Ein Jahr bis zum Stichtag
Autor: Carsten Gellert (Senior Consultant #FORTSCHRITT)
- 27.02.2024 -
Im Januar 2023 ist der Digital Operational Resilience Act (DORA) für Finanzunternehmen in Kraft getreten. Bis Januar 2025 müssen die Anforderungen verpflichtend umgesetzt sein. Aber welche Anforderungen verbergen sich hinter dieser Verordnung? Der folgende Beitrag verschafft einen Überblick über die Anforderungen und Pflichten von DORA.
1. Was ist DORA?
Der Digital Operational Resilience Act, kurz DORA genannt, ist die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor. DORA ist ein umfassendes Regelwerk für Cybersicherheit, den Umgang mit IKT-Risiken, also Risiken in der IT- und Kommunikationstechnik, und die digitale operationelle Resilienz, also die Ausfallsicherheit und Notfallkonzepte von Systemen, die den gesamten Finanzsektor betreffen. Entscheidend ist diese Verordnung für die Stärkung der Widerstandsfähigkeit und Früherkennung des europäischen Finanzmarktes gegenüber potenziellen Cyberrisiken und Sicherheitsvorfällen.
2. Was sind die Vorgaben von DORA?
DORA legt diverse technische Anforderungen an Finanzunternehmen fest. Diese lassen sich in folgende fünf Bereiche untergliedern:
IKT-Risikomanagement und -führung:
Wirksame Rahmenwerke, Richtlinien und Verfahren für das IKT-Risikomanagement müssen eingeführt und aufrechterhalten werden. Dadurch können Risiken frühzeitig erkannt, bewertet, gesteuert und gemindert werden. Die Gültigkeit dieser Richtlinien sollte regelmäßig überprüft werden.
Potenzielle Maßnahmen sind hier:
- Business Impact & Risiko Analysen
- Notfallmanagement (BCM)
- Richtlinien wie Access-Management oder Patch-Management
- Einführung von technischen Lösungen wie SIEM oder SOAR Software
Vorfallreaktion und -berichterstattung:
IT-Sicherheitsvorfälle müssen unverzüglich gemeldet werden. Diese Meldung hilft bei der zeitnahen Reaktion im Unternehmen sowie bei der Analyse weiterer potenzieller Risiken oder weiterer möglicher Angriffsziele.
Für kritische Vorfälle müssen drei Berichte vorgelegt werden:
- Initialer Bericht an die Aufsichtsbehörden - wie die BaFin- sowie an Kunden und Dienstleister über den Vorfall
- Bericht mit Angaben zur Problembehandlung sowie -lösung
- Analysebericht bzgl. der Ursachen zur künftigen Vermeidung
Potenzielle Maßnahmen sind hier:
- Einführung von Systemen zum Reporting, Monitoring, Logging und zur Klassifizierung von Vorfällen
- Dieses System sollte alle potenziell beteiligten Parteien (u.a. auch Drittdienstleister) über diese Vorfälle informieren
Resilienztests
Es müssen Tests und Bewertungen in Bezug auf die Belastbarkeit der Systeme und der eingesetzten Maßnahmen durchgeführt werden. Dadurch sollen mögliche Schwachstellen in den Systemen rechtzeitig erkannt werden. Diese Tests sind in regelmäßigen Abständen und bei größeren Änderungen im System zu wiederholen.
Potenzielle Maßnahmen sind hier:
- Durchführung von z.B. Szenario-basierten Tests sowie Schwachstellentests auf jährlicher Basis
- Je nach Kritikalität der Institution sollten auch Penetration-Tests durchgeführt werden (alle 3 Jahre)
Risikomanagement von Drittanbietern
Finanzinstitute müssen Risiken im Zusammenhang mit Drittanbietern wie Cloud-Anbietern regelmäßig überwachen und steuern. Es muss sichergestellt werden, dass die digitalen Resilienzmaßnahmen der Drittanbietern auch den Anforderungen von DORA entsprechen.
Potenzielle Maßnahmen sind hier:
- Einsatz von standardisierten Verträgen mit Drittdienstleistern
- Sichtung aller Abhängigkeiten von Drittanbietern und Evaluation dieser Interdependenzen
- potenzielle Software-gestützte Untersuchung bei Verwendung von Drittanbieter-Software
Informationsaustausch
Ein reger Informationsaustausch bzgl. aktueller Bedrohungen und zu Methoden oder Maßnahmen zur Abwehr wird angestrebt.
Potenzielle Maßnahmen sind hier:
- Die Bereitstellung von Informationen über Cyberangriffe an die Behörden (anonymisiert)
- Bereitstellung der Informationen über Cyberangriffe durch die Behörden an die (andere) Finanzunternehmen (anonymisiert)
3. Wen betrifft Dora?
Bei den Worten „Finanzunternehmen“ mag der erste Gedanke sein, dass hauptsächlich Banken von den neuen Verordnungen betroffen sind. Tatsächlich sind jedoch alle Finanzunternehmen gemäß Artikel 2 DORA „Geltungsbereich“ [1] betroffen. Dies bedeutet, dass ab 2025 neben Kredit- und Zahlungsinstituten auch:
- Wertpapierfirmen,
- Zentralverwahrer,
- Handelsplätze,
- Krypto-Dienstleister,
- Versicherungs- und Rückversicherungsunternehmen,
- Einrichtungen der betrieblichen Altersvorsorge sowie
- IKT-Drittdienstleister, aber auch
- Ratingagenturen,
- Administratoren kritischer Referenzwerte,
- und weitere
von DORA betroffen sind und über eine ausreichend ausgebaute IT- und Cyber-Sicherheitsinfrastruktur verfügen müssen.
4. Wie verhält sich DORA zu anderen bestehenden Vorschriften und Richtlinien?
DORA ist als "lex specialis" [2] konzipiert und setzt jede sich überschneidende Regulierung, wie beispielsweise die Richtlinie über Netz- und Informationssysteme (NIS) [3], außer Kraft. Damit soll erreicht werden, dass Finanzinstitute DORA als Fokus für ihre Compliance-Bemühungen nutzen.
5. Wann tritt DORA in Kraft?
DORA ist bereits im Januar 2023 in Kraft getreten, wobei die unter DORA fallende Finanzunternehmen noch bis zum 17. Januar 2025 Zeit haben, den Anforderungen der neuen Verordnung nachzukommen [4].
6. Ich habe noch gar nicht mit den Vorbereitungen für DORA angefangen! Wie starte ich am besten?
Erste Schritte, die sie proaktiv umsetzen sollten, sind wie folgt:
I. Durchführung einer Gap-Analyse:
Analyse und Auswertung des aktuellen Reifegrads der Organisation in Bezug auf Risikomanagement und Einhaltung bestehender Richtlinien und Standards.
II. Entwicklung eines Projekt-Fahrplans:
Banal gesagt ist auch die Umsetzung der DORA-Maßnahmen „nur“ ein weiteres Projekt für Ihr Unternehmen. Identifizieren Sie also Anstrengungen, die zur Erfüllung der DORA-Anforderungen unabdingbar sind, erstellen Sie eine Strategie zur Härtung und zum Ausbau der Resilienz Ihrer Systeme, und priorisieren Sie diese Anstrengungen.
III. Beachtung von Governance, Compliance und Verwendung von Best-Practices
Stellen Sie sicher das die Governance, Complience und weiteren Praktiken Ihrer Institution mit den DORA-Vorgaben übereinstimmen und passen Sie diese ggf. an.
IV. Überwachung von regulatorischen Aktualisierungen:
Versuchen Sie, während der gesamten Umsetzung immer auf dem aktuellen Stand in Bezug auf neue regulatorische, technische oder behördliche Standards zu sein.
7. Wie kann #FORTSCHRITT Ihnen hier helfen?
#FORTSCHRITT verfügt über langjährige Erfahrung in der Digitalisierung von Finanzunternehmen. Wir bieten Ihnen Unterstützung als Sparringspartner für Ihre aktuelle Lösung oder Roadmap, sowohl in technischer als auch in organisatorischer Hinsicht. Falls Sie noch nicht mit der Planung von DORA begonnen haben, können wir Ihnen mit unserer Projektmanagement-Erfahrung helfen, die DORA-Deadline noch zu erreichen. Sprechen Sie mich und mein Team gerne über das Feld "Kontakt zu unserem Experten" an.
Wenn Sie diesen Beitrag zitieren möchten, nutzen Sie gerne folgende Quellenangabe:
Gellert, C. (2024, 27. Februar). DORA-Endspurt – Ein Jahr bis zum Stichtag. FORTSCHRITT GmbH. https://fortschritt.co/blog-de/323-dora-endspurt-ein-jahr-bis-zum-stichtag
-
[1] https://www.digital-operational-resilience-act.com/
[2] https://groeschler.jura.uni-mainz.de/files/2020/06/LfJ-07-Lex_specialis.pdf
[3] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022R2554
[4] https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinie/nis-richtlinie_node.html
-
HALLO, WIR SIND #FORTSCHRITT
ein Think-Tank basiertes Beratungsunternehmen – doch was verstehen wir eigentlich darunter?
#FORTSCHRITT arbeitet nicht mit standardisierten Vorgehensmodellen für die Herausforderungen unserer Kunden, sondern entwickelt individuelle Lösungen, die exakt auf die Bedürfnisse Ihrer Organisation zugeschnitten sind. Unsere Zielsetzung ist es, gemeinsam mit Ihnen nachhaltige Lösungen zu etablieren, die Sie eigenständig und erfolgreich weiterführen können, auch ohne fortlaufende Beratung.
Für die Entwicklung dieser maßgeschneiderten Lösungen benötigen wir umfassende Einblicke in Ihr Unternehmen. Daher verwenden wir vielfältige Analysemethoden und setzen interdisziplinäre Projektteams ein, um das Innenleben Ihrer Organisation zu verstehen - von Prozessen und Hierarchien bis hin zur Unternehmenskultur, vor allem aber die Menschen, die mit Ihnen arbeiten. Gemeinsam denken wir Ideen neu, aus verschiedenen Perspektiven und mit unterschiedlichen Lösungsansätzen. Aus Ihren Inputs sowie unseren Erfahrungen und Kompetenzen entstehen individuelle, zielorientierte Lösungen, die langfristige Erfolge für Ihre Bilanz versprechen. Dabei beruhen unsere Kompetenzen nicht nur auf unseren Projekterfahrungen, sondern sind angereichert mit den Forschungen, die wir im Rahmen unseres New Work Labors im WELTENRAUM in Iserlohn (NRW) sowie in unseren eigenen Studien durchführen. Damit liefern wir Mehrwerte über die klassische Beratung hinaus.
Wir setzen Ihre Projekte nicht nur um, sondern wir gestalten die Zukunft Ihrer gesamten Organisation mit Ihnen gemeinsam – zukunftsgerichtet, nachhaltig und bilanzwirksam.
Unsere #HINTERHOF TALKS in Berlin!
Im Rahmen der HINTERHOF TALKS bringen wir Menschen aus Politik, Wirtschaft & Wissenschaft unter den Chatham House Rules zu einem fundierten Wissens- & Erfahrungsaustausch zusammen.
Damit erweitern wir Netzwerke und diskutieren Gedanken, Bedürfnisse und Lösungen zu aktuellen Themen aus dem Erfahrungshorizont sowie dem Wirkungsfeld der Teilnehmer.
Alle Details unter www.hinterhoftalk.com
DAS EXKLUSIVE GESPRÄCHSFORMAT
Interview mit Initiator und Gastgeber Daniel Brugger
WIR SIND AUSGEZEICHNET
Ausgezeichnet vom Handelsblatt und dem Institut für Beschäftigung und Employability: Als Fair Company erfüllen wir in besonderer Weise die Erwartungen und Werte von Berufseinsteigern und Young Professionals und bieten ein faires, attraktives Arbeitsumfeld.
"Wir leben Fairness – und sind dafür sogar ausgezeichnet.
Fair Company ist die größte und bekannteste Arbeitgeberinitiative Deutschlands, die sich nachhaltig für eine faire Arbeitswelt einsetzt. Als Fair Company richten wir uns auch gezielt an Berufseinsteiger und Young Professionals und geben jungen Menschen faire Arbeitsbedingungen und Entwicklungsperspektiven.
Darüber hinaus freuen wir uns über die Auszeichnungen vom Deutschen Institut für Nachhaltigkeit und Digitalisierung:
- Top Service
- Unternehmer/in der Zukunft
- Arbeitgeber der Zukunft
Mehr über uns als Arbeitgeber und viele spannende Einstiegsmöglichkeiten gibt’s hier zu entdecken