DORA
Digital Operational Resilience Act
Mit dem Digital Operational Resilience Act (kurz: DORA) legt die EU einen besonderen Fokus auf digitale Resilienz. Diese soll durch die Umsetzung verschiedener Anforderungen an die Stabilität digitaler Systeme des Finanzsektors erlangt werden.
In einem vernetzen Europa, in dem internationale Kooperationen zwischen Finanzunternehmen weit verbreitet sind und digitalisierungsbezogene Risiken potenziell grenzüberschreitende Auswirkungen haben, soll DORA auf EU-Ebene einen ergänzenden gemeinsamen Rechtsrahmen bieten. Die bisher speziell für Deutschland gültigen Richtlinien wie BAIT, ZAIT, VAIT und MaRisk werden damit um ein Regelwerk auf der Ebene von EU-Recht ergänzt.
Für wen gilt DORA?
Die finale Fassung des Digital Operational Resilience Act trat am 16. Januar 2023 in Kraft. Obwohl die Anforderungen unmittelbar für alle betroffenen Unternehmen und Institute greifen werden, sind sie erst 24 Monate nach Inkrafttreten durchsetzbar.
Die Anforderungen gelten für verschiedene Arten von Finanzunternehmen ebenso wie für kritische IKT-Drittanbieter von Finanzunternehmen:
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Zentralverwahrer
- zentrale Gegenparteien
- Ratingagenturen
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen, sowie Vermittler in Nebentätigkeit
- Einrichtungen der betrieblichen Altersversorgung
Die Anforderungen des DORA
DORA umfasst insgesamt 45 Artikel, die den nachfolgenden Kapiteln zugeordnet sind:
- IKT-Risikomanagement
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
- Testen der digitalen operationalen Resilienz
- Management des IKT-Drittparteienrisikos
- Vereinbarungen über den Austausch von Informationen
Im nächsten Schritt werden die Europäischen Aufsichtsbehörden auf DORA ausgerichtete Standards entwickeln, welche Leitfäden für die Umsetzung der Anforderungen enthalten werden. Obgleich betroffenen Unternehmen und Instituten eine Frist von zwei Jahren bleibt, bis DORA-Anforderungen durchsetzbar sind, empfehle ich: Führen Sie frühzeitig eine umfangreiche Gap-Analyse in Ihrem Unternehmen durch. Diese Analyse bringt konkrete Abweichungen von den DORA-Anforderungen zu Tage, auf Basis derer Sie für die kommenden zwei Jahre geeignete Harmonisierungsprojekte planen und umsetzen können.
Mit einigen Themen der DORA-Verordnung sind Sie sicherlich bereits aus den umfangreichen nationalen Regulatoriken vertraut, sodass diese bei Ihnen bereits umgesetzt sind oder sich zumindest in der Umsetzung befinden. Es gibt jedoch auch neue Anforderungen: DORA sieht beispielsweise ein komplexeres Dienstleistermanagement und zusätzliche technische Analysen in Form von bedrohungsorientierten Penetrationstests vor.
Wie bei jedem Sicherheitsprojekt entstehen hier selbstverständlich neue Aufwände für betroffene Unternehmen durch die Vorbereitung und Umsetzung weiterer Sicherheitsmaßnahmen. Wir sehen jedoch ganz klar eine Chance für Sie, durch eine gestärkte Resilienz zu einem signifikant höheren Sicherheitsniveau aufzusteigen und damit der steigenden Bedrohungslage zu begegnen.
Harmonisierung mit dem DORA: Wie gehen wir vor?
DORA-Anforderungen verstehen (empfohlen)
Präsentation der Anforderungen und Schaffen von Verständnis für den DORA in der Organisation im Rahmen eines ersten Workshops. In der Präsentation werden sowohl die allgemeinen Anforderungen des DORA als auch bekannte Risiken, Herausforderungen und Best Practices aus vergleichbaren regulatorisch getriebenen Projekten vorgestellt.
Anforderungen an das Unternehmen bewerten
Identifikation von Maßnahmen zur Harmonisierung mit dem DORA im Rahmen einer Gap-Analyse. Die Anforderungen beeinflussen die Institute ganzheitlich. Daher ist eine reine Dokumentenprüfung nicht ausreichend, um den Umsetzungsstand der DORA-Anforderungen zu erheben. Wir empfehlen daher eine Kombination aus:
- Dokumentenprüfung
- Befragung von Schlüsselpersonal
- Prüfung der Umsetzung
Maßnahmen zur Harmonisierung planen & umsetzen
Durchführung der Harmonisierung mit dem DORA in einem umfangreichen, auf das Institut ausgerichteten Umsetzungsprojekt. Wir unterstützen Sie hier auf allen Ebenen, von der Definition der Strategie über die Formulierung von Richtlinien bis zur operativen Umsetzung der Anforderungen in der Organisation.
Dabei gehen wir individuell auf die im Rahmen Ihrer Gap-Analyse identifizierten Schwerpunkte ein und begleiten Sie neben der Umsetzung der einzelnen Anforderungen auch beim Changemanagement und der Kommunikation innerhalb des Instituts. Wir unterstützen Finanzinstitute im Rahmen solcher Harmonisierungsprojekte beispielsweise bei:
- Aufbau bzw. Anpassung der IT-Governance
- Planung und Implementierung eines geeigneten Risikomanagements
- Aufbau bzw. Optimierung des Dienstleistermanagement unter Einhaltung der zutreffenden aufsichtsrechtlichen Anforderungen
- Erforderliche Sicherheitsüberprüfungen, wie beispielsweise Red Team Assessments
