DORA, der Digital Operational Resilience Act, hält derzeit den gesamten europäischen Finanzsektor in Atem. Umfangreiche Anforderungen an die digitale Resilienz gehen mit der Verordnung der Europäischen Kommission einher und es bleibt nur noch weniger als 1 Jahr Zeit, diese im eigenen Unternehmen zu implementieren. Denn am 17. Januar 2025 wird DORA in vollem Umfang gültig und fordert, dass die wichtigsten Prozesse und Systeme zu diesem Zeitpunkt die gelisteten Anforderungen erfüllen.
Für Finanzinstitute und Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, heißt das: Schnellstmöglich Unternehmensprozesse mit den Anforderungen des DORA in Einklang bringen und einen Fahrplan für die Umsetzung entwickeln. Doch was sind sinnvolle erste Schritte?
Wir haben Dr. Christian Schwartz, Head of Security in Finance im Security Consulting Team der usd AG, gefragt, was er betroffenen Unternehmen rät:
„Mit DORA kommt einiges auf diese Unternehmen zu, das möchte ich gar nicht beschönigen. Aber mit rechtzeitiger Vorbereitung ist das zu bewältigen. Meinen Kunden rate ich immer, in drei Schritten vorzugehen: Start ist eine Vor-Analyse, gefolgt von einer Gap-Analyse und anschließend ein darauf ausgerichtetes Harmonisierungsprojekt.
Vergleichen wir die Vorbereitung auf DORA mit dem Vorhaben einen Berg zu erklimmen – oder zumindest ein Plateau mit einer wirklich guten Aussicht. Noch unten im Tal, also bevor wir überhaupt loswandern, sollten wir uns mit dem Ziel und dem zu erwartenden Terrain beschäftigen. Dies machen wir in der Vor-Analyse. Konkret auf Ihr DORA-Projekt bezogen bedeutet das: Wir verschaffen uns mit allen Beteiligten einen Überblick über die Anforderungen. Wir übertragen die Definition von „kritischen oder wichtigen Funktionen“ aus DORA auf die Funktionen Ihres Unternehmens. Handelt es sich um einen Großkonzern, müssen wir zudem noch klären, welche Geschäftseinheiten in den Geltungsbereich fallen. Und zuletzt widmen wir uns der Frage, von welchen anderen Sicherheitsstandards und nationalen Regulatoriken Ihr Unternehmen betroffen ist. Meist kann auf implementierte Systeme und Prozesse zur Erfüllung der ISO 27001 oder der BaFin-Rundschreiben wie BAIT oder KAIT gut aufgesetzt werden. Gegebenenfalls liegen sogar bereits Mappings auf diese Anforderungen vor, die herangezogen werden können.
Im Ergebnis haben also wir geklärt, wie das Ziel aussieht, wer mitkommt und was wir bereits alles im Gepäck haben bzw. noch bildlicher, an welchen Stellen uns von Treppen oder Seilbahnen der Anstieg erleichtert wird.
Nun wollen wir noch genauer wissen, welche Route wir wählen, welche Herausforderungen uns begegnen können und wie gut die Wandergruppe gerüstet ist. Dazu führen wir eine Gap-Analyse zu den DORA-Anforderungen durch. Diese erfolgt in Form von Dokumentensichtungen und Interviews mit Verantwortlichen. Ergebnis dieser detaillierten Analyse ist ein gutes Bild des zu erwartenden Aufwands. Sie liefert aber vor allem Umsetzungsoptionen, mithilfe derer auf höchster Managementebene die Richtung für die Umsetzung festgelegt werden kann (Action Plan).
Wichtig ist aber: Die Vorbereitung auf DORA muss immer mit einer gewissen Flexibilität angegangen werden. Denn genau wie es bei einer Bergwanderung immer vorkommen kann, dass etwas unseren Weg versperrt oder das Wetter umschwingt, so können sich bis Januar 2025 Anforderungen des DORA ändern. Beispielsweise durch die Finalisierung der technischen Durchführungsstandards (ITS) und technischen Regulierungsstandards (RTS).
Nach einem ausführlichen Briefing für das Management und mit einem geeigneten Action Plan für die Harmonisierung im Gepäck kann nun die operative Vorbereitung, also unser eigentlicher Anstieg, beginnen. Dabei lassen meine Kolleg*innen und ich Sie selbstverständlich nicht allein. Denn nun beginnt der harte Teil. Aber wir sind als Guide und Mitwanderer jederzeit an Ihrer Seite. Sprechen Sie uns gerne an.“
Kritische oder wichtige Funktionen nach DORA
Ein Großteil der Anforderungen des DORA greift auf IKT-Systeme, die kritische oder wichtige Funktionen unterstützen. Ein wichtiger Hebel zur effizienten und effektiven Umsetzung des DORA ist somit die richtige Identifikation der kritischen oder wichtigen Funktionen.
Eine „kritische oder wichtige Funktion“ ist laut DORA eine Funktion, deren Ausfall
DORA, Artikel 3 (22)
- die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder
- deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder
- seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.