DORA und VAIT – Hilfe für Versicherungen

Der neue EU-Regulierungsrahmen DORA (Digital Operational Resilience Act) stellt detaillierte Regeln für das operationelle IT-Risikomanagement auf. Versicherungsunternehmen sollten DORA nicht als Revolution betrachten, sondern als Evolution: Organisationen, die schon über ein Compliance-Framework auf Basis der VAIT verfügen, können darauf aufbauen.

Eine DORA-GAP-Analyse sowie ein VAIT-Mapping stellen sinnvolle Maßnahmen dar, um bestehende Lücken zu schließen und das gesamte Unternehmen gegenüber Cyberbedrohungen zu wappnen. Hier stellen wir Inhalte aus dem zentralen DORA-Kapitel II vor und geben Hinweise für die Umsetzung - die wir von matrix technology als Regulatorik-Experten auch regelmäßig begleiten und unterstützen.

Das zweite Kapitel des neuen Rahmenwerks ist zentral für die Umsetzung, denn es beschreibt den Governance- und Managementrahmen und darüber hinaus kontinuierliche Maßnahmen zum Incident-Monitoring und zur Behandlung von IKT-bezogenen Vorfällen. Unsere Grafik verdeutlicht den Aufbau des gesamten Kapitels und die Hierarchie der Inhalte.

Aus dem Inhalt des zweiten Kapitels lässt sich deutlich herauslesen, welche Rollen im Unternehmen für die DORA-Umsetzung wichtig sind: Es sind keineswegs nur Risikomanager nötig, um ans Ziel zu kommen! Durch den ganzheitlichen und prozessorientierten Ansatz müssen sowohl die Geschäftsführung als auch IT-Fachverantwortliche mit einbezogen werden, die beispielsweise SIEM-SOC-Prozesse betreuen oder Backup- und Restoration-Systeme. Wir gehen nun näher auf einzelne Artikel des zweiten Dora-Kapitels ein. Das Kapitel beginnt mit dem Artikel 5. Wir fokussieren uns auf die Kernbereiche der Verordnung, die für eine Umsetzung wesentlich sind.

In Artikel 5 verlangt DORA von den Führungsorganen eine aktive und operative Rolle im Informations-Risikomanagement. Dies ist schon nach VAIT und MaGo bekannt: Doch führt DORA dazu, dass das Leitungsorgan dafür auch auf persönlicher Ebene haften kann. Es ergeben sich erweiterte Pflichten des Leitungsorgans in Bezug auf Genehmigungs-, Überwachungs- und Überprüfungshandlungen. Die regelmäßige Teilnahme an IKT-spezifischen Weiterbildungen wird obligatorisch. 

Artikel 6 fordert, dass Finanzunternehmen IKT-Risiken angemessen steuern bzw. überwachen und über einen umfassenden und gut dokumentierten Rahmen für das IKT-Risikomanagement verfügen. Das Management und die Überwachung der IKT-Risiken muss dem 3-Linien-Modell („Three Lines Model“) oder einem vergleichbaren internen Modell folgen. Das bedeutet, dass neben der Internen Revision und dem Informationssicherheitsbeauftragten (ISB) eine unabhängige Kontrollfunktion einzurichten ist. DORA betont hier die Erwartungshaltung der Aufsicht, den ISB im eigenen Hause vorzuhalten. 

Um den Entwicklungen der Cyberbedrohungslandschaft resilient zu begegnen, fordert Artikel 7 die Einrichtung von belastbaren IKT-Systemen und Tools, die auf dem neuesten Stand zu halten sind. Wie Artikel 2.4 der VAIT betont DORA erneut den Stand der Technik. So sind Versicherungsunternehmen gefordert, technische Entwicklungen im Bereich der operativen Resilienz kontinuierlich zu verfolgen und neue Verfahren und Techniken rechtzeitig zu implementieren.

Artikel 8 regelt die umfassende Identifizierung, Klassifizierung und Dokumentation IKT-gestützter Unternehmensfunktionen, Rollen und Verantwortlichkeiten sowie aller Informations- und IKT-Assets, die diese Funktionen unterstützen. Informations- und IKT-Assets, v. a. diejenigen, die eine kritische und wichtige Funktion unterstützen, sind ein wesentlicher Bestandteil der Risikobewertung in DORA.

Für die Dokumentation sind eine aktuelle und vollständige Prozesslandkarte sowie eine gepflegte und umfangreiche Configuration Management Database (CMDB) als zentrale Datenbasis unerlässlich.

Zum Schutz von IKT-Systemen müssen entsprechende Präventionsmaßnahmen ergriffen werden. Hierzu zählen die Gewährleistung der Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) und der Einsatz von Kryptographie. Nach dem zugehörigen technischen Regulierungsstandard (RTS; Art. 7) wird ein Lifecycle-Management für kryptographische Schlüssel gefordert. 

Artikel 10 beinhaltet die Erkennung anormaler Aktivitäten und IKT-bezogener Vorfälle. Das schließt die kontinuierliche Ermittlung von Schwachstellen ein. Um die betriebliche Widerstandsfähigkeit der Organisation nachhaltig zu stärken, sind Schwachstellenscans nach RTS (Art. 10) für IT-Assets, die kritische und wichtige Funktionen unterstützen, nun auf wöchentlicher Basis durchzuführen.

DORA fasst das Incident- und Business Continuity Management als integralen Bestandteil des Risikomanagementrahmens auf. In diesem Zusammenhang wiederholt Artikel 11 die aus den VAIT bekannten Anforderungen in Bezug auf Notfallpläne und eine BCM-Leitlinie. Im Sinne der mit DORA verfolgten Transparenzziele werden an dieser Stelle Rahmenbedingungen für die Kommunikationsmaßnahmen gegenüber Behörden, Kunden und der Öffentlichkeit vorgegeben. Die Verantwortung für die Kommunikation liegt demnach bei einer zentralen Krisenmanagementfunktion. Neben den aus den VAIT bekannten Szenarien müssen künftig z. B. Innentäterangriffe oder Terrorangriffe getestet und in der Notfallplanung berücksichtigt werden.

Damit Finanzinstitute Cyberbedrohungen wirksam begegnen können, müssen sie einen stetigen Lernprozess durchlaufen. Gewonnene Erkenntnisse aus bisherigen Vorfällen im Sinne einer „Lessons learned“ sind nach Artikel 13 in die regelmäßige Überprüfung des Risikomanagementrahmens einzubeziehen. Das Leitungsorgan muss in diesem Kontext von leitenden IT-Mitarbeitenden jährlich einen mit Empfehlungen versehenen Bericht einfordern. Ebenfalls müssen die Institute die Entwicklung von Cyber-Bedrohungen kontinuierlich überwachen und obligatorische Mitarbeiterschulungen zur digitalen operationalen Resilienz durchführen.

Finanzunternehmen brauchen zwingend Kommunikationspläne, die eine „verantwortungsbewusste Offenlegung“ gegenüber Kunden, anderen Finanzunternehmen und der Öffentlichkeit ermöglichen. Zudem muss die Funktion eines Kommunikations- beauftragten eingerichtet werden.