Der Digital Operational Resilience Act: Was Sie jetzt wissen müssen

Der Digital Operational Resilience Act – DORA – ist das jüngste Kapitel im Bestreben der Regulierungsbehörden, die operative Widerstandsfähigkeit zu verbessern. Die Verordnung, die eine Reihe von Anforderungen einführt, die auf Finanzunternehmen zugeschnitten sind, die in einer digitalen Welt tätig sind, wurde im Januar 2023 offiziell von der EU verabschiedet und die betroffenen Unternehmen haben bis 2025 Zeit, die Anforderungen zu erfüllen.

Während Finanzdienstleister in Großbritannien und einigen EU-Ländern schon seit einiger Zeit die Anforderungen an die betriebliche Ausfallsicherheit erfüllen müssen, ist die Verabschiedung von DORA das erste Mal, dass sich diese Vorschriften auch auf die Anbieter von Informations- und Kommunikationstechnologie (IKT) erstrecken, die jene Funktionen unterstützen, die für die wichtigen Geschäftsdienstleistungen eines Unternehmens entscheidend sind. Finanzunternehmen – wie Banken, Versicherungen, Kreditinstitute, Wertpapierfirmen und Krypto-Asset-Dienstleister – müssen nun sicherstellen, dass die Richtlinien und Prozesse ihrer IKT-Dienstleister den neuen Anforderungen entsprechen. Die Dienstleister wiederum müssen den Aufsichtsbehörden gegenüber verantworten, dass sie sich an die gleichen Regeln halten, denen auch die Finanzunternehmen verpflichtet sind.

Die gute Nachricht ist, dass sich viele der Anforderungen von DORA eng an andere Vorschriften zur betrieblichen Widerstandsfähigkeit und an bewährte Verfahren der Branche anlehnen. Der Zeitplan für die Umsetzung ist jedoch ehrgeizig, und es müssen eine Reihe neuer digitaler und IKT-spezifischer Anforderungen berücksichtigt werden. Jetzt ist der richtige Zeitpunkt, um zu verstehen, was verlangt wird und welche Maßnahmen erforderlich sind, um Ihre Unternehmensführung und Ihre Praktiken an den Digital Operational Resilience Act anzupassen.

Die fünf Säulen von DORA

Der Digital Operational Resilience Act basiert auf fünf Säulen, die sich auf die digitale und Cyber-Resilienz beziehen. Diese Säulen formalisieren und standardisieren die Anforderungen an Dritte für Finanzunternehmen mit dem Ziel, ein widerstandsfähigeres Finanzsystem aufzubauen.

IKT-Risikomanagement. Die Unternehmen müssen die volle Verantwortung für das Management von IKT-Risiken übernehmen, indem sie einen Rahmen für die Steuerung und Kontrolle der digitalen operativen Belastbarkeit einrichten. Der Rahmen muss detaillierte Strategien auf der Grundlage der Risikotoleranz enthalten, die die Identifizierung, Verhinderung und Erkennung von Risiken berücksichtigen. Die Unternehmen müssen außerdem nachweisen, dass sie auf Störungen reagieren und sich davon erholen sowie aus Vorfällen lernen und sich weiterentwickeln können.

Meldung und Klassifizierung von Vorfällen. DORA legt eine Standardmethode zur Klassifizierung von Vorfällen mit Kriterien für Dauer, Auswirkungen und Kritikalität der betroffenen Dienste fest. Bedeutende Vorfälle müssen den Aufsichtsbehörden zeitnah gemeldet werden. Diese Säule soll eine Reihe bestehender EU-Vorfallmeldepflichten für Finanzdienstleister straffen. Viele Unternehmen werden jedoch die Art und Weise, wie sie die quantitativen Auswirkungen bewerten und die Ursachen analysieren, erweitern müssen, um DORA zu erfüllen.

Testen der digitalen operativen Belastbarkeit. Die Unternehmen müssen umfassende Szenario-Tests der Sicherheit und Ausfallsicherheit durchführen und alle bei den Tests festgestellten Schwachstellen vollständig beheben. Die wichtigsten Unternehmen müssen außerdem alle drei Jahre von einem unabhängigen Prüfer fortgeschrittene, groß angelegte Penetrationstests bei kritischen Funktionen und IKT-Anbietern durchführen lassen.

Informationsaustausch zwischen Finanzunternehmen. Die Richtlinien fördern die Zusammenarbeit zwischen Finanzunternehmen, um das Bewusstsein für IKT-Risiken zu schärfen, die Ausbreitung von Cyberkriminalität zu minimieren und Strategien zur Eindämmung zu unterstützen.

IKT-Drittrisiko. Um systemische wirtschaftliche Störungen zu vermeiden, müssen Unternehmen die Risiken von Technologieanbietern während der gesamten Geschäftsbeziehung überwachen und dabei solide Risikomanagementverfahren für Dritte anwenden.

Wie Sie sich jetzt auf DORA vorbereiten

Obwohl ein Großteil von DORA bewusst auf bestehenden Vorschriften aufbaut, um die Standards zu harmonisieren, wird die Einhaltung der Vorschriften erhebliche Anstrengungen erfordern – und das in einem kurzen Zeitrahmen. Hier sind drei Schritte für den Anfang:

1. Führen Sie eine Lückenanalyse durch. Welche Bestimmungen der Verordnung befolgen Sie bereits – und was muss noch getan werden, um sie einzuhalten? Viele Anforderungen beziehen sich auf die Governance, das Risiko und die Einhaltung von IKT-Funktionen, die Erfassung und Meldung von Vorfällen und Szenario-Tests.
   .
   Ermitteln Sie, wo Ihre Defizite bestehen und erstellen Sie einen Plan mit spezifischen Aufgaben, um die Lücken zu schließen.

2. Koordinieren Sie sich mit anderen Interessengruppen. Jeder, der an der Einhaltung der DORA-Vorschriften arbeitet, wird mit sich überschneidenden Bemühungen im gesamten Unternehmen zusammenarbeiten wollen, einschließlich:

• • Geschäftskontinuität. DORA verlangt eine umfassende IKT-Business-Continuity-Politik. Die Idee ist, auf bestehenden Best Practices aufzubauen und dabei die Geschäftskontinuität und IT-Wiederherstellungspläne zu berücksichtigen, insbesondere als Reaktion auf einen Cyberangriff. Wenn Sie die für die Planung verwendeten Szenarien für Technologieverluste anpassen und gleichzeitig berücksichtigen, wie ein Cyberangriff die Reaktion und Wiederherstellung verändern könnte, können Sie sich ganzheitlicher auf ein Cyberereignis vorbereiten.
  • Operative Widerstandsfähigkeit. Operative Resilienz-Aktivitäten, die Funktionen und Prozesse identifizieren, die kritische Geschäftsdienste unterstützen, können dabei helfen, diesen Funktionen im Rahmen von DORA Priorität einzuräumen. End-to-End-Mapping-Aktivitäten können ein Fenster zu anfälligen Ressourcen bieten, einschließlich Risiken, die die Verfügbarkeit von Technologien und IKT-Systemen beeinträchtigen könnten. Die von DORA geforderten Testarten können auch in Verbindung mit den Szenariotests durchgeführt werden, die für die betriebliche Belastbarkeit erforderlich sind. Technologiespezifische Tests können auf die Pläne zum Testen der Ausfallsicherheitsszenarien aufgesetzt werden, um nachzuweisen, dass Sie sich innerhalb der angegebenen Auswirkungstoleranzen befinden.
  • Risikomanagement für Dritte. DORA beschreibt spezifische Schritte, die Unternehmen unternehmen müssen, bevor sie eine Beziehung zu einem IKT-Drittanbieter eingehen, wie z.B. die Feststellung, ob der Anbieter kritische/wichtige Funktionen unterstützt und ob der Drittanbieter das Konzentrationsrisiko verschärfen könnte. Dies ist eine Gelegenheit, mit den Teams für Kontinuität, Ausfallsicherheit und Risikomanagement von Drittanbietern zusammenzuarbeiten und die Ergebnisse einer Analyse der Auswirkungen auf das Geschäft oder eines End-to-End-Mappings zu nutzen, um die potenzielle Kritikalität eines Drittanbieters zu bestimmen. Es gibt auch Anforderungen, die sich auf die Beendigung von Verträgen unter bestimmten Umständen beziehen, was die IKT-Anbieter unter Druck setzt, das gleiche Sicherheitsniveau wie die Finanzinstitute beizubehalten. Diese Anforderungen werden Risikopraktikern zugute kommen, die oft die wenig beneidenswerte Aufgabe haben, ein Drittpartei- oder Konzentrationsrisiko zu identifizieren, aber nicht die Befugnis haben, das Unternehmen davon abzuhalten, die Beziehung einzugehen.
  • Informationstechnologie. Finanzinstitute und ihre IKT-Anbieter müssen mindestens einen zweiten Verarbeitungsstandort unterhalten, dessen Ressourcen dem Geschäftsbedarf entsprechen. Der sekundäre Standort muss geografisch getrennt, in der Lage sein, kritische Dienste fortzuführen, und für die Mitarbeiter zugänglich sein.

3. Erstellen Sie einen Plan für Ihre Krisenkommunikation. Das DORA enthält spezifische Bestimmungen für die Krisenkommunikation im Falle einer erheblichen Störung. Die Kommunikationspläne müssen sowohl technisches als auch nicht-technisches Personal berücksichtigen und Sprecher für die Öffentlichkeit benennen. Die Unternehmen müssen außerdem eine Krisenmanagementfunktion einrichten, um die Aktivitäten zu koordinieren. Damit werden bewährte Praktiken kodifiziert, die viele Unternehmen bereits anwenden, um während einer Störung eine Kommando- und Kontrollstruktur aufrechtzuerhalten, die nicht nur mit technischen Fachkräften besetzt ist.

Auch wenn DORA wie eine weitere Cyber-Regulierung erscheinen mag, ist es in Wirklichkeit ein Wendepunkt, der Unternehmen dazu zwingen wird, Technologierisiken auf eine neue Art und Weise zu betrachten und auf den Stärken anderer Risikodisziplinen aufzubauen, einschließlich Business Continuity, operativer Widerstandsfähigkeit und Risikomanagement für Dritte. Ein umfassender und ganzheitlicher Ansatz wird dazu beitragen, die allgemeine Widerstandsfähigkeit Ihres Unternehmens und des Finanzsektors insgesamt zu verbessern.

Die Einhaltung des Digital Operational Resilience Act ist Ihre Chance, den strategischen Wandel im Umgang mit digitalen Risiken zu beschleunigen. Und zögern Sie nicht – der Januar 2025 wird in kürzester Zeit da sein.

Wenn Sie mehr über Resilienz erfahren möchten, laden Sie unser Whitepaper Operational Resilience herunter : Navigieren durch die globale Regulierungslandschaft“ herunter und testen Sie die Software für Business Continuity & Resilience von Riskonnect.