DORA – Digital Operational Resilience Act

Aktuelles

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat für den Digital Operational Resilience Act (DORA) eine Landingpage mit allen wichtigen Informationen zusammengestellt. Unter bafin.de/dora finden Unternehmen eine erste Anlaufstelle, um der wichtigsten aller Fragen nachzugehen, nämlich ob man selbst betroffen ist.

Was ist DORA?

Mit der Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor […] trat am 14.12.2022 eine Vorordnung in Kraft, die die digitale Widerstandsfähigkeit im Finanzsektor zum Ziel hat. Die Vernetzung und Komplexität von IT-Systemen bildet das Rückgrat von Unternehmen, auch in der Finanzbranche. Finanz- und Versicherungswesen ist ein Sektor Kritischer Infrastrukturen, der bereits im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz; BSIG) auf nationaler Ebene adressiert wird. Das Gesetz zur Stärkung der Finanzmarktintegrität (FSIG) erteilt Aufsichtsbehörden auf nationaler Ebene Befugnisse gegen Auslagerungsunternehmen wie ITK-Dienstleistern. Das ist längst nicht in allen EU-Ländern der Fall. Die ITK-Systeme sind die Grundlage für den digitalen Finanzmarkt. DORA widmet sich mit dem Digital Operational Resilience Act auf europäischer Ebene dem Ziel, einen einheitlichen Rahmen für das Management von Cyber-Security und Informations-Sicherheits-Risiken in der Finanzbranche zu schaffen.

Was beinhaltet DORA?

DORA schafft nicht nur einen Rahmen für Risikomanagement von ITK-Systemen auf der Seite der Finanzunternehmen. Es regelt auch die Befugnisse von Aufsichtsbehörden wie die BaFin. Im Kern hat DORA das Ziel, die ITK-Systeme widerstandsfähiger zu machen. Längst sind das nicht nur Systeme, die die Finanzunternehmen selbst betreiben, sondern auch solche, die durch Dienstleister betrieben werden.

Finanzunternehmen sind bereits heute dazu verpflichtet ein Risikomanagement durchzuführen. TIBER-EU bzw. die nationale Umsetzung TIBER-DE adressierte bereits in der Vergangenheit explizit die Resilienz der technischen Systeme. Somit ist der Fokus im Risikomanagement zweigeteilt und beschränkt sich nicht mehr nur auf die finanzielle Stabilität einer Institution.

DORA etabliert zum einen klare Anforderungen an das Risikomanagement, wie wir es in anderen Bereichen Kritischer Infrastrukturen bereits kennen, wie beispielsweise die Anomalieerkennung. Gefordert werden unter anderem ein umfassendes IKT-Risikomanagement, Testen der digitalen Resilienz mit Verweis auf TIBER, Informationsaustausch und Meldewege. Explizit inkludiert in das Risikomanagement sind die IKT-Dienstleister.

Wann tritt DORA in Kraft?

Am 14.12.2022 wurde DORA beschlossen. Die Verordnung wurde am 27.12.2022 veröffentlicht und trat am 17.01.2023 in Kraft.

Ab dem 17.01.2025 tritt die Verordnung in Kraft.

Für den gilt DORA?

DORA adressiert Finanzunternehmen und Dienstleister, die IKT-bezogene Dienstleistungen für Finanzunternehmen erbringen. Damit stehen nicht nur die Finanzunternehmen selbst im Fokus, sondern all diejenigen, die etwas mit der technischen Umsetzung am Finanzmarkt zu tun haben. Auf der BAFIN DORA Seite sind unter anderem die Unternehmensarten gelistet, die explizit in- bzw. exkludiert sind.

Was bedeutet DORA in der Umsetzung?

Finanzunternehmen sind bereits an eine umfassende Regulatorik und Meldewesen inkl. Nachweisführung gewohnt. Auch das Thema IT-Risiken ist nicht völlig neu und wurde in der Vergangenheit bereits immer wieder adressiert. Spätestens mit DORA wird ein Umfang im Risikomanagement adressiert, der die Finanz-Prozesse adressiert und letztlich damit die technischen Systeme, die dafür benötigt werden, unabhängig vom Unternehmen, das sie betreibt. Risikomanagement für eigene Systeme ist vergleichsweise einfacher, sofern die Dokumentation dieser im Haus verfügbar ist. Die Auslagerung von Diensten zu Cloud-Anbietern kann verschiedene positive Aspekte haben. So sind beispielsweise Skalierungseffekte deutlich leichter darstellbar als in der eigenen On-Premise IT. Jedoch ist gerade für das Risikomanagement essenziell, dass der Cloud-Anbieter keine Blackbox ist, sondern genauso Teil des umfassenden Risikomanagements ist.

Risikomanagement ist kein logisches Konstrukt allein. Es basiert auf Informationen über Systeme, Schwachstellen und einem Mapping von digitalen Systemen zu Unternehmensprozessen. Bei der Identifikation von potenziellen Schwächen in Finanzprozessen geht es nicht allein darum, eine sichere Technik zu nutzen, sondern auch darum, schwächste Glieder in Technologie, Infrastruktur, Prozess und Mensch zu identifizieren. Ein ganzheitliches und umfassendes Risikomanagement bedarf aktueller und fortschreibbarer Informationen im Risikomanagement, sodass es jederzeit zu nachvollziehbaren, beweisbaren und begründeten Entscheidungen im Risikomanagement kommt.

Was die Methodiken im Risikomanagement angeht, haben wir bzgl. technischer Erkennung einen umfassenden Blumenstrauß an Möglichkeiten, von Konfigurations-Management-Datenbanken über Systeme zur Anomalieerkennung bis hin zu Security Information and Event Management (SIEM), die die technischen Sicherheitssysteme wie Firewall, Virenscanner und co. sinnvoll ergänzen.
Was den Prozess des Risikomanagements angeht ist essenziell, nicht in Silos zu denken, sondern das Unternehmen im Gesamtkontext zu betrachten. Im GRC-Ansatz (Governance, Risikomanagement, Compliance) werden bereits wertvolle Bereiche gemeinsam adressiert, um ein für das Unternehmen umfassendes Risikomanagement zu etablieren, das die Compliance-Konformität sicherstellt. Wichtig dabei ist, dass das Risikomanagement nicht nur auf Vendor-Ebene passiert, sondern auch das Zusammenspiel zwischen den einzelnen Bereichen berücksichtigt wird.

Hilfreich beim Etablieren eines ganzheitlichen Risikomanagements ist eine gemeinsame Datenlage in der alle Informationen für das Risikomanagement zentral gepflegt und aktuell gehalten werden. Außerdem die Visualisierung der einzelnen Assets, um Komplexität und Ablauf zu durchdringen. Gerade bei steigender Komplexität ist der reine Schwachstellen-Management-Ansatz oft nicht zielführend. Wichtiger als das Ranking der einzelnen Schwachstelle oder die Anzahl aller ausnutzbaren Schwächen der Infrastruktur, ist die Auswirkung der Schwachstellen auf die Prozesse. Ein kontextbasiertes Schwachstellen-Management stellt sicher, dass Security Management mit der richtigen Priorisierung angegangen wird.

Über die reine Etablierung des ganzheitlichen Risikomanagements hinaus sind Kommunikation und Meldewege ein wichtiger Aspekt. Gerade im Incident Reponse Fall ist Kommunikation und das Einhalten von Kommunikationswegen sowie Struktur ein wichtiger Baustein zur effizienten Angriffsabwehr. Es ist deshalb wichtig, diese Wege nicht nur zu definieren, sondern auch zu üben. Gelebte Prozesse und Abläufe sind, was ein Mehr an Sicherheit bedeuten kann. Gleiches gilt auch für die Informations-Sicherheit. Das Einnehmen der Angreifer-Perspektive nebst Stresstests und reale Umsetzung geben letztlich den besten Überblick darüber, wie nahe die Perspektiven gelebter und gefühlter Sicherheit sich überlagern.

Vorheriger Beitrag
Aktualisierung des Frameworks zu DORA-Umsetzungen
Nächster Beitrag
Gesetzgeber fordert Ganzheitlichkeit in der Risikoanalyse

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien