Der 17. Januar 2025 ist ein bedeutender Moment für Unternehmen, die im EU-Finanzdienstleistungssektor tätig sind, da der Digital Operating Resilience Act (DORA) offiziell in Kraft tritt.
Dieser neue Rechtsrahmen zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzinstituten und ihren kritischen und wesentlichen Technologieanbietern zu stärken und Anforderungen an das IKT-Risikomanagement, die Prüfung der operativen Widerstandsfähigkeit und die Reaktion auf Sicherheitsvorfälle, die die finanzielle Stabilität beeinträchtigen könnten, festzulegen.
Für Organisationen, die die notwendige Zeit und Ressourcen in die Vorbereitung auf die neuen Verpflichtungen investiert haben, bietet sich heute die Gelegenheit, ihre Bereitschaft unter Beweis zu stellen, die Beziehungen zu den Regulierungsbehörden zu stärken und Vertrauen bei allen Beteiligten aufzubauen. Für diejenigen, die der neuen Verordnung nicht die nötige Aufmerksamkeit geschenkt haben, darf die Dringlichkeit zu handeln nicht unterschätzt werden - die Einhaltung der Vorschriften ist nicht mehr optional. Es stimmt, dass einige Durchführungsverordnungen (ITS/RTS) noch nicht genehmigt sind, doch ihr Wortlaut lässt erahnen, welche Anforderungen zu erfüllen sein werden.
WAS BEDEUTET DORA FÜR FINANZDIENSTLEISTUNGEN UND IHRE DRITTANBIETER VON ICT?
DORA schafft einen robusten und umfassenden Rahmen, um sicherzustellen, dass Finanzunternehmen und ihre kritischen Technologieanbieter in der Lage sind, IKT-bedingten Störungen zu widerstehen, darauf zu reagieren und sich davon zu erholen. Sie gilt für eine Vielzahl von Organisationen, darunter Banken, Versicherungsgesellschaften, Wertpapierfirmen, Zahlungsdienstleister und große IKT-Anbieter, die wichtige Technologiedienste erbringen. Aber auch Lotteriegesellschaften oder große Autohäuser, die Finanz- und Versicherungsdienstleistungen anbieten, sind davon betroffen.Die Verordnung gliedert sich in vier grundlegende Anforderungen, die alle betroffenen Einrichtungen erfüllen müssen:
- IKT-Risikomanagement: Die Unternehmen müssen solide Rahmenbedingungen schaffen, um IKT-Risiken zu ermitteln, zu bewerten und wirksam zu mindern. Dazu gehört die Einführung detaillierter Verfahren zur Überwachung von Schwachstellen, zur Verwaltung von Updates und zur Gewährleistung sicherer und aktueller Systeme.
- Tests der operativen Belastbarkeit: Regelmäßige Tests der operativen Belastbarkeit sind gemäß DORA obligatorisch. Dazu gehören Penetrationstests, Red Teaming und Notfallwiederherstellungssimulationen, um sicherzustellen, dass Systeme und Prozesse realen Herausforderungen standhalten können.
- Meldung von Vorfällen: Die rechtzeitige Meldung schwerwiegender IKT-bezogener Vorfälle an die Aufsichtsbehörden ist ein wichtiger Aspekt des DORA-Programms. Organisationen müssen über klare Protokolle für die Identifizierung, Eskalation und Offenlegung von Vorfällen verfügen, die sich auf ihren Betrieb, ihre Kunden oder kritische Infrastrukturen auswirken.
- Risikomanagement für Dritte: Durch eine stärkere Kontrolle von IKT-Drittanbietern wird sichergestellt, dass diese externen Partner die gleichen hohen Anforderungen an die Ausfallsicherheit erfüllen. Dazu gehören regelmäßige Risikobewertungen, das Aushandeln strenger Vertragsbedingungen und die Einrichtung laufender Überwachungsprozesse. Ausgewählte IKT-Vertragspartner mit europaweiter Präsenz werden direkt von der europäischen Aufsichtsbehörde geprüft. Welches Maß an Sicherheit in der Lieferkette für lokale Zulieferer ausreichend ist, z. B. ISO-Audits, muss von der lokalen Regulierungsbehörde noch festgelegt werden.
WAS ERWARTET DIE VORSCHRIFTSMÄSSIGEN ORGANISATIONEN?
Für Organisationen, die den DORA-Standard bereits erfüllen, ist dieser Meilenstein nur der Anfang einer kontinuierlichen Reise zur Aufrechterhaltung der Widerstandsfähigkeit. Die Einhaltung der Norm ist keine einmalige Errungenschaft - sie ist ein fortlaufender Prozess, der Wachsamkeit, Anpassung und kontinuierliche Verbesserung erfordert.
WIE SOLLTEN VORSCHRIFTSMÄSSIGE UNTERNEHMEN JETZT VORGEHEN?
Kontinuierliche Überwachung: Implementieren Sie Echtzeit-Überwachungssysteme, die IKT-Risiken erkennen und auf sie reagieren, sobald sie auftreten. Eine frühzeitige Erkennung ist entscheidend, um die Auswirkungen potenzieller Verstöße zu minimieren.
Dokumentieren und berichten: Stellen Sie sicher, dass Sie über gut dokumentierte Protokolle zur Meldung von Vorfällen verfügen, und seien Sie darauf vorbereitet, bei behördlichen Inspektionen detaillierte Nachweise über die Einhaltung der Vorschriften vorzulegen. Transparenz und Rechenschaftspflicht sind entscheidend, um das Vertrauen der Aufsichtsbehörden zu erhalten.
Überprüfen und aktualisieren Sie die Testpläne: Die Prüfung der operativen Belastbarkeit ist ein iterativer Prozess. Planen Sie Ihre Tests regelmäßig, um sich an neue Bedrohungen anzupassen und Ihre Reaktionsfähigkeit zu verbessern. Dazu gehört auch die Aktualisierung von Szenarien, um Änderungen in Ihrem Geschäftsbetrieb oder Ihrer Technologieumgebung zu berücksichtigen.
Zusammenarbeit mit Drittanbietern: Halten Sie die Kommunikationskanäle mit Ihren IKT-Anbietern offen, um sicherzustellen, dass sie weiterhin die Sicherheitsstandards einhalten. Regelmäßige Überprüfungen und Audits Ihrer Beziehungen zu Drittanbietern sind unerlässlich, um Risiken proaktiv anzugehen.
GEHÖREN SIE ZU DEN ORGANISATIONEN, DIE DEN VORBEREITUNGEN AUF DIE NEUE GESETZGEBUNG NICHT DIE NÖTIGE AUFMERKSAMKEIT GESCHENKT HABEN?
Wenn Ihr Unternehmen die DORA-Bestimmungen noch nicht vollständig erfüllt, ist es an der Zeit, sofort zu handeln. Die Nichteinhaltung der Vorschriften kann zu Strafen, Rufschädigung und betrieblichen Schwachstellen führen, die Ihr Unternehmen gefährden.
Wie soll man vorgehen?
Führen Sie eine Lückenanalyse durch:
Bewerten Sie Ihre derzeitigen Prozesse und ermitteln Sie kritische Lücken in den Bereichen IKT-Risikomanagement, Ausfallsicherheitstests, Meldung von Zwischenfällen und Überwachung durch Dritte (im Rahmen von DORA und allen ITS/RTS).
Stärkung der Reaktionspläne auf Vorfälle:
Stellen Sie sicher, dass Sie über einen klar definierten Rahmen für die Ermittlung, Verwaltung und rasche Meldung von IKT-Vorfällen verfügen.
Verbessern Sie das Risikomanagement für Dritte:
Arbeiten Sie mit Ihren externen IKT-Anbietern zusammen, um die Anforderungen an die Einhaltung von Sicherheitsstandards anzugleichen. Dies kann die Neuverhandlung von Verträgen, die Einrichtung einer laufenden Überwachung und regelmäßige Risikobewertungen umfassen.
Lassen Sie sich von Experten beraten:
Wenn Sie Probleme bei der Erfüllung der DORA-Anforderungen haben, sollten Sie nicht zögern, externe Unterstützung in Anspruch zu nehmen. Professionelle Berater können Ihnen helfen, Ihre Bemühungen um die Einhaltung der Vorschriften zu rationalisieren und sich auf Bereiche mit hoher Priorität zu konzentrieren.
WELCHE LANGFRISTIGEN AUSWIRKUNGEN WERDEN DURCH DAS DORA-GESETZ ERWARTET?
Die Einführung des DORA-Standards als vertikale Regulierung neben der NIS2-Richtlinie stellt einen bedeutenden Meilenstein dar, signalisiert aber auch einen breiteren Wandel hin zu mehr Widerstandsfähigkeit und Verantwortlichkeit im gesamten Finanzsektor. Durch die Übernahme der DORA-Grundsätze können Organisationen eine solidere Grundlage für das Management von IKT-Risiken, die Verbesserung der operativen Stabilität und den Schutz vor einer zunehmend komplexen Bedrohungslandschaft schaffen.
Bei dieser Verordnung geht es nicht nur darum, die heutigen Anforderungen zu erfüllen, sondern auch darum, Ihr Unternehmen zukunftssicher zu machen. Wer in die kontinuierliche Einhaltung der Vorschriften und in die Widerstandsfähigkeit investiert, kann sich Wettbewerbsvorteile verschaffen, z. B. ein größeres Vertrauen der Interessengruppen, ein stärkeres Vertrauen der Kunden und eine geringere Risikoanfälligkeit.
Da sich das regulatorische Umfeld ständig weiterentwickelt und sich die Welt zunehmend in den digitalen Raum bewegt, müssen Unternehmen proaktiv bleiben. Die Einhaltung der DORA-Bestimmungen sollte als Teil eines kontinuierlichen Engagements für die digitale Resilienz gesehen werden, nicht als einmalige Anstrengung.
BENÖTIGEN SIE HILFE BEI DER EINHALTUNG DER DORA-VORSCHRIFTEN?
Wenn Sie noch auf die vollständige Einhaltung der Vorschriften hinarbeiten oder Ihre Ausfallsicherheitsstrategien weiter verbessern wollen, kann Ihnen unser BDO-Technologieteam helfen. Von der Durchführung von Gap-Analysen bis hin zum Aufbau robuster Test-Frameworks bieten wir maßgeschneiderte Lösungen für Ihre individuellen DORA-Anforderungen.Autor: Tomáš Kubíček