DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), ist das zentrale IT-Governance Thema im Finanzsektor. Mit DORA hat sich die Europäische Union aufgemacht, eine Finanzsektor-weite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zu schaffen. Die Verordnung besteht aus folgenden fünf Säulen:

IKT-Risikomanagement
Ein risiko-basierter Rahmen der die IT-Governance sowie organisatorische Fähigkeiten im Bereich der IKT-Sicherheit bereitstellt, um das IKT-Risiko zu handeln und zu minimieren.

Management IKT-bezogener Vorfälle
Die Erkennung, Meldung und Behandlung von IKT-bezogenen Vorfällen an die Aufsicht

Testen der digitalen operationalen Resilienz
Es werden regelmäßige, verschiedene Tests von Ausfallsicherheitsmaßnahmen und kritischen Systemen gefordert, um die Cyberresilenz zu erhöhen.

IKT-Drittparteien Risikomanagement
Das IKT-Drittparteien Risikomanagement unterliegt nun einer fortgeschrittenen Überwachung. Ferner müssen die Drittparteirisiken nun entlang der kompletten Lieferkette verwaltet und gemonitort werden.

Austausch über Cy­ber­kri­sen- und Not­fall­übun­gen
Weiterhin soll DORA einer möglichen Wagenburg-Mentalität vorbeugen. Daher regt DORA an, dass Finanzunternehmen Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, einschließlich Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren

RTS/ITS

Neu ist mit DORA auch, dass die europäischen Aufsichtsbehörden technische Regulierungs- (RTS) und Durchführungsstandards (ITS) erlassen haben. Damit werden konkrete Maßnahmen beschrieben, wie Cybersicherheit, IKT-Risiken und digitale operationale Resilienz nach Best-Pratice-Ansatz gestaltet werden sollen.

Wir bieten:

Mit unserem breit aufgestellten Knowhow entlang der DORA-Wertschöpfungskette: (IKT-)Risiko-, Sicherheits-, Resilienz- und Compliance-Management sind wir jederzeit in der Lage, unsere Kunden auf dem Weg zur DORA-compliance zu unterstützen und zu beraten. Unsere mehrjährige Projekterfahrung in verschiedenen Governance-Themen hilft uns dabei, gezielt auf die Kunden-Bedürfnisse einzugehen. Insbesondere unsere Kenntnisse in der Providersteuerung helfen unseren Kunden, das Drittparteienrisiko entlang der Lieferkette risikobasiert und DORA-konform zu managen. Am Anfang aber steht normalerweise eine DORA-Gap-Analyse.

DORA-Gap-Analyse
Ohne in Analyse-Paralyse zu verfallen, starten wir mit einer Gap-Analyse, mit der wir den bestehenden Reifegrad der Governance des Kunden hinsichtlich DORA durchleuchten. Wir sind dabei Methoden-offen und unterstützen alle PDCA-Ansätze, die bereits genutzt werden, also z. B: ISO27xxx, BSI oder ITIL entsprechend den Ableitungen aus BAIIT, ZAIT oder VAIT. Auch Wunsch führen wir eine individuelle Gap-Analyse durch.

Umsetzung
Ausgehend von den genutzten Methoden stellen wir nach der Gap-Analyse die Governance unserer Kunden auf die fünf DORA-Säulen und machen SFO, Prozesse und Dienstleister-Verträge fit for DORA und das Unternehmen des Kunden resilienter gegen Cyberrisiken. Der Austausch mit 1st, 2nd Line und Stabsstellen ist dabei ein wesentlicher Bestandteil des Umsetzungsprojektes. Denn nicht nur das DORA Schulungen für alle Mitarbeitende inkl. des Managements fordert, sondern „geschultes [und involviertes] Personal trägt ebenfalls einen großen Beitrag zum Schutz vor Cyber-Angriffen bei. Der Mensch ist nicht Teil des Problems, sondern ist als Sicherheits-Faktor-Mensch Teil der Lösung.“ (BSI, entnommen 21.08.2024).