Die Ziele des Digital Operational Resilience Act (DORA) der EU sind die Stärkung der digitalen Widerstandsfähigkeit durch die Integration robuster Sicherheits- und Risikomanagementpraktiken bei Banken und Finanzdienstleistern sowie deren IKT-Dienstleistern. DORA zielt darauf ab, IT-Prozesse zu verbessern und zu standardisieren, um eine höhere Resilienz gegen Cyberangriffe und technologische Störungen zu gewährleisten. Zudem legt DORA großen Wert auf die Nutzung von Metriken und regelmäßige Bewertungen, um den diesbezüglichen Fortschritt zu messen und nachhaltige Verbesserungen in der digitalen Sicherheit sicherzustellen.
Die darin enthaltenen Regelungen sind oft Ergänzungen im Detail zu den von der BaFin veröffentlichten xAIT-Rundschreiben (BAIT, VAIT, KAIT, ZAIT) und anderer Regulierungen wie den Mindestanforderungen an das Risikomanagement (MaRisk) oder Aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo).
Die xAIT-Rundschreiben werden, so Jan Kiefer von der IT-Aufsicht der BaFin, aufgehoben. Dies ist vermutlich zum Januar 2025 der Fall, wenn DORA in Kraft tritt. Das bedeutet nicht, dass die Anforderungen, die in den xAIT ausbuchstabiert wurden, aufgehoben werden. Diese gelten bereits durch MaRisk, EBA-Leitlinien (respektive ESMA und EIOPA) und weiterer einschlägiger Anforderungen (BSI, ISO 270xx, NIST, …), die sich das IKT-Risikomanagement und den Schutz von Daten und Systemen zum Ziel gesetzt haben.
Die bisher auf Basis der xAIT aufgebauten Schutzsysteme sind also weiter hilfreich und erforderlich. Sie müssen nun jedoch durch die zusätzlichen Schwerpunkte und Detailanforderungen aus DORA ergänzt werden.
Um DORA umfassend zu verstehen, ist es wichtig, sich mit den ergänzenden Strategie-Anforderungen bezüglich der digitalen operationalen Resilienz und bezüglich der Zusammenarbeit mit Drittparteien vertraut zu machen. Zudem sollten alle „kritischen“ Prozesse (Funktionen) als Hauptmerkmal zur risikobasierten Umsetzung der DORA-Anforderungen identifiziert werden.
Auch Managementebenen stehen in einer weiterführenden Verantwortung. Hier greift zum Beispiel die Erfüllung von Schulungspflichten, auch für die Geschäftsleitung, sowie die möglicherweise notwendige Anpassung der Organisationsstrukturen, wie etwa die Etablierung einer IKT-Risikokontrollfunktion, die von bereits vorhandenen Funktionen im Informationsrisikomanagement nach BAIT größtenteils abgedeckt sind.
Auf die Unternehmens-IT kommen besondere Veränderungen und Aufgaben zu. So müssen im IT-Betrieb und in der operativen Informationssicherheit nach den Vorgaben der DORA zu Schutz- und Präventionsmaßnahmen und zum Testen der digitalen operationalen Resilienz (Verschlüsselung, Change-Management, Vorfall-Management, Netzwerkmanagement, Testen der digitalen operationalen Resilienz, …) Ergänzungen vorgenommen werden. Weiterhin müssen zusätzliche Maßnahmen zum Aufbau eines angemessenen Systems zur Sicherstellung der Kontinuität (Notfallplanung) und zur dabei erforderlichen Kommunikation ergriffen werden.
Ein weiteres wichtiges Themenfeld umfasst die Erweiterung des Vorfallmanagements und genauere Vorgaben zur Identifikation von Bedrohungen. Hierzu gehören auch Vorgaben zum Lernen aus Fehlern und die Identifikation von Schwachstellen. In Bezug auf die Finanzindustrie beinhaltet dies außerdem einen erweiterten Informationsaustausch.
Weiterhin gilt es, die IT-Revisionspläne zu überarbeiten sowie alle Drittparteienverträge (hier liegen hohe Anforderungen vor) und die Prozesse zu Bewertung, Steuerung und Überwachung zu aktualisieren. Wobei hierzu in lediglich geringerem Umfang Zusatzanforderungen gegenüber der MaRisk oder EBA-Leitlinie gestellt werden. Eine Ausnahme ist die geänderte Basis zur Bewertung der Kritikalität.
Bei allen Punkten ist zu beachten, dass Teile dieser Anforderungen möglicherweise bereits durch das Proportionalitätsprinzip abgedeckt wurden – sofern sie nun nicht als formeller Mindeststandard eingeführt werden. Als Beispiele können die neuen Anforderungen an das Auslagerungsregister oder die Vertragsinhalte bei Drittparteienverträgen genannt werden. Auch bisher hat sich die Geschäftsleitung über Cyberrisiken informieren müssen, und es wurden Verschlüsselung, Netzwerksicherheit usw. je nach vorliegenden Risiken in Übereinstimmung mit gängiger Marktpraxis, umgesetzt. Der tatsächliche Handlungsbedarf jedes Instituts lässt sich nur über eine Gap-Analyse ermitteln.
Schwerpunktthemen, wie sie in den xAIT-Rundschreiben ausführlicher als in DORA formuliert sind, dürfen auch nach Aufhebung dieser Rundschreiben nicht vernachlässigt werden. Dies wären zum Beispiel:
Auch hierzu gilt, dass im Sinne der Proportionalität die nun durch DORA explizit formulierten Anforderungen ohnehin berücksichtigt und angemessen umgesetzt werden mussten. Man kann hier, ohne dies zu bewerten, feststellen, dass die DORA-Regelungen durch ihre Detailtiefe weniger Spielraum als bislang belassen, um den jeweils eigenen Grad der Angemessenheit festzustellen. Für kleinere Institute wurden daher entsprechende Erleichterungen in Form eines vereinfachten Risikomanagementrahmens vorgesehen.
Nun müssen die DORA-Anforderungen nach derselben Logik umgesetzt werden wie dies bei den xAIT-Anforderungen geschah: Die explizit formulierten Anforderungen sind durch weitere für das eigene Institut notwendige und angemessene IKT-Risikomanagementelemente zu ergänzen und das sich ergebende Gesamtpaket nach gängiger Marktpraxis zu implementieren. Dies kann weiterhin am besten durch Rückgriff auf einschlägige Standards erfolgen, wie die EBA-IKT- und andere Leitlinien, ISO 270xx, NIST, BSI, etc. – und eben auch xAIT. Die bei der Frankfurt School of Finance & Management dazu angebotenen Seminare helfen, diese Herausforderung im praktischen Zusammenhang zu verstehen und schließlich zu meistern.