Compliance mit DORA: Vorteile einer Investition in die Betriebssicherheit

Inhaltsverzeichnis

1. Was ist DORA und wofür wird es gebraucht?
2. Wie wirkt sich DORA auf meine Arbeit aus?
3. Risikomanagement
4. Schadensbericht
5. Testen und Szenarioanalyse
6. Outsourcing-Bewertung
7. Aufsicht
8. Wie kann ich mein Leben einfacher gestalten?

Was ist DORA und wofür wird es gebraucht?

Da heutzutage immer mehr Aspekte unseres Lebens im Cyberspace stattfinden, wird die Sicherheit, Zuverlässigkeit und Verfügbarkeit von verschiedensten Diensten immer wichtiger. Dies gilt insbesondere für Finanzdienstleistungen, die nicht nur Einzelpersonen betreffen, sondern auch erhebliche Auswirkungen auf die Wirtschaft als Ganzes haben.

Auch wenn vielen Unternehmen die Qualität, Zuverlässigkeit und Sicherheit der von ihnen angebotenen Dienste am Herzen liegt, gibt es in diesem Bereich immer noch Probleme. Einer der Gründe dafür ist das Fehlen konsistenter, branchenüblicher Prozesse, um sicherzustellen, dass ein Unternehmen bei Störungen seiner digitalen Dienste standhalten und sich davon erholen kann.

Die Europäische Union hat den Wunsch geäußert Standards in Bezug auf Risikomanagement, Berichterstattung und Prüfung im Finanzdienstleistungsbereich zu harmonisieren und zu modernisieren. Das Ergebnis ist der Digital Operational Resilience Act (DORA), der am 27. November 2022 in einer Pressemitteilung des Europäischen Rates veröffentlicht wurde. Die Verordnung trat am 16. Januar 2023 in Kraft und gilt für alle Finanzdienstleistungsunternehmen und deren externen Anbieter ab 17. Januar 2025.

Wie wirkt sich DORA auf meine Arbeit aus?

Meiner Meinung nach wird DORA die größten Auswirkungen auf zwei Arten von Institutionen im Finanzdienstleistungssektor haben: Unternehmen, deren Geschäftsanwendungs-Ökosystem zu einem großen Teil aus Legacy-Anwendungen mit technischen Schulden besteht und solche, die der Bereitstellung von Geschäftswert Vorrang vor formellen Prozessen und umfangreichen Tests einräumen.

DORA soll sicherstellen, dass Finanzinstitute über angemessene Sicherheitsvorkehrungen verfügen, um sich von möglichen Störungen bei digitalen Diensten erholen zu können. Es gilt als eine Möglichkeit, Kunden und damit den gesamten Markt vor Cyber-Bedrohungen zu schützen. Zusätzliche Arbeiten werden erforderlich sein, um Verfahren, Anwendungen und Prozesse zu überprüfen und sich auf externe Audits vorzubereiten.

Auch wenn die lokalen Regulierungsbehörden noch an den technischen Details arbeiten, können wir bereits Bereiche identifizieren, die DORA in naher Zukunft beeinflussen wird.

01.Risikomanagement

Die Richtlinien fügen diesem Bereich keine neuen Elemente hinzu, sondern definieren, wie und wann ein Risikobewertungsprozess zu Schlüsselaspekten des Geschäfts durchzuführen ist. Es müssen detaillierte Prozesse eingerichtet werden, um die Auswirkungen nachteiliger Faktoren auf das Unternehmen und seine Kunden zu reduzieren. Ein Beispiel für einen solchen Prozess ist „Disaster Recovery“, das unter anderem die Möglichkeit beinhaltet, das Rechenzentrum an einen anderen physischen Standort zu verlegen. Eine Risikoanalyse muss regelmäßig durchgeführt werden, sowie im Fall von Infrastrukturänderungen, der Einführung neuer Technologien oder Änderungen im Zusammenhang mit der Integration von neuen Diensten.

02.Schadensbericht

Mit DORA ist es nicht nur angemessen, sondern auch notwendig, schwerwiegende Vorfälle, die kritische Dienste betreffen, an die zuständigen Behörden zu melden. Die Vorschriften definieren sowohl den Zeitrahmen als auch die Informationen, die in einem solchen Bericht enthalten sein müssen. Um die Lesbarkeit zu erhöhen und die Informationsverarbeitungszeit zu verkürzen, müssen Unternehmen, die dieser Verpflichtung unterliegen, einen gemeinsamen Standard für den Bericht verwenden.

03.Testen und Szenarioanalyse

DORA führt die Verpflichtung ein, ein proportionales und risikobasiertes Programm zum Testen der digitalen betrieblichen Belastbarkeit zu implementieren. Dieses soll eine vollständige Palette geeigneter Tests umfassen, z. B. Penetrations-, End-to-End-, Leistungs- und Szenario-basierte Tests. Es gibt Hinweise darauf, dass das Erreichen des erwarteten Zuverlässigkeitsniveaus zu vertretbaren Kosten ohne erhebliche Investitionen im Bereich der Testautomatisierung nicht möglich sein wird. Darüber hinaus sind verstärkte Bemühungen in den Bereichen Vulnerability Assessments, Open-Source-Analysen, Network Security Assessments, Gap-Analysen und Fragebögen zu erwarten. Daher erscheinen zusätzliche Tools zur Unterstützung der Arbeit in diesen Bereichen notwendig, um auf dem Markt wettbewerbsfähig zu bleiben.

04. Outsourcing-Bewertung

Heutzutage werden IT-bezogene Tätigkeiten oft ausgelagert. Obwohl dieser Ansatz viele Vorteile bietet, ist es wichtig, bewährte, zuverlässige Subunternehmer einzusetzen. In der Vergangenheit galt dies als bewährte Praxis, aber jetzt sollte es als gesetzliche Anforderung angesehen werden. DORA macht es obligatorisch sicherzustellen, dass externe Anbieter über Maßnahmen verfügen, um Risiken zu verwalten und zu mindern, welche die betriebliche Belastbarkeit beeinträchtigen können. Damit gelten die Regelungen zur digitalen Resilienz für Unternehmen der Finanzbranche ebenso wie für deren Subunternehmer und Dienstleister.

05. Aufsicht

Um die Einhaltung gesetzlicher Vorschriften zu gewährleisten, richtet DORA ein neues digitales Überwachungssystem für die operative Resilienz ein, das regelmäßige Bewertungen und Audits durch Behörden umfasst. Es legt die Befugnisse der zuständigen Institutionen fest, erforderlichenfalls Durchsetzungsmaßnahmen zu ergreifen. Dies ist ein weiterer Bereich, in dem automatisierte Lösungen den Prozess erheblich unterstützen können. Artefakte automatisierter Prozesse können die Dauer der Prüfung erheblich verkürzen und damit deren Kosten reduzieren.

Wie kann ich mein Leben einfacher gestalten?

Es sieht so aus, als würden die neuen Vorschriften erhebliche Auswirkungen auf Unternehmen haben, die im Finanzsektor in der Europäischen Union und im Vereinigten Königreich tätig sind. Die Richtung scheint richtig zu sein und DORA wird dazu beitragen, die Sicherheit und Zuverlässigkeit von Systemen zu erhöhen und gleichzeitig die potenziellen Kosten im Zusammenhang mit Notfällen zu senken. Beachten Sie jedoch, dass die Anpassung Ihrer Organisation an die neuen Anforderungen eine kurzfristige Investition erfordert.

Viele Organisationen, insbesondere diejenigen, die in den Bereichen Tests, Risikomanagement und Prüfung technischer Lösungen hinterherhinken, benötigen Beratung und Unterstützung. Die Auslagerung dieser Fälle in die Hände von Spezialisten, die sich täglich mit diesen Themen befassen, kann den Transformationsprozess und die Anpassung an neue Anforderungen erheblich erleichtern.

Erinnern wir uns daran, dass die eingeführten Änderungen nicht nur aus rechtlicher Sicht notwendig sind, sondern auch praktisch sind und den aktuellen Standards entsprechen. Wenn Sie sich ihnen jetzt öffnen, kann die Leistung Ihrer Organisation weit vor Ablauf der DORA-Frist verbessert werden.