Der Digital Operational Resilience Act (DORA) ist eine europäische Verordnung, welche die digitale operationale Resilienz im Finanzsektor stärken soll. Nachdem DORA am 16. Januar 2023 in Kraft trat, wurden Organisationen zwei Jahre Zeit eingeräumt, um die Sicherheitsanforderungen umzusetzen. Wenn Ihr Institut von DORA betroffen ist, fragen Sie sich sicher, was Ihre nächsten Schritte zur Vorbereitung sein sollten.
Um Sie dabei zu unterstützen, hat unser Experte für Informationssicherheit im Finanzwesen, Dr. Christian Schwartz, für Sie fünf Tipps zusammengestellt, die Sie bei der Vorbereitung auf DORA beachten sollten. Diese fünf Ansatzpunkte zeichnen sich dadurch aus, dass sie die Grundlage für andere DORA-Anforderungen bilden oder Schnittstellen mit verschiedenen Anforderungen in Ihrem Unternehmen haben. Gelingt es Ihnen also, diese Ansatzpunkte frühzeitig in Ihrer Planungsphase zu berücksichtigen, können Sie später viel Zeit und Aufwand sparen.
1. Überprüfen Sie Ihre Methode zur Klassifizierung von Diensten hinsichtlich ihrer Kritikalität
Begründung:
„Kritische oder wichtige Dienste“ unterliegen einer Reihe zusätzlicher Anforderungen (z. B. in Bezug auf BCM, Schwachstellenmanagement, IKS, Tests der digitalen operationalen Resilienz).
Chancen:
Stellen Sie eine korrekte Einstufung als "kritisch oder wichtig" sicher, um
- den Hebel der Einstufung in Bezug auf die oben genannten Anforderungen zu nutzen und
- sicherzustellen, dass das Risiko für kritische oder wichtige Dienste wirksam gesteuert wird.
Geschätzter Aufwand:
Entwurf: Mittel [1]
Umsetzung: Mittel (skaliert mit der Anzahl der Dienste)
2. Setzen Sie Änderungen am Informationsregister für IKT-Drittparteienrisikomanagement um
Begründung:
Die Vollständigkeit und Aktualität des Informationsregisters ist eine Voraussetzung für die Einhaltung von DORA bezüglich des IKT-Drittparteienrisikomanagements.
Chancen:
Bietet eine Grundlage für
- effektives IKT-Drittparteienrisikomanagement und
- die Behandlung von Vorfällen, an denen IKT-Drittparteien beteiligt sind.
Geschätzter Aufwand:
Entwurf: Groß
Umsetzung: Groß (skaliert mit der Anzahl von IKT-Drittanbietern und Verträgen)
3. Konsolidieren Sie die vertraglichen Vereinbarungen von IKT-Drittanbietern hinsichtlich der Betriebsstabilität
Begründung:
DORA, insbesondere das Konsultationspapier zum Technischen Regulierungsstandard (Regulatory Technical Standard, RTS) zu dem „detaillierten Inhalt der Leitlinie zur Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen“, enthält explizite Anforderungen an die vertraglichen Vereinbarungen.
Chancen:
Die Aktualisierung bestehender vertraglicher Verpflichtungen (und die Festlegung eines Standards für neue vertragliche Vereinbarungen) gewährleistet
- die Einhaltung der DORA-Bestimmungen bezüglich der Nutzung von IKT-Drittanbietern und
- die Möglichkeit, vertragliche Vereinbarungen zu vereinheitlichen und die Zahl der Grenzfälle beim Risikomanagement für IKT-Drittparteien zu verringern.
Geschätzter Aufwand:
Entwurf: Mittel
Umsetzung: Groß (skaliert mit der Anzahl von IKT-Drittparteien und Verträgen)
4. Aktualisieren Sie Ihre Incident-Response-Prozesse, um die DORA-Anforderungen zu erfüllen, insbesondere im Hinblick auf die Meldung von Vorfällen
Begründung:
DORA verlangt nicht nur bestimmte Vorgehensweisen beim Incident Management (z.B. die Einbeziehung bestimmter Eigenschaften bei der Klassifizierung von Vorfällen, wie direkte und indirekte Schäden, betroffene Länder usw.), sondern auch, dass die Meldung von Vorfällen innerhalb eines kurzen Zeitraums erfolgt und detaillierte Informationen über den Vorfall enthält (beides muss noch von einem RTS festgelegt werden).
Chancen:
Eine frühzeitige Abstimmung des Incident-Response-Prozesses mit den Asset- und Informationsregistern ermöglicht
- sicherzustellen, dass alle für die Einstufung erforderlichen Informationen zur Verfügung stehen, und
- korrelierte Informationen, z.B. zur Festlegung einer risikobasierten Priorisierung für bedrohungsorientierte Penetrationstests, wiederzuverwenden.
Geschätzter Aufwand:
Entwurf: Mittel
Umsetzung: Groß (skaliert mit der Anzahl der Dienste)
5. Entwickeln Sie einen maßgeschneiderten Ansatz für die Prüfung der digitalen operationalen Resilienz
Begründung:
Der Umfang und Fokus der Tests der digitalen operationalen Resilienz können unter Berücksichtigung des Proportionalitätsprinzips und des Risikoprofils des Finanzunternehmens gewählt werden.
Chancen:
Implementieren Sie Tests zur digitalen Betriebsstabilität und
- nutzen Sie die Aufmerksamkeit aufgrund von DORA, um einen starken, risikobasierten Fokus auf IKT-Dienste zu legen, die einem tatsächlichen Risiko ausgesetzt sind, und
- verringern Sie den möglichen Gesamtaufwand, indem Sie bei der Durchführung einen Fokus auf kritische oder wichtige Systeme [2] legen.
Geschätzter Aufwand:
Entwurf: Mittel
Umsetzung: Sehr groß (skaliert mit der Anzahl der Dienste und insbesondere der Anzahl der kritischen oder wichtigen Dienste)
[1] Verglichen mit dem Gesamtaufwand, den Ihr Unternehmen zur Planung und Umsetzung aller DORA-Anforderungen benötigt
[2] Bitte beachten Sie, dass die Relevanz nicht nur von den geschäftlichen Auswirkungen einzelner Systeme abhängt, sondern auch die Möglichkeit der Bewegung von Angreifern zwischen kompromittierten Systemen („lateral movement“ bzw. „pivoting“) berücksichtigt werden muss.
Benötigen Sie Hilfe?
Auch wenn es so scheinen mag, als wäre noch viel Zeit für die Vorbereitung auf DORA übrig, empfehlen wir Ihnen, frühzeitig damit zu beginnen und Schritt für Schritt vorzugehen. Wir sind für Sie da, wenn Sie Hilfe brauchen oder Fragen haben.