Kann die Funktion abgeschafft werden oder bekommt sie einfach nur einen neuen Namen?
Matthias Kurfels, Manager, Head of Competence Center “Governance, Risk, Compliance, Information Security, Data Protection”, evolving systems consulting GmbH, Hamburg und Robert Mandalka, Senior Consultant IT-Sicherheit und IT-Betrieb, evolving systems consulting GmbH, Hamburg
Wer im Text des Digital Operational Resilience Act (DORA) nach „Informationssicherheit“ sucht, wird überrascht sein: Der Begriff erscheint nur selten und bezieht sich meist auf Anforderungen an Dienstleister von Finanzunternehmen. In den BAIT war das anders – dort widmeten sich zwei Kapitel diesem Thema. Auch die klare Vorgabe der BAIT, in jedem Institut einen Informationssicherheitsbeauftragten zu benennen, fehlt in DORA. Ist der ISB somit ein Auslaufmodell? Oder wird ihm einfach nur ein neuer Titel umgehängt?
Fakt ist: Gerade unter DORA sind die Informationsschutzziele noch stringenter zu gewährleisten, da sie wesentlicher Teil des umfassenden Resilienzprogramms für das Unternehmen sind. Allerdings ändert sich der Fokus im Vergleich zu den BAIT: Früher ergab sich das Informationsrisiko vereinfacht gesagt aus den nicht umgesetzten Soll-Maßnahmen der Informationssicherheit und stellte damit eine Folgewirkung der fehlenden oder nicht ausreichenden Informationssicherheit dar. DORA fokussiert sich jedoch auf die Ermittlung und Steuerung des IKT-Risikos, das mehr umfasst als nur etwaige nicht erfüllte Informationsschutzziele.
Ausgangspunkt für das IKT-Risikomanagement ist die Festlegung einer unternehmensspezifischen Risikotoleranzschwelle. Sie ist die Messlatte für alle Maßnahmen im IKT-Risikomanagement. Bei ihr handelt es sich eher um eine qualitative und technische als eine finanzielle Grenze[1], was die Steuerungsmöglichkeit von IKT-Risiken deutlich erleichtert.
Mehr als Informationssicherheit: DORA erweitert den Blick auf IKT-Risiken
Durch eine systematische Risikoanalyse sollen potenzielle Schwachstellen und Bedrohungen identifiziert werden, die Geschäftsprozesse und unterstützende IKT-Systeme gefährden könnten. Dabei kommen sowohl quantitative als auch qualitative Indikatoren zum Einsatz, um die Eintrittswahrscheinlichkeit und das Schadensausmaß zu bewerten. Durch geeignete Maßnahmen sind die Risiken unterhalb der festgelegten Toleranzschwelle zu halten.
Unter DORA dreht sich die Reihenfolge somit um: Zuerst werden die Risiken im Zusammenhang mit der Nutzung von IKT-Systemen bestimmt, dann werden Maßnahmen zur Sicherstellung der Informationssicherheit darauf aufgebaut, deren Wirkung im Anschluss kontrolliert wird. Diese Umkehrung der Reihenfolge ist mehr als nur ein methodischer Unterschied, denn sie spiegelt einen Paradigmenwechsel wider, d. h. den Weg von einem rein maßnahmenorientierten Ansatz hin zu einem strategisch integrierten Risikomanagement, das eng mit der Unternehmenssteuerung verzahnt ist. Der frühere Ansatz fokussierte sich primär darauf, konkrete Sicherheitsmaßnahmen zu definieren und umzusetzen, wie etwa Zugriffskontrollen, Firewalls, Verschlüsselung oder Monitoring. Die durch diese Maßnahmen zu mindernden Risiken wurden dabei implizit behandelt, ohne dass diese zuvor systematisch und umfassend analysiert wurden. DORA verfolgt hingegen einen risikobasierten Ansatz. Hierbei steht die Risikoanalyse im Vordergrund, bei der ermittelt wird, welche Bedrohungen und Schwachstellen existieren, welche Auswirkungen diese auf Geschäftsprozesse und Systeme haben und wie wahrscheinlich deren Eintritt ist. Erst danach werden gezielt Maßnahmen entwickelt, um diese Risiken zu behandeln.
Die erweiterte Sicht des IKT-Risikomanagements wird auch an folgendem Umstand deutlich: Gemäß BAIT mussten mit IT-Dienstleistern Vereinbarungen zum Informationssicherheitsmanagement getroffen werden[2]. Doch DORA fordert vom leistungsbeziehenden Unternehmen, die IKT-Dienstleister auch daraufhin zu überwachen, ob sie Schwachstellen ermitteln und angehen und wie sie Softwarebibliotheken Dritter (einschließlich Open-Source-Bibliotheken) einsetzen und aktualisieren[3]. Auch muss das auftraggebende Institut das Recht haben, den Dienstleister in seine Tests der digitalen operationalen Resilienz mit einzubeziehen[4]. Das sind wesentliche Neuerungen, die den umfassenden Ansatz des IKT-Risikomanagements widerspiegeln und über die Anforderungen der BAIT an die Gewährleistung der Informationssicherheit hinausgehen
Fazit
Die Rolle des Informationssicherheitsbeauftragten wird unter DORA als Teilgebiet des IKT-Risikomanagements gesehen, für das gemäß Artikel 6 Absatz 4 DORA eine eigene Kontrollfunktion einzurichten ist. Daher ist die Rolle des Informationssicherheitsbeauftragten nur noch für Institute notwendig, die sich auf die Anwendung des IT-Grundschutzes nach BSI verpflichtet haben. Bei allen anderen Instituten ist keine eigenständige Funktion für die Informationssicherheit mehr notwendig. Die Informationssicherheit wird im Rahmen des IKT-Risikomanagements gewährleistet und durch die IKT-Risikokontrollfunktion implizit mit repräsentiert.
Praxistipps
- Prüfen Sie, ob die strategischen Vorgaben Ihres Instituts die Rolle des Informationssicherheitsbeauftragten erfordern.
- Falls ein eigener Informationssicherheitsbeauftragter noch benötigt wird, lassen Sie beide Funktionen möglichst von der gleichen Person ausführen. Dies minimiert Schnittstellenprobleme.
- Andernfalls kann der bisherige Informationssicherheitsbeauftragte in der IKT-Risikokontrollfunktion aufgehen. Hierfür ist ein neues Stellenprofil mit erweiterten Aufgaben und Verantwortlichkeiten nötig.
Möchten Sie das Thema mit uns vertiefen oder haben Sie Fragen? Buchen Sie sich einen Termin oder treffen Sie uns auf der FCH Fachtagung Auslagerungsmanagement 2025: DORA • IKT • Aufsicht
[1] vgl. Erwägungsgrund 12 in Verbindung mit Art. 6 Abs. 8 lit. b) Verordnung (EU) 2022/2554.
[2] amtliche Erläuterung zu BAIT Tz. 9.4.
[3] Art. 10 Abs. 2 DV (EU) 2024/1774.
[4] Art. 8 Abs. 2 DV (EU) 2024/1773.