DORA – die EU-Regulatorik zur digitalen operationellen Resilienz – sorgt für einige Verunsicherung. Was will der Gesetzgeber? Wie kann sich die Bank aufstellen, um die neuen Standards zeitgerecht umzusetzen?
Am 16. Januar 2023 wurde der „Digital Operational Resilience Act” (DORA) von der EU-Kommission in Kraft gesetzt. DORA richtet sich an alle Finanzdienstleister innerhalb der EU. Zielsetzung ist es, Cyberbedrohungen auf dem Finanzmarkt frühzeitig zu identifizieren und Angriffsflächen abzusichern, um so die Wettbewerbsfähigkeit und Innovation des Finanzmarktes zu stärken. Darüberhinaus zielt DORA auf eine Vereinheitlichung der bestehenden europäischen und nationalen Standards und Anforderungen zur operationellen Resilienz ab.
Um die neuen Anforderungen zu konkretisieren, veröffentlichen die Europäischen Aufsichtsbehörden seit Sommer letzten Jahres technische Regulierungs- und Implementierungsstandards (RTS/ITS). Diese werden jeweils nach einer öffentlichen Konsultationsphase in zwei Ergänzungspaketen bekanntgegeben. Das erste Paket liegt seit wenigen Wochen vor; das zweite wird spätestens im Juli 2024 erwartet. Danach bleiben allen Finanzdienstleistern sechs Monate bis zur Umsetzung der Verordnung. Die Regulierungsaufsicht beginnt voraussichtlich am 18. Januar 2025.
Neue Anforderungen gehen über VAIT/BAIT deutlich hinaus
DORA erweitert bestehende Regulatoriken wie beispielsweise MaGo/MaRisk, oder VAIT/BAIT, indem die Verordnung einen konsequent von dem IKT-Risikomanagement gedachten Ansatz fordert, der in der Organisation und ihren Prozessen verankert werden muss. Dieser Ansatz wird als Basis für ein widerstandsfähiges Finanzunternehmen gesehen. Dabei legt DORA großen Wert auf die Gesamtverantwortung des Leitungsorgans für die digitale Betriebsstabilität. Das Management muss dafür sorgen, dass das Unternehmen ausreichend vor IKT-Störungen und Cyberangriffen geschützt ist. Zu einem ganzheitlichen IKT-Risikomanagement-Rahmenwerk gehören beispielsweise eine effektive Überwachung der Risiken durch IKT-Drittanbieter sowie ein umfassendes Testprogramm.
Ein zentrales Risiko-Dashboard als Lösungsansatz
Um DORA bis Januar 2025 wirksam umzusetzen, ist es notwendig die einzelnen Disziplinen innerhalb der Bank zu harmonisieren. Hier können vorhandene Tools genutzt oder ein zentrales Tool implementiert werden, um Risiken und Kontrollen effizient zu managen und zu steuern. Ein zentrales Dashboard bietet – auch bei Verwendung unterschiedlicher Tools – die Möglichkeit, die Risikoexposition des Unternehmens auf einen Blick darzustellen. Gleichzeitig bietet es aber auch die Möglichkeit, nach den verschiedenen Disziplinen zu filtern, die im Rahmen von DORA betrachtet werden, wie beispielsweise das IKT Incident Reporting oder das Management von IKT-Drittparteienrisiken. Für diese Zwecke stellt ServiceNow eine flexible, Cloud-basierte Plattform bereit. Modulare Bausteine innerhalb dieser Plattform helfen, die regulatorischen Anforderungen zeitnah und adäquat umzusetzen.
Fünf Schritte zur Umsetzung der DORA-Anforderungen
Die DORA-Anforderungen umfassen im Wesentlichen fünf Schritte:
- Das Erstellen eines interner Governance- und Kontrollrahmens zur Erreichung eines hohen Maßes an digitaler operativer Widerstandsfähigkeit;
- Die Fähigkeit, von IKT-bezogene Vorfällen und Cyberbedrohungen in Echtzeit zu erfassen und zu melden; für deren Klassifizierung gibt der Gesetzgeber Standards vor. Auch existiert eine in den ITS detaillierte Meldepflicht schwerwiegender Vorfälle.
- Ein proaktives Management der Risiken, die von Drittanbietern und Partnern ausgehen; dies beinhaltet die Fähigkeit, die Ursache eines Vorfalls zu ermitteln und wirksame Präventivmaßnahmen zu ergreifen. Zudem liegen Standards zur Nutzung und Vergabe von IKT-Dienstleistungen an Dritte vor.
- Regelmäßige Tests der digitalen operationellen Widerstandsfähigkeit, um die Wirksamkeint der Maßnahmen zur Verbesserung der operativen Belastbarkeit bewerten zu können.
- Den kontinuierlichen Austausch zwischen allen kritischen Funktionen des Unternehmens, die für die Erbringung der Finanzdienstleistungen zuständig sind.
Grundsätzlich gilt, dass digitale Abläufe in Ihrer Bank eine proaktive Schadensbegrenzung überhaupt erst ermöglichen. Entsprechend kann DORA als ein willkommener Impuls verstanden werden, die Prozessdigitalisierung und -automatisierung im Hinblick auf die nahende Deadline entschieden voranzutreiben.
Integrierte Resilienz-Sichtweise unumgänglich
Als ersten Schritt in Richtung DORA-Compliance empfehlen wir eine Aufnahme des Ist-Standes, wozu auch eine Analyse der bestehenden Tool-Landschaft gehört. Für die Ableitung von Gaps und die Entwicklung der Maßnahmen werden relevante Compliance- oder Cyber-Projekte berücksichtigt, um zu einer nachhaltigen und effizienten Umsetzung beitragen zu können. Bei vielen Themenbereichen und insbesondere der Verbindung der einzelnen Disziplinen sind Tool-Lösungen und eine integrierte Resilienz-Sichtweise unumgänglich.