Matrix Technology AG
node > DORA – Die EU-Verordnung im Überblick

DORA – Die EU-Verordnung im Überblick

Johannes Rieder, Compliance Consultant, matrix technology

Johannes Rieder schreibt im Unternehmensblog über Regulatorik-Themen – gerne auch über solche, die manchmal übersehen werden, aber mehr Aufmerksamkeit verdienen.

Alle Beiträge des Autors

Wer sich die DORA-Kapitel zum ersten Mal zur Brust nimmt, ist ziemlich sicher erschlagen von der Fülle der Bestimmungen und komplexen Anforderungen. Daher haben wir diesen Beitrag verfasst, um den Einstieg zu erleichtern! Wir beginnen mit Hintergründen und stellen anschließend die Inhalte der einzelnen DORA-Kapitel in stark verkürzter Form vor. Schließlich blenden wir noch die Timeline ein von der ersten Veröffentlichung im EU-Amtsblatt bis zur verbindlichen Wirkung im Januar 2025.

Kontext: Digitale Resilienz

Finanzielle Services sind ohne IT-Infrastrukturen heute nicht mehr denkbar - diese Struktur müssen daher besonders geschützt werden. Den Kontext der neuen DORA-EU-Verordnung bilden daher Trends in Technologie und Cyberkriminalität sowie das Konzept der Resilienz.

  • Finanzdienstleistungen basieren auf leistungsfähigen Netzwerken, Cloud-Technologien und abgesicherten Endkundenschnittstellen. Der gesamte Sektor profitiert von der Chance, digitale Services effizient durch Informations- und Kommunikationstechnologien (IKT) zu erbringen.
  • Zu den großen Risiken zählen Cyberkriminelle, die gezielt nach Schwachstellen in der Organisation und der Infrastruktur suchen, um Schadcode einzuschleusen, Daten zu erbeuten und Systeme lahmzulegen. In diesem Zusammenhang gilt Digitale Resilienz als alternativlos.
  • Digitale Resilienz lässt sich definieren als ein Bündel von Kompetenzen und Fähigkeiten, mit dem Finanzinstitute Ihre spezifischen IKT Dienste aufbauen, dauerhaft gewährleisten und – im Notfall - wiederherstellen können.

Inhalte: Die zentralen DORA-Kapitel

DORA umfasst acht Kapitel. Die vier für die Umsetzung zentralen Kapitel und Ihre wesentlichen Anforderungen stellen wir hier vor. Hierin beschreiben die Verfasser, welche Kapazitäten ein Finanzinstitut aufbauen muss, um ein aus Sicht der Regulatorik zufriedenstellendes Niveau für das IT-Risikomanagement zu erreichen. Es geht dabei um den organisatorischen Rahmen, um ein Erkennungs-, Bewertungs- und Meldesystem für auffällige und potenziell schädliche Ereignisse ("Incidents"), um Tests und Kontrollen für die Resilienz bestehender Systeme sowie um das Risikomanagement entlang der Kette im ausgelagerten IT-Betrieb. Im Detail:

IKT-Risikomanagementrahmen (Kapitel III)

  • Die ganzheitliche Betrachtung umfasst die Bereiche Identifizierung, Schutz und Prävention, Erkennung, Gegenmaßnahmen und Wiederherstellung, Lernen sowie Weiterentwicklung und Kommunikation.
  • Das Leitungsorgan trägt die Verantwortung für das IKT-Risikomanagement und muss ausreichende Kenntnisse und Fähigkeiten aktiv auf dem neuesten Stand halten.
  • Die Umsetzung kann nach dem Grundsatz der Proportionalität erfolgen.

Behandlung, Klassifizierung und Berichterstattung von IT-Incidents (Kapitel III)

  • Vorfälle werden hinsichtlich Relevanz, Anzahl, Ausbreitung und Kritikalität eingeteilt und die durch Ausfälle verursachten Kosten erfasst.
  • Der Incident Management Prozess (vgl. auch unseren Blogbeitrag: Incident Response Prozess) muss effektiv sein und ausreichend dokumentiert werden.
  • Das IT-Notfallmanagement muss nach bewährten Praxisverfahren aufgebaut werden, um im Notfall eine schnelle und effektive Reaktion zu gewährleisten.
  • Über bestimmte IKT-bezogene Vorfälle muss den Aufsichtsbehörden innerhalb festgelegter Fristen anhand EU-weit einheitlicher Templates Bericht erstattet werden.

Testen der digitalen operationellen Resilienz (Kapitel IV)

  • Ein risikobasiertes, proportionales Testprogramm muss in vielen Bereichen der IT etabliert werden.
  • Bestimmte Finanzunternehmen müssen zusätzlich sogenannte Threat-Led Penetration Testing (TLPT) durchführen. Diese Testmethodik soll sich dabei am TIBER-EU-Rahmenwerk orientieren und die Tests ausschließlich von fachkundigen Testern durchgeführt werden.
  • Die Notfall- und Wiederherstellungspläne müssen jährlich geübt und von der Internen Revision auditiert werden.

Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I)

  • Alle mit der Beauftragung von Dienstleistern einhergehenden Risiken müssen strukturiert bewertet und aktiv gesteuert werden. Dazu gehört auch die Integration der Dienstleister in den Informationsverbund.
  • Das Informationsregister dient der strukturierten Verwaltung aller Informationen zu Vertragsbeziehungen mit IKT-Dienstleistern. DORA enthält eine weit gefasste Definition von IKT-Dienstleistern.
  • Vertragliche Bestimmungen mit IKT-Dienstleistern müssen zahlreiche neue Mindestinhalte enthalten. Die BaFin betont, dass trotz knapper Zeitplanung keine Übergangsfrist vorgesehen ist.

Hintergrund: Digitale Resilienz

Wie jede EU-Verordnung tritt DORA in mehreren Schritten in Kraft. Mit der Verbindlichkeit ab Januar 2025 können auch Prüfungen starten, ob Institute den erforderlichen Rahmen umgesetzt haben. Das ist die bisherige Timeline:

  • 27. Dezember 2022: Veröffentlichung des Digital Operational Resilience Act im Amtsblatt der EU (als Verordnung 2022/2554)
  • 17. Januar 2023: Inkrafttreten der Verordnung
  • 17. Januar 2025: Verbindliche Wirkung für alle betroffenen Marktteilnehmer in allen EU-Mitgliedsstaaten

Damit ist klar: Die Zeit für Versicherungsunternehmen und Banken, DORA umzusetzen, ist jetzt!

DORA mit matrix technology umsetzen

Wie die Ausführungen zeigen, erfindet DORA das Rad nicht neu. Soweit mit der Umsetzung von VAIT, BAIT oder KAIT bereits ein solides Compliance-Framework in Ihrem Unternehmen verankert ist, sind sie gut auf die Integration der DORA-Anforderungen vorbereitet. Andernfalls bietet DORA die Möglichkeit, bestehende Lücken in Ihrer IT-Compliance zu schließen und die Widerstandsfähigkeit Ihrer Geschäftsprozesse gegenüber Cyberrisiken zu optimieren. Gerne agieren wir in der Phase der DORA-Umsetzung als Partner!