belastbarkeitstests f√ľr IT-Systeme und Prozesse in Finanzunternehmen. Diese Tests sollen die Robustheit der Systeme und die F√§higkeit zur Bew√§ltigung potenzieller IT-Schwachstellen √ľberpr√ľfen. Die Tests m√ľssen regelm√§√üig stattfinden und verschiedene Aspekte wie Pr√§vention, Erkennung, Reaktion und Wiederherstellungsf√§higkeiten abdecken. Besonders bedeutende Finanzinstitute m√ľssen auch bedrohungsgesteuerte Penetrationstests durchf√ľhren. Im Sinne der Datenintegrit√§t und Gesch√§ftskontinuit√§t ist es unerl√§sslich, Verschl√ľsselungs- und Sicherheitsstandards zu √ľberpr√ľfen sowie die Effektivit√§t des Berechtigungsmanagements zu gew√§hrleisten.

Durch die Ausformulierung dieses Kapitels ist jetzt schon ersichtlich, dass der explizite Fokus auf TLPT, die Abh√§ngigkeit einer Validierung durch die zust√§ndigen Beh√∂rden sowie die (vertragliche) Verpflichtung und Einbindung der IKT-Drittdienstleister zur Durchsetzung der Penetrationstests, zu deutlichen Mehraufwendungen f√ľhrt.

Kapitel 5: Management des IKT-Drittparteienrisikos [Art. 28-44]: Die Auslagerung von IT-Dienstleistungen an Drittanbieter spielt eine wichtige Rolle in der Finanzbranche. DORA zielt darauf ab, Regeln f√ľr die √úberwachung und Kontrolle des IT-Drittrisikos festzulegen. Finanzinstitute m√ľssen sicherstellen, dass Vertr√§ge mit IT-Drittanbietern angemessene Schutzma√ünahmen enthalten und die Risiken wirksam kontrolliert werden k√∂nnen. Unternehmen sollen sicherstellen, dass Vertr√§ge mit IKT-Dienstleistern den notwendigen Standards entsprechen.

Es werden Mindestinhalte f√ľr vertragliche Vereinbarungen gefordert, die √ľber die bereits bestehenden Richtlinien hinausgehen und besonders den sonstigen IT-Fremdbezug betreffen werden. Dementsprechend muss auch die Abh√§ngigkeiten von IKT-bezogenen Dienstleistern und Drittanbietern ermittelt und bewertet werden. Partnerschaften und ausgelagerte Prozesse sollten auf die Waagschale gelegt sowie mit den Aufsichtsanforderungen √ľberpr√ľft und sichergestellt werden. Um Abh√§ngigkeitsrisiken zu minimieren, m√ľssen zudem umfassende Ausstiegsstrategien, Notfallma√ünahmen und Informationssicherheitsstandards f√ľr IKT-Drittparteien eruiert werden.

Kapitel 6: Vereinbarungen √ľber den¬†Austausch von Informationen [Art. 45]: Als eine erweiterte Sicherheitsma√ünahem ist es Finanzunternehmen erlaubt ihre Erkenntnisse im Umgang mit IKT-bezogenen Vorf√§llen zu teilen. Sofern das Ziel der St√§rkung der digitalen operationalen Resilienz besteht, k√∂nnen Indikatoren f√ľr Beeintr√§chtigungen, Taktiken, Techniken und Verfahren ausgetauscht werden.

Der Aufbau dieses Informationsnetzwerks soll dazu beitragen aus externen Vorf√§llen zu lernen und angemessene Ma√ünahmen abzuleiten, die im Sinne von kontinuierlicher Verbesserung und Weiterentwicklung der Resilienz genutzt werden. Der Informationsaustausch ist gesch√ľtzt und unterliegen Verhaltensregeln zu Gesch√§ftsgeheimnissen und Datenschutz. In diesem Sinne wird festgelegt, was die Voraussetzungen f√ľr die Teilnahme des Informationsaustauschs sind und wie staatliche Beh√∂rden gegebenenfalls einzubinden sind.

Wie können Sie den verbundenen Aufwand in Ihrem Haus optimieren und minimieren?

Der Handlungsbedarf hängt vom regulatorischen Reifegrad des Instituts ab.
Ihr Haus ist gut aufgestellt, wenn bereits aufsichtsrechtliche Anforderungen wie MaRisk i.V.m. BAIT, Leitlinien der EBA und internationale ISO-Standards erf√ľllt sind.

Zusätzliche sollten folgende DORA-Voraussetzungen getroffen werden:

  1. Das Gesamtrisikomanagementsystem muss um IKT-Risiken eindeutig und nachvollziehbar ergänzt werden.
  2. Endg√ľltige Vernetzung und Einbindung aller relevanten 1st und 2nd Line Funktionen (u.a. IT, Risk, BCM, ISO, AM, Legal)
  3. Neben der Anpassung von Strategien, Leit- und Richtlinien wird die Umsetzung von qualitativen Maßnahmen spezifische Kenntnisse und Fähigkeiten erfordern.
  4. Auslagernde Fachbereiche benötigen fachliches und technisches Verständnis zur Anpassung von IT-Drittanbieterverträgen ergänzt um regulatorisches Knowhow.
  5. Die Zusammenarbeit mit IKT-Drittanbietern f√ľr regulatorische Konformit√§t wird Zeit in Anspruch nehmen.

Profitieren Sie von unserer langjährigen Branchenerfahrung und minimieren Sie den Aufwand in ihrem eigenen Institut!

DORA Kapitel: msg for banking Beratungsleistung: Umsetzungsaufwand:
Kapitel II IKT-Risikomanagement: 

  • Entwicklung eines vollumfassenden Informationssicherheitskonzeptes und IKT-Risikomanagementrahmens
  • Pr√ľfung der bisherigen Widerstandsf√§higkeit und Aufbau detektiver Sicherheitssysteme
 HOCH
Kapitel III Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle:

  • Einrichtung von Fr√ľhwarnindikatoren als Warnmeldungen und Vorlagen zur Klassifikation von Vorf√§llen
  • Erstellung von Berichtsvorlagen zur Bewertung und Meldung der Signifikanz
 MITTEL
Kapitel IV Testen der digitalen operationalen Resilienz:

  • End-to-End Aufbau von bedrohungsorientierten Penetrationstests (TLPT)
  • Aufbau interner Validierungsmethoden und Programme zur Pr√ľfung der digitalen Betriebsstabilit√§t
MITTEL
Kapitel V Management des IKT-Drittparteienrisikos:

  • Bewertung des Ausma√ües, der Komplexit√§t und Relevanz von IKT-bezogener Abh√§ngigkeiten zu Dienstleistern
  • Ermittlung und Sicherstellung der Konformit√§t von aufsichtsrelevanten Vertr√§gen (bes. sonst. IT-Fremdbez√ľge)
 HOCH
Kapitel VI Vereinbarungen √ľber den¬†Austausch von Informationen:

  • Pr√ľfung von Indikatoren, Techniken und Verfahren, Cybersicherheitswarnungen und Tools
  • Aufsetzen von Verhaltensregeln zu Gesch√§ftsgeheimnissen und Datenschutz
 NIEDRIG

 

Fazit: Erhöhte Sicherheit mit einhergehenden Pflichten

Die DORA-Regulation stellt einen wichtigen Meilenstein in der Sicherstellung der digitalen Betriebssicherheit in der Finanzbranche dar. Die Implementierung der genannten Handlungsfelder ist von entscheidender Bedeutung, um den Anforderungen der Regulation gerecht zu werden und die digitale Betriebsstabilit√§t zu gew√§hrleisten. Durch konsequente Umsetzung k√∂nnen Finanzinstitute ihre Widerstandsf√§higkeit gegen√ľber digitalen Risiken st√§rken und das Vertrauen der Kunden in die Sicherheit ihrer Finanzdaten f√∂rdern.

Die Einf√ľhrung einheitlicher Regelungen f√ľr die Betriebssicherheit hat weitreichende Auswirkungen auf die Finanzbranche. Einerseits bietet dies den Finanzunternehmen eine klare Struktur und klare Leitlinien, um ihre IT-Systeme und -Prozesse effektiv zu sch√ľtzen. Dadurch wird das Vertrauen der Kunden gest√§rkt und das Risiko von Sicherheitsvorf√§llen und Cyberangriffen reduziert. Andererseits bringt die DORA-Regulation auch zus√§tzliche Verantwortlichkeiten und Herausforderungen f√ľr die Finanzinstitute mit sich. Sie m√ľssen in die St√§rkung ihrer IT-Infrastruktur investieren, qualifiziertes Personal f√ľr das IKT-Risikomanagement einstellen und Schulungsprogramme implementieren, um sicherzustellen, dass ihre Mitarbeiter √ľber das notwendige Wissen und die F√§higkeiten verf√ľgen, um IT-Risiken zu erkennen und darauf angemessen zu reagieren.

Dennoch ist damit die Thematik DORA noch nicht vollst√§ndig abgeschlossen. F√ľr Januar und Juli 2024 stehen weitere Konkretisierungen von technischen Regulierungs- und Durchf√ľhrungsstandards (RTS/IST) an, die Pr√§zisierungen zu den Kapiteln 2 bis 5 beinhalten und dabei genauere Kriterien, Standardvorlagen, Kostensch√§tzungen und Anforderungen f√ľr die Operationalisierung festlegen werden, bevor am 17.01.2025 die Umsetzungsfrist greift – weitere √úbergangsvorschriften sind nicht vorgesehen.

Bei Banking.Vision halten wir Sie dazu auf dem Laufenden.

Maximilian Barg

Maximilian Barg

ist bei msg for banking Manager im Bereich IT-GRC (Governance, Risk und Compliance) und verantwortet das Thema BAIT in Verbindung mit MaRisk sowie weitere regulatorische Themenschwerpunkte, wie zum Beispiel DORA (Digital Operational Resilience Act).

Schreiben Sie einen Kommentar

Sie m√ľssen sich anmelden, um einen Kommentar zu schreiben.