Sysbus
ArtikelCompliance

Im Fokus: Digital Operational Resilience Act (DORA)

dcg

Autor/Redakteurin: Gereon Tillenburg, CEO der TWINSOFT GmbH & Co. KG/dcg

Der DORA (Digital Operational Resilience Act) stellt eine von der EU erlassene Verordnung dar, die die operationale Resilienz und die Cybersicherheit des Finanzsektors in Europa stärken soll. Sie trat am 16. Januar 2023 in Kraft und wird seit dem 17. Januar dieses Jahres angewendet. Sie soll sicherstellen, dass Finanzunternehmen in der Lage sind, effektiv auf Cyberbedrohungen und andere operationelle Risiken im digitalen Bereich zu reagieren. Einer der Gründe für den Erlass von DORA sind die zunehmenden Bedrohungen durch Cyberangriffe. Betroffen von DORA sind Unternehmen unter EZB-Aufsicht, also unter anderem Banken und Versicherungen, Zahlungsinstitute und Investmentunternehmen. Dazu kommen Anbieter, die Krypto-Dienstleistungen im Portfolio haben, sowie Zulieferer und Dienstleister.

Gereon Tillenburg, CEO der Twinsoft GmbH & Co. KG – Quelle: Twinsoft



Die DORA-Vorgaben entfalten sofortige rechtliche Wirkung und gelten ab dem Zeitpunkt ihres Inkrafttretens direkt in allen Mitgliedstaaten. Zudem haben sie Vorrang vor nationalem Recht. Die unmittelbare Geltung von DORA stellt sicher, dass Unternehmen keine Übergangsfristen aufgrund nationaler Gesetzgebungsverfahren abwarten, sondern sofort rechtskonform handeln müssen, sobald die Verordnung anwendbar ist.
DORA-spezifische Anforderungen

DORA führt ein starkes Cybersicherheitsmandat für europäische Finanzunternehmen und bestimmte Dienstleister ein, die diese Unternehmen unterstützen.

  1. Das Risikomanagement im ITK-Bereich: Es wird den Unternehmen vorgeschrieben, ein umfangreiches Risikomanagement-Framewort zu implementieren. Das dazu erforderliche Vorgehen wird in DORA granular beschrieben. Bei den meisten großen Unternehmen sollte ein solches Framework bereits in Betrieb sein, bei den Zulieferern und kleineren Einrichtungen dürfte in Bezug darauf vielerorts noch Bedarf bestehen. Führungskräfte müssen genehmigte Risikomanagementstrategien definieren und deren Umsetzung unterstützen. Die Organisationen müssen ihre ITK-Systeme kartieren, kritische Vermögenswerte und Funktionen identifizieren und klassifizieren sowie Abhängigkeiten zwischen Vermögenswerten, Systemen, Prozessen und Anbietern dokumentieren. Sie müssen zudem kontinuierliche Risikobewertungen ihrer ITK-Systeme durchführen, Cyber-Bedrohungen dokumentieren und klassifizieren und ihre Schritte zur Risikominderung dokumentieren.
  2. Vorfallreaktion und -meldung: Organisationen müssen ein System zur Überwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung von ITK-bezogenen Vorfällen einrichten. Je nach Vorfall müssen sie Berichte für Regulierungsbehörden und betroffene Parteien erstellen. DORA schreibt also vor, dass eindeutige Prozesse zum Melden relevanter Vorfälle vorhanden sind.
  3. Testen der digitalen Betriebsresilienz: Die Unternehmen müssen jährlich Schwachstellenbewertungen und Szenario-basierte Tests durchführen. Kritische Organisationen werden zudem alle drei Jahre einem bedrohungsgeleiteten Penetrationstest unterzogen.
  4. Aktive Verwaltung der Risiken durch externe Dienstleister und Lieferanten: Das stellt den wohl größten Knackpunkt von DORA dar, da dadurch Unternehmen in den Fokus der Verordnung gelangen, denen das teilweise noch überhaupt nicht klar ist.
  5. Freiwilliger Informationsaustausch: Dieser Austausch soll zwischen den einzelnen Unternehmen in Bezug auf Vorfälle und Bedrohungen stattfinden. Das ist im KRITIS-Bereich nichts Ungewöhnliches, bei den neu hinzukommenden Unternehmen könnten aber deswegen Fragen auftauchen.

Ziele von DORA

Zu den wichtigsten Zielen von DORA gehört zunächst einmal die Verbesserung der Cybersicherheit durch ein umfängliches Verstehen der IT-Infrastrukturen der Finanzinstitute durch die Institute selbst und ein damit einhergehendes Identifizieren der vorhandenen Schwachstellen. Das führt dazu, dass die betroffenen Organisationen dazu gezwungen sind, IT-Security-Produkte einzusetzen, die ihnen dabei helfen. Dazu gehören Monitoring-Lösungen, SIEM- (Security Information and Event Management) sowie Asset-Management-Systeme und Ähnliches, die allerdings bei den meisten großen Unternehmen dieser Art bereits in Betrieb sein sollten.

Das zweite Ziel ist die Regelharmonisierung, das heißt, DORA soll einheitliche Anforderungen schaffen, die europäische und nationale Standards vereinheitlichen und für die unterschiedlichen Finanzinstitute und deren Dienstleister gelten. Das bedeutet, es sind auch Zulieferer aller Größen davon betroffen, die davon teilweise derzeit noch gar nichts ahnen. Bei diesen Unternehmen herrscht großer Beratungsbedarf und gerade bei den kleineren sind Lösungen gefragt, die sich mit verhältnismäßig geringem Aufwand und bei akzeptablen Hardwareanforderungen implementieren und nutzen lassen. Es gilt bei der Implementierung auch das Prinzip der Verhältnismäßigkeit, das bedeutet, bei der Umsetzung müssen Unterschiede wie Geschäftsmodell, Größe und Risikoprofil berücksichtigt werden.

Darüber hinaus soll DORA auch für eine verbesserte Reaktionsfähigkeit sorgen. Das bedeutet, die betroffenen Organisationen sind verpflichtet, Strategien zum Identifizieren und Reagieren auf Vorfälle zu entwickeln, die robust sind und ihre Verfahren immer weiterzuentwickeln. Auch hier wird – vor allem bei mittleren und kleineren Unternehmen – ein langfristiger und großer Beratungsbedarf bestehen.

Wichtigste Regelungen

Werden in den betroffenen Organisationen bereits BSI-Standards umgesetzt, so bleiben die vorzunehmenden Veränderungen recht klein. Die Anforderungen an das ITK-Risikomanagement und die Tests ergeben, sollten sich in vielen Fällen durch die Erweiterung bestehender Software-Lösungen ergänzend einfügen lassen.
Was das Management des Risikos durch Drittanbieter betrifft, so sind umfassende Erweiterungen erforderlich, da der Aufwand, der durch die Datenerfassung entsteht, deutlich höher wird. Außerdem ist es neu, dass die Weiterverlagerungskette auch bei unterschiedlichen Dienstleistern nachvollziehbar sein muss. DORA betrifft direkt folgende ITK-Dienstleister: Software-Anbieter, Managed IT Services, Hardware-as-a-Service Anbieter, Cloud-Computing Dienstleister und Rechenzentren.

Der Aufwand, der in Zusammenhang mit dem Reporting entsteht, ist am größten. Es gibt hier ein „Register of Information“, das aus 15 Tabellen besteht und ein komplexes Datenschema mitbringt. Hier reicht die Implementierung einer einzelnen Software derzeit nicht aus, es sind Neuentwicklungen erforderlich. Auch in Bezug auf das Vertragsmanagement.

Darüber hinaus reicht es nicht mehr, eine Dienstleistung (auch als Auslagerungsgegenstand bezeichnet) mit einem Prozess zu verknüpfen und auszuweisen, welche Dienstleistungen zu welchen Prozessen gehören und umgekehrt. Stattdessen müssen unter DORA zu den Auslagerungsgegenständen die ausgelagerten Funktionen zu den Unternehmensfunktionen ausgewiesen werden (Capability Map). Hier gibt es detaillierte Vorgaben, die völlig neu sind.

Implementierung

Um DORA zu implementieren, ist es erforderlich, zunächst einmal zu analysieren, was in der betroffenen Organisation vorhanden ist, und was benötigt wird. Im nächsten Schritt muss die Erweiterbarkeit überprüft werden. Dabei müssen die Verantwortlichen die Frage beantworten, wie sich bereits vorhandene Assets ausbauen lassen. Die Implementierung der erforderlichen neuen Komponenten sollte dann nach dem Motto „ergänzen und nicht ersetzen“ erfolgen, um den Aufwand möglichst gering zu halten.

Fazit

Wegen des großen Umfangs (viele Themen gehen über den IT-Bereich hinaus) ist der Einstieg in DORA nicht einfach. Gleichzeitig haben viele die Hürden bei der DORA-Implementierung unterschätzt, so dass davon auszugehen ist, dass häufig keine vollständige Umsetzung erreicht worden ist. Deswegen sollten betroffene Einrichtungen jetzt eine weitere Planung erstellen und sich dazu Hilfe von qualifizierten Beratungsunternehmen wie TWINSOFT holen.

Ebenfalls relevant könnte in diesem Zusammenhang auch Beratung in Bezug auf Cloud-Sicherheit sein. Hier gilt ja das „Shared Responsibility“-Prinzip, das vielen Cloud-Anwendern nicht präsent ist und bei dem viele auch Probleme haben, wenn es um die praktische Implementierung geht.

Direkter Link zu: TWINSOFT

Das könnte dir auch gefallen

CRMs in der Cloud: Warum eigentlich?

dcg

Service Management unternehmensweit einsetzen

gg

Stammdatenmanagement im After-Market-Service: Ungenutzter Wissensschatz

gcg
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Ihnen, wenn Sie auf unsere Website zurückkehren, und hilft unserem Team zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.