DORA – kompakt
Die DORA-Verordnung (EU) 2022/2554 hat zum Ziel, ein hohes einheitliches Niveau der digitalen operationellen Resilienz im europäischen Finanzsektor zu erreichen. Sie legt spezifische Anforderungen an die Sicherheit der Netzwerk- und Informationssysteme fest, die die Geschäftsprozesse von Finanzunternehmen unterstützen. Im Fokus steht die Stärkung der digitalen operativen Widerstandsfähigkeit des Finanzsektors.
Die Verordnung zielt darauf ab, die Stabilität und Integrität des Finanzmarktes zu gewährleisten und einen umfassenden Schutz für Anleger und Verbraucher sicherzustellen. Die DORA-Verordnung gilt für eine Vielzahl von Finanzunternehmen, darunter: Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Anbieter von Krypto-Dienstleistungen, Verbriefungsregister, Zahlungsinstitute sowie E-Geld-Institute.
Die Verordnung legt einen umfassenden Rahmen für das Management von IKT-Risiken fest, der verschiedene Aspekte abdeckt:
- IKT-Risikomanagement: Die Unternehmen müssen einen soliden IKT-Risikomanagementrahmen einrichten und die Auswirkungen von IKT-Risiken minimieren.
- Meldung von IKT-bezogenen Vorfällen: Die Unternehmen müssen schwerwiegende IKT-bezogene Vorfälle an die zuständigen Behörden melden.
- Management des IKT-Drittparteienrisikos: Die Unternehmen müssen die Risiken, die von IKT-Drittdienstleistern ausgehen, sorgfältig managen.
- Überwachung kritischer IKT-Drittdienstleister: Die Verordnung sieht einen Überwachungsrahmen für kritische IKT-Drittdienstleister vor.
- Informationsaustausch: Die Verordnung fördert den Informationsaustausch über Cyberbedrohungen zwischen Finanzunternehmen.
- Die DORA-Verordnung stellt einen wichtigen Schritt zur Stärkung der digitalen Widerstandsfähigkeit des europäischen Finanzsektors dar.
Anforderungsübersicht
Governance
DORA hebt die Gesamtverantwortung des Leitungsorgans für das Management von IKT-Risiken und die Entwicklung einer Strategie zur digitalen Widerstandsfähigkeit hervor. Klare Aufgaben und Verantwortlichkeiten müssen für alle IKT-Funktionen definiert werden, um effektive Kommunikation und Zusammenarbeit zu gewährleisten. Das Leitungsorgan benötigt Meldewege, um über IKT-Vorfälle und Verträge mit Drittdienstleistern sowie deren potenzielle Auswirkungen auf kritische Funktionen informiert zu sein.
IKT-Risikomanagement
DORA fordert einen umfassenden IKT-Risikomanagementrahmen, der in das Gesamtrisikomanagement integriert ist. Dieser muss Strategien zum Schutz aller IKT-Assets (z. B. Software, Hardware) vor Schäden und unbefugtem Zugriff enthalten und Maßnahmen zur Minimierung von IKT-Risiken umfassen. Finanzunternehmen sollen kritische IKT-Assets identifizieren, ihre Systeme kontinuierlich überwachen und auf Vorfälle mit geeigneten Verfahren reagieren. Zudem ist eine Strategie für digitale operative Widerstandsfähigkeit notwendig. Der Rahmen muss unabhängig überwacht, regelmäßig getestet und stetig weiterentwickelt werden. Erkenntnisse aus Vorfällen fließen in die Risikobewertung ein.
Meldung von IKT-bezogenen Vorfällen
Finanzunternehmen sind verpflichtet, schwerwiegende IKT-bezogene Vorfälle umgehend ihren Behörden zu melden und diese anhand festgelegter Kriterien zu klassifizieren und zu bewerten. Die Meldungen müssen fristgerecht und in einer vorgegebenen Vorlage erfolgen. Zudem müssen Kunden unverzüglich über Vorfälle informiert werden, die ihre finanziellen Interessen betreffen.
Management des IKT-Drittparteienrisikos
Das Management von IKT-Drittparteienrisiken ist ein wesentlicher Bestandteil des IKT-Risikomanagements. Finanzunternehmen bleiben trotz Auslagerung von IKT-Diensten für die Einhaltung der Vorschriften verantwortlich. Größere Unternehmen müssen eine Strategie für das Drittparteienrisiko entwickeln und regelmäßig überprüfen. Ein Register aller Verträge mit IKT-Dienstleistern ist zu führen, und vor Vertragsabschluss sind Risiken sorgfältig zu prüfen. Verträge müssen Mindestanforderungen erfüllen, etwa in Bezug auf Informationszugang, Leistungsüberwachung, Vorfallsreaktionen und Kündigungsrechte. Zudem muss das IKT-Konzentrationsrisiko bewertet werden, um Abhängigkeiten zu minimieren.
Überwachung kritischer IKT-Drittdienstleister
Kritische IKT-Drittdienstleister werden von den europäischen Aufsichtsbehörden (ESA) anhand spezifischer Kriterien identifiziert und unterliegen einem besonderen Überwachungsrahmen. Für jeden dieser Dienstleister wird eine federführende Überwachungsbehörde benannt, die umfassende Befugnisse zur Informationsanforderung, Durchführung von Inspektionen und Abgabe von Empfehlungen hat. Diese Dienstleister müssen transparent über ihre IKT-Risikomanagementpraktiken berichten und können von der Überwachungsbehörde mit Zwangsgeldern belegt werden, um die Einhaltung sicherzustellen. Zudem müssen kritische Anbieter aus Drittstaaten eine geschäftliche Präsenz in der EU etablieren.
Digitale operative Resilienztests
Finanzunternehmen (außer Kleinstunternehmen) sind verpflichtet, regelmäßig Tests ihrer digitalen operationalen Resilienz durchzuführen. Diese Tests umfassen Schwachstellenbewertungen, Penetrationstests und Szenarioanalysen. Unternehmen mit hoher IKT-Reife müssen zusätzlich bedrohungsorientierte Penetrationstests (TLPT= Threat-Led Penetration Testing) durchführen. Die Testergebnisse sollen in den IKT-Risikomanagementprozess integriert und zur Verbesserung der Resilienz genutzt werden.
Informationsaustausch über Cyberbedrohungen
Finanzunternehmen sollen freiwillig Informationen über Cyberbedrohungen austauschen. Es sind Vereinbarungen über den Informationsaustausch möglich, die den Schutz von Geschäftsgeheimnissen und personenbezogenen Daten sicherstellen müssen. Zuständige Behörden können in diese Vereinbarungen einbezogen werden.
IMPLEMENTUS – Beratungsleistungen
IKT-Risikomanagement-Framework
- Analyse & Bewertung: Wir analysieren Ihre bestehende IKT-Landschaft, identifizieren kritische Funktionen und bewerten Ihre Abhängigkeiten von IKT-Drittanbietern.
- Entwicklung & Implementierung: Gestützt auf die Analyse entwickeln wir ein maßgeschneidertes IKT-Risikomanagement-Framework, das die DORA-Anforderungen und die spezifischen Gegebenheiten Ihres Unternehmens berücksichtigt . Wir unterstützen Sie bei der Implementierung – von der Definition der Rollen und Verantwortlichkeiten über die Entwicklung von Richtlinien und Verfahren bis hin zur Schulung Ihrer Mitarbeiter .
- Dokumentation & Berichterstattung: Wir unterstützen Sie bei der Dokumentation des IKT-Risikomanagement-Frameworks und bei der Erstellung von Berichten für die Aufsichtsbehörden.
- Kontinuierliche Optimierung: Wir helfen Ihnen, einen Prozess zur kontinuierlichen Überprüfung und Verbesserung des IKT-Risikomanagement-Frameworks zu etablieren , um den sich ändernden Anforderungen der DORA-Verordnung und der IKT-Landschaft gerecht zu werden .
Management des IKT-Drittparteienrisikos
- Strategieentwicklung: Wir entwickeln gemeinsam mit Ihnen eine Strategie für das Management des IKT-Drittparteienrisikos , die den Anforderungen der DORA-Verordnung entspricht und auf die spezifischen Bedürfnisse Ihrer Bank zugeschnitten ist .
- Due Diligence & Vertragsgestaltung: Wir führen Due-Diligence-Prüfungen von IKT-Drittanbietern durch , um deren IKT-Risikomanagementpraktiken zu bewerten und potenzielle Risiken zu identifizieren . Zudem unterstützen wir Sie bei der Gestaltung von Verträgen , die den Anforderungen der DORA-Verordnung genügen und ein angemessenes Risikomanagement gewährleisten .
- Überwachung & Kontrolle: Wir helfen Ihnen bei der Implementierung von Prozessen zur kontinuierlichen Überwachung und Kontrolle von IKT-Drittanbietern , um sicherzustellen, dass diese die vereinbarten Sicherheitsstandards einhalten.
- Ausstiegsstrategien: Gemeinsam erarbeiten wir Ausstiegsstrategien für den Fall, dass die Zusammenarbeit mit einem IKT-Drittanbieter beendet werden muss , um die Auswirkungen auf Ihre Bank zu minimieren.
Durchführung von Tests der digitalen operationalen Resilienz
- Testplanung & -durchführung: Wir entwickeln und implementieren ein Testprogramm , das die Anforderungen der DORA-Verordnung erfüllt und auf die spezifische IKT-Landschaft Ihrer Bank zugeschnitten ist.
- TLPT & Advanced Testing: Wir führen Threat-Led Penetration Tests (TLPT) durch , um die Widerstandsfähigkeit Ihrer IKT-Systeme gegen komplexe Cyberangriffe zu bewerten. Darüber hinaus bieten wir Ihnen weitere fortschrittliche Testmethoden, die auf Ihre Bedürfnisse abgestimmt sind .
- Analyse & Berichterstattung: Wir analysieren die Testergebnisse und erstellen umfassende Berichte für Ihre Bank und die Aufsichtsbehörden.
- Verbesserungsmaßnahmen: Wir identifizieren und implementieren gemeinsam mit Ihnen Verbesserungsmaßnahmen, um die digitale operative Resilienz Ihrer Bank auf der Grundlage der Testergebnisse zu stärken .
Meldewesen von IKT-bezogenen Vorfällen
- Prozessentwicklung & Implementierung: Wir entwickeln und implementieren einen Prozess zur Meldung von IKT-bezogenen Vorfällen , der die Anforderungen der DORA-Verordnung erfüllt und die spezifischen Gegebenheiten Ihrer Bank berücksichtigt . Dazu gehört auch die Implementierung eines Meldesystems , das eine schnelle und effiziente Meldung an die zuständigen Behörden ermöglicht .
- Schulung & Sensibilisierung: Wir schulen Ihre Mitarbeiter im Umgang mit IKT-bezogenen Vorfällen und sensibilisieren sie für die Bedeutung eines zeitnahen Meldewesens .
Schulungen & Workshops zu DORA
- DORA-Grundlagen & Umsetzung: Wir bieten Schulungen und Workshops an, die die Grundlagen der DORA-Verordnung vermitteln und Ihnen helfen, die Anforderungen der Verordnung zu verstehen .
- Praxisorientierte Workshops: Wir entwickeln praxisorientierte Workshops, die Sie bei der konkreten Umsetzung der DORA-Anforderungen in Ihren IKT-Systemen und -Prozessen unterstützen .
- Spezialthemen: Wir bieten Workshops zu Spezialthemen an, wie z. B. Threat-Led Penetration Testing (TLPT), Management des IKT-Drittparteienrisikos oder Meldewesen von IKT-bezogenen Vorfällen .