Skip to main content

esc Mitarbeiter

Header DORA blog esc

DORA: Unverzichtbar für die Zukunft der Finanzindustrie

Die digitale Transformation hat den Finanzsektor grundlegend verändert und die Bedeutung von IT-Systemen und digitaler Resilienz hervorgehoben. In diesem Kontext hat die Europäische Union die Verordnung DORA (Digital Operational Resilience Act) im Januar 2023 eingeführt, um die digitale operationale Resilienz im Finanzsektor zu stärken und Cyberrisiken zu minimieren. Wir haben die wichtigen Impulse aus diesen neuen Anforderungen zusammengefasst.

Warum ist DORA notwendig? 

Die zunehmende Vernetzung von Dienstleistern und IKT-Systemen (insbesondere Cloudleistungen) im Finanzsektor hat die Anfälligkeit für Störungen erhöht und dessen Auswirkungen verstärkt. Dadurch können Angriffe auf IKT-Systeme, Netze und IKT-Dienstleister von Finanzunternehmen die Finanzstabilität in der EU und weltweit gefährden. DORA zielt darauf ab, diesem Risiko durch die Einführung hoher Standards für IKT-Resilienz und Cybersicherheit entgegenzuwirken. 

Was sind die Hauptregelungsbereiche von DORA? 

DORA fordert von allen Finanzunternehmen, dass sie ihre Widerstandsfähigkeit gegen böswillige Angriffe von innen und außen stärken sowie die von IKT-Dienstleistern und Geschäftspartnern ausgelösten Prozessstörungen bewältigen können. Für Finanzunternehmen, die bisher die BAIT, VAIT, KAIT oder ZAIT anwenden mussten, enthält DORA viele bereits bekannte Anforderungen. Die Regelungen werden durch DORA häufig verschärft, indem der Aspekt der Resilienz hervorgehoben wird, oder ihr Anwendungsbereich wird deutlich ausgeweitet, sodass mehr Dienstleistungsarten erfasst werden. DORA umfasst folgende Regelungsbereiche:

  • Standards für die digitale operationale Resilienz: DORA legt Standards fest, um die Widerstandsfähigkeit von IKT-Systemen und Infrastrukturen gegenüber Störungen und Angriffen zu stärken.
  • Anforderungen an kritische IKT-Dienstleister: Die Verordnung stellt hohe Anforderungen an IKT-Dienstleister, um sicherzustellen, dass sie die Stabilität des Finanzsystems nicht gefährden.
  • Informationsaustausch zwischen Finanzunternehmen: DORA fördert den Informationsaustausch zwischen Finanzunternehmen, um die Ausbreitung von Schadensereignissen zu begrenzen.
  • Vereinheitlichung der aufsichtlichen Anforderungen: Die Verordnung vereinheitlicht die aufsichtlichen Anforderungen zwischen verschiedenen Akteuren im Finanzsektor, um einen konsistenten Ansatz zur Gewährleistung der digitalen Resilienz zu fördern. 

Wie betrifft DORA Unternehmen im Finanzsektor? 

DORA betrifft alle Finanzunternehmen sowie deren IKT-Dienstleister. Es werden hohe Anforderungen an die IKT-Resilienz und Cybersicherheit gestellt, um die Stabilität des Finanzsystems zu gewährleisten. Zudem werden die Anforderungen an die Resilienz von IKT-Systemen vereinheitlicht und auf ein höheres Niveau gehoben. Die Stärkung der Widerstandsfähigkeit muss demnach zur obersten Priorität erklärt werden und die Unternehmensleitung muss gezielt Verantwortung für die IKT-Sicherheit übernehmen. 

Die Konsequenzen der Nichteinhaltung von DORA sind ernst zu nehmen, da sie sich erheblich auf das betroffene Unternehmen auswirken können. Dies betrifft nicht nur den Bußgeldrahmen, der beispielsweise für Banken bis zu 5 Mio. Euro beträgt, sondern vor allem die Auswirkungen auf die Geschäftstätigkeit, wenn diese durch einen Cyberangriff schlimmstenfalls für mehrere Monate unterbrochen oder stark beeinträchtigt ist.  

Leitfaden für die Einhaltung von DORA  

Die neuen Anforderungen durch DORA sind vielfältig und erfordern die Berücksichtigung zahlreicher Aspekte:

  • Schulungen zur DORA-Konformität: Schulen Sie Ihre Fach- und Führungskräfte zu den neuen Anforderungen und Umsetzungsmöglichkeiten. 
  • Vorbereitung auf DORA: Machen Sie eine Gap-Analyse und erstellen Sie einen  Projektplan zur zeitgerechten Erreichung der DORA-Compliance.
  • Spezielle Anforderungen: Berücksichtigen Sie spezielle Anforderungen, wie beispielsweise das IKT-Drittparteienmanagement oder den IKT-Risikomanagementrahmen. 
  • Qualitätssicherung: Sichern Sie die Qualitätssicherung der von Ihnen selbst erarbeiteten Lösungen auch im Hinblick auf mögliche Prüfungen der Finanzaufsicht. 
  • Fachliche Expertise: Bilden Sie eine fachliche Expertise für Prüfungen der Internen Revision zu ausgewählten Themenbereichen (Co-Sourcing) aus. 

Ihr Ansprechpartner

Wir stehen Ihnen gerne für einen detaillierten Austausch zur Verfügung.

csm MatthiasKurfels 04 d8c5a3bfeb

Matthias Kurfels

Managing Consultant
Tel.:  +49 173 6916001

by esc Mitarbeiter

NIS2 KRITIS Blog

Die Prozesslandkarte – das Schlüsselinstrument für eine erfolgreiche DORA-Umsetzung

Seien wir doch mal ehrlich: Die Prozesslandkarte einer Bank, Versicherung oder Kapitalverwaltungsgesellschaft als „hippes Instrument der Unternehmenssteuerung“ zu bezeichnen, ist doch verwegen, oder? Welcher Entscheider ist heutzutage bereit, ein Projektbudget für die Aufnahme und Dokumentation von Unternehmensprozessen zu genehmigen? „Hauptsache, der Laden läuft, und jeder weiß, was zu tun ist“ scheint in manchen Unternehmen immer noch die Devise zu sein. Doch mit der EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz (DORA) wird sich die Meinung über die Bedeutung einer umfassenden und aussagekräftigen Prozesslandkarte ändern müssen.

Warum?

  • Erstens: Weil die Dokumentation der Geschäftsprozesse gemäß dem Verordnungsgeber ein notwendiger Teil des Managementrahmens für die Steuerung von Risiken der Informations- und Kommunikationstechnik (IKT) ist.
  • Zweitens: Weil sich das Unternehmen seiner Abhängigkeit von IKT-Systemen, Anwendungen und IKT-Drittdienstleistern bewusst machen muss, damit es seine Konzentrationsrisiken begrenzen und sein Business Continuity Management zielgerichteter abstimmen kann.

Während der erste Grund bei Entscheidern und Projektmitarbeitern lediglich an das Pflichtbewusstsein appelliert, sollte der zweite Grund die Bedeutung funktionierender IKT-Systeme und IKT-Lieferketten für die Existenzsicherung eines Finanzunternehmens transparent machen.

Kommen wir zum ersten Grund:

Gemäß Artikel 8 Absatz 1 DORA erwartet der Verordnungsgeber von Finanzunternehmen, alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, sämtliche Informationsassets (die Sammlung zu schützender materieller oder immaterieller Informationen) und alle IKT-Assets (die vom Finanzunternehmen genutzte Hard- und Software) zu ermitteln, zu klassifizieren und zu dokumentieren.

Im Zusammenhang mit Absatz 6, der ein Inventar über diese Assets verlangt, wird klar, dass es hier um eine Prozess- und Rollenbeschreibung geht, die einen konkreten Bezug zu den Soft- und Hardwarekomponenten herstellt, die zu deren Ausführung erforderlich sind.

Des Weiteren enthält Absatz 5 dieses Artikels die Verpflichtung, alle Prozesse zu ermitteln und zu dokumentieren, die von IKT-Drittdienstleistern abhängen. Insbesondere sind Vernetzungen mit IKT-Drittdienstleistern zu ermitteln, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. Auch dafür verlangt Absatz 6 ein Inventar der identifizierten Abhängigkeiten. Welchen Beitrag leistet die Umsetzung dieser Anforderungen im Hinblick auf den zweiten Grund, der für eine Prozesslandkarte spricht? Das geht aus dem folgenden Schaubild hervor:

Illustration 1 Blog DORA Prozesslandkarte NEU

Nach der Ermittlung und Dokumentation aller IKT-gestützten Geschäftsprozesse sind diejenigen Prozesse zu kennzeichnen, die unter Berücksichtigung der Definition in Artikel 3 Absatz 1 Nr. 22 DORA als kritisch oder wichtig angesehen werden müssen. Diese Klassifizierung bedeutet nichts anderes als: Wenn der als kritisch oder wichtig gekennzeichnete Prozess vorübergehend nicht mehr ausgeführt werden kann, verliert das Unternehmen entweder sehr viel Geld oder es gefährdet seine aufsichtsrechtliche Lizenz.

Im nächsten Schritt zieht man das Assetinventar heran, das schon von den BAIT, VAIT, KAIT und ZAIT gefordert war und meist in einer Configuration Management Data Base (CMDB) dokumentiert ist. Die darin verzeichneten IKT-Assets werden den Prozessen zugeordnet, die davon abhängig sind. Ist diese Aufgabe erledigt, liegt schon die erste wertvolle Erkenntnis für die Betriebsstabilität des Finanzunternehmens vor, nämlich die Antwort auf die Frage:

Welche IKT-Systeme und Anwendungen müssen möglichst stabil und unterbrechungsfrei laufen, damit die aufsichtliche Lizenz und die Ertragslage unseres Finanzunternehmens nicht gefährdet werden können?

Im letzten Schritt werden die IKT-Drittdienstleister und deren Subunternehmer den Prozessen zugeordnet, an denen sie mitwirken. Und auch hier kann nun eine wichtige Frage beantwortet werden: Welche IKT-Drittdienstleister leisten einen so großen Beitrag zur Wertschöpfung eines Finanzunternehmens, dass sie besonders eng überwacht und kurzfristig realisierbare Alternativdienstleister bereitgehalten werden müssen? Hierbei müssen eng miteinander verbundene Dienstleister unbedingt als Leistungseinheit betrachtet werden, um das unternehmensinterne IKT-Konzentrationsrisiko gemäß Artikel 29 DORA beurteilen zu können.

Alle hier genannten Erkenntnisse, mit denen die Existenz eines Finanzunternehmens gesichert werden soll, fangen mit der Prozesslandkarte und der Kennzeichnung ihrer kritischen oder wichtigen Prozesse an. Ist die Prozesslandkarte nicht doch ein „hippes Instrument der Unternehmenssteuerung“?

Gerne stehen wir Ihnen zur Verfügung, um Sie bei der Umsetzung aller Themengebiete rund um DORA zu unterstützen.

Ihr Ansprechpartner

MatthiasKurfels

Matthias Kurfels

Managing Consultant
Tel.:  +49 173 6916001

by esc Mitarbeiter

Aus Gründen der besseren Lesbarkeit wird in den Texten auf die Verwendung geschlechtergerechter Sprachformen verzichtet und das generische Maskulinum verwendet.
Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

© Copyright 2024
evolving systems consulting GmbH

ISO Logo
Allianz Cyber