Wenn Profisportler und die europäische Finanzwirtschaft eines gemeinsam haben, dann dieses: Sie müssen unter Zeitdruck punkten. Im DORA-Endspurt lautet die Kernaufgabe für die Banken, Compliance-Lücken erkennen und rechtzeitig schließen.
Am 17. Januar 2025 – nach 24 Monaten Vorbereitungszeit – ist es so weit: Unternehmen der Finanz- und Versicherungswirtschaft müssen in punkto Betriebsstabilität und Cyber-Resilienz jederzeit Top-Leistungen abrufen können. Denn dann wird der Digital Operational Resilience Act (DORA) rechtlich wirksam. Wer die Vorgaben nicht erfüllen kann, riskiert empfindliche Geldstrafen oder Vertragskündigungen.
Sind alle Aspekte berücksichtigt? Gibt es eventuelle Compliance-Lücken? Diese Fragen sollten sich die Verantwortlichen jetzt stellen, um ohne Disqualifikation über die Ziellinie zu kommen. Für einen adäquaten Umgang mit aktuellen und künftigen Cybergefahren braucht es integrierte Prozesse und Strukturen. Keine leichte Aufgabe. Aber auch in der kurzen Zeit bis zum Stichtag lässt sich noch Vieles bewegen. Mit effizienten Tools und einer ganzheitlichen Herangehensweise.
DORA-Konformität – letzte Standards veröffentlicht
Die Anforderungen der DORA-Richtlinie an berichtspflichtige Unternehmen der Finanzbranche haben es besonders in sich. Erstmals trägt das Management Verantwortung für Sicherheitsthemen. Risiken müssen kontinuierlich erfasst und analysiert werden – auch bei Partnern und Dienstleistern. Im Ernstfall fordert DORA eine professionelle Reaktion und Kommunikation und verpflichtet Unternehmen zu regelmäßigen Tests ihrer Cyber-Resilienz.
Und als wäre das nicht schon genug, sind zudem eine detaillierte Dokumentation und ein umfangreiches Berichtswesen erforderlich. Erst im Juli wurden weitere Regulierungs- und Durchführungsstandards (RTS, ITS) veröffentlicht. Allein die RTS zur Untervergabe kritischer Funktionen enthält 22 neue Anforderungen.
Im Wesentlichen erfordert die DORA-Verordnung eine Professionalisierung bei fünf Kernthemen:
Präventiv und proaktiv – themenorientiert prüfen
Auch wer sich gut vorbereitet fühlt – wer nicht, natürlich umso mehr -, sollte jeden dieser Bereiche nochmals systematisch und kritisch überprüfen. Für Interessierte gibt es hier eine umfassende Checkliste. Kurz zusammengefasst gilt es jeweils Folgendes zu beachten:
IKT-Risikomanagement
Organisationen sollten prüfen, ob die Grundlagen für eine systematische Herangehensweise an Cybersicherheit und Betriebsstabilität geschaffen wurden. Dazu gehören Fragen wie: Gibt es ein Rahmenwerk? Haben alle Beteiligten ein gemeinsames Verständnis darüber, welche Prozesse, Richtlinien und Vorgaben von DORA betroffen sind? Gibt es ein Konzept für Schulung und Sensibilisierung der Beschäftigten?
Meldepflichten von IT-Vorfällen
Hier geht es vor allem darum, Verantwortlichkeiten und Kommunikationswege zu klären. Relevante Fragen sind hier: Wurden Richtlinien, Prozesse, Verantwortlichkeiten und Schnittstellen überprüft? Sind entsprechende Ressourcen eingeplant? Ist die Organisation in der Lage, Meldepflichten und -fristen einzuhalten?
Resilienztests
Ein besonderes Augenmerk sollte auf Ressourcen und Verantwortlichkeiten liegen mit Fragen wie: Wurden Aufgaben, Kompetenzen und Verantwortlichkeiten der Tester definiert? Ist geklärt, inwiefern Threat Led Penetration Tests (TLPT) für das Unternehmen relevant sind oder werden könnten?
Management des IKT-Drittparteienrisikos
Organisationen müssen auch ihre Partner und Dienstleister genau prüfen und in die Pflicht nehmen. Besonders folgende Fragen sollten mit einem klaren „ja“ beantwortet werden können: Wurden die Anforderungen an die Klassifikation von IKT-Dienstleistungen aktualisiert? Wurden bestehende Verträge mit IKT-Dienstleistern risikoorientiert untersucht? Wurden die Verfahren zur Meldung von Vorfällen überprüft und angepasst?
Informationsaustausch intern und extern kann nicht nur entscheidend bei der Krisenprävention unterstützen, sondern auch helfen, Krisen schneller zu bewältigen. Fragen, die Organisationen sich stellen sollten sind: Gibt es Kontakte zu Netzwerken, um sich über Cyberbedrohungen auszutauschen? Gibt es klare Rollen, Verantwortlichkeiten und Verhaltensregeln zum Informationsaustausch?
Last Call DORA – Compliance-Lücken jetzt schließen
Vermutlich gibt es aktuell keine Organisation, die nach einem kritischen Check keine Lücken, Unsicherheiten oder Unklarheiten bei sich entdeckt. Da die Zeit knapp ist, kommt es jetzt darauf an, effizient an den feinen – oder auch groben – Details zu arbeiten. Dabei sind zwei Vorgehensweisen besonders hilfreich:
- Automatisieren und
- Ergänzen statt ersetzen.
Automatisieren
Die Grundvoraussetzung für eine nachhaltige Umsetzung der DORA-Richtlinie ist eine solide Datenlage. Idealerweise gibt es ein redundanzfreies Datenrepository, das als primäre Datenbasis dient. Eine einheitliche, immer aktuelle Datenbasis verringert nicht nur den Pflegeaufwand, auch Fehlerquellen werden eliminiert. Verknüpft man die Daten darüber hinaus intelligent, lässt sich so manche Compliance-Lücke ressourcensparend schließen: durch Automatisierung. Ob Reporting, Kommunikation oder Maßnahmensteuerung,
Vieles lässt sich automatisieren. Besonders hilfreich ist es, die DORA-Richtlinie selbst digital zu erfassen und dann mit Prozessen, Rollen, Systemen, Anwendungen, Kunden- und Lieferantendaten zu vernetzen. Schwachstellen und regulatorische Risiken sind dann schnell ermittelt.
Ergänzen statt ersetzen
Ein ganzheitlicher Blick auf das Unternehmen ist bei DORA besonders wichtig. Aber es ist nicht nötig, dafür ein komplett neues System einzusetzen. Mit modular aufgebauten Systemen wie der GRC-Lösung von F24 lassen sich bestehende Systemlandschaft bedarfsgerecht ergänzen – gezielt und ressourcensparend.
Dabei werden Dateien aus vorhandenen Quellen in das Modul importiert und die verschiedenen DORA-spezifischen Funktionen des Moduls von Informationsregister bis Maßnahmensteuerung nahtlos in die bestehende Systemlandschaft integriert.
Mit ganzheitlichem Blick fristgerecht über die Ziellinie
Unter Zeitdruck zu punkten ist auch bei den DORA-Vorgaben möglich. Zunächst braucht es dazu einen kritischen Blick – vielleicht am besten von außen – und ein klares Verständnis über die noch anstehenden Aufgaben. Die Superpower für alle regulatorischen Aufgaben ist eine einheitliche, stets aktuelle Datenbasis. Denn damit lassen sich viele Aufgaben intelligent automatisieren. Unterstützt man die Verantwortlichen durch flexible Systeme, die sich in die bestehende Anwendungsarchitektur integrieren, ist auch DORA zeit- und ressourcensparend umzusetzen.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.