DORA
Digital Operational Resilience Act
Mit dem Digital Operational Resilience Act (kurz: DORA) legt die EU einen besonderen Fokus auf digitale Resilienz. Diese soll durch die Umsetzung verschiedener Anforderungen an die Stabilität digitaler Systeme des Finanzsektors erlangt werden.
In einem vernetzen Europa, in dem internationale Kooperationen zwischen Finanzunternehmen weit verbreitet sind und digitalisierungsbezogene Risiken potenziell grenzüberschreitende Auswirkungen haben, soll DORA auf EU-Ebene einen ergänzenden gemeinsamen Rechtsrahmen bieten. Die bisher speziell für Deutschland gültigen Richtlinien wie BAIT, ZAIT, VAIT und MaRisk werden damit um ein Regelwerk auf der Ebene von EU-Recht ergänzt.
Für wen gilt DORA?
Die finale Fassung des Digital Operational Resilience Act trat am 16. Januar 2023 in Kraft. Obwohl die Anforderungen unmittelbar für alle betroffenen Unternehmen und Institute greifen, sind sie erst 24 Monate nach Inkrafttreten durchsetzbar.
Die Anforderungen gelten für verschiedene Arten von Finanzunternehmen ebenso wie für kritische IKT-Drittanbieter von Finanzunternehmen:
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Zentralverwahrer
- zentrale Gegenparteien
- Ratingagenturen
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen, sowie Vermittler in Nebentätigkeit
- Einrichtungen der betrieblichen Altersversorgung
Die Anforderungen des DORA
DORA umfasst insgesamt 45 Artikel, die den nachfolgenden Kapiteln zugeordnet sind:
- IKT-Risikomanagement
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
- Testen der digitalen operationalen Resilienz
- Management des IKT-Drittparteienrisikos
- Vereinbarungen über den Austausch von Informationen
Obgleich betroffenen Unternehmen und Instituten eine Frist bis zum 17.01.2025 eingeräumt wurde, bis DORA-Anforderungen durchsetzbar sind, empfehle ich: Fangen Sie frühzeitig mit den Vorbereitungen an. Führen Sie eine umfangreiche Gap-Analyse durch. Diese bringt konkrete Abweichungen von den DORA-Anforderungen zu Tage, auf Basis derer Sie geeignete Harmonisierungsprojekte planen und umsetzen können.
Mit einigen Themen der DORA-Verordnung sind Sie sicherlich bereits aus den umfangreichen nationalen Regulatoriken vertraut, sodass diese bei Ihnen bereits umgesetzt sind oder sich zumindest in der Umsetzung befinden. Es gibt jedoch auch neue Anforderungen: DORA sieht beispielsweise ein komplexeres Dienstleistermanagement und zusätzliche technische Analysen in Form von bedrohungsorientierten Penetrationstests vor.
Wie bei jedem Sicherheitsprojekt entstehen hier selbstverständlich neue Aufwände für betroffene Unternehmen durch die Vorbereitung und Umsetzung weiterer Sicherheitsmaßnahmen. Wir sehen jedoch ganz klar eine Chance für Sie, durch eine gestärkte Resilienz zu einem signifikant höheren Sicherheitsniveau aufzusteigen und damit der steigenden Bedrohungslage zu begegnen.
Harmonisierung mit dem DORA: Wie gehen wir vor?
Vor-Analyse
In einem vorbereitenden Workshop bauen wir internes Wissen bei allen Stakeholdern auf. Der Workshop vermittelt die allgemeinen Anforderungen von DORA sowie bekannte Risiken, Herausforderungen und Best Practices aus ähnlichen regulatorisch getriebenen Projekten.
Wir übertragen die Definition von "kritischen und wichtigen Funktionen" nach DORA auf die Funktionen Ihres Unternehmens und ermitteln, welche anderen Sicherheitsstandards und nationalen Vorschriften Sie betreffen könnten. In den meisten Fällen können die Systeme und Prozesse, die zur Einhaltung der ISO 27001 oder der BaFin-Rundschreiben implementiert wurden, als Grundlage verwendet werden.
Gap-Analyse
Die Anforderungen beeinflussen die Institute ganzheitlich. Daher ist eine reine Dokumentenprüfung nicht ausreichend, um den Umsetzungsstand der DORA-Anforderungen zu erheben. Wir empfehlen daher eine Kombination aus:
- Dokumentenprüfung
- Befragung von Schlüsselpersonal
- Prüfung der Umsetzung
Ergebnis der Gap-Analyse ist ein gutes Bild des zu erwartenden Aufwands. Sie liefert Umsetzungsoptionen, mithilfe derer auf höchster Managementebene die Richtung für die Umsetzung festgelegt werden kann (Action Plan).
Harmonisierungsprojekt
Durchführung der Harmonisierung mit dem DORA in einem umfangreichen, auf das Institut ausgerichteten Harmonisierungsprojekt. Wir unterstützen Sie hier auf allen Ebenen, von der Definition der Strategie über die Formulierung von Richtlinien bis zur operativen Umsetzung der Anforderungen in der Organisation.
Dabei gehen wir individuell auf die im Rahmen Ihrer Gap-Analyse identifizierten Schwerpunkte ein und begleiten Sie neben der Umsetzung der einzelnen Anforderungen auch beim Changemanagement und der Kommunikation innerhalb des Instituts. Wir unterstützen Finanzinstitute im Rahmen solcher Harmonisierungsprojekte beispielsweise bei:
- Aufbau bzw. Anpassung der IT-Governance
- Planung und Implementierung eines geeigneten Risikomanagements
- Aufbau bzw. Optimierung des Dienstleistermanagement unter Einhaltung der zutreffenden aufsichtsrechtlichen Anforderungen
- Erforderliche Sicherheitsüberprüfungen, wie beispielsweise Red Team Assessments
