{"id":36690,"date":"2024-06-24T07:00:37","date_gmt":"2024-06-24T06:00:37","guid":{"rendered":"https:\/\/blog.frankfurt-school.de\/?p=36690"},"modified":"2024-10-30T16:29:34","modified_gmt":"2024-10-30T15:29:34","slug":"der-digital-operational-resilience-act-dora-ist-mehr-als-ein-auftrag","status":"publish","type":"post","link":"https:\/\/blog.frankfurt-school.de\/de\/der-digital-operational-resilience-act-dora-ist-mehr-als-ein-auftrag\/","title":{"rendered":"Der Digital Operational Resilience Act (DORA) ist mehr als ein Auftrag"},"content":{"rendered":"

Die Ziele des Digital Operational Resilience Act (DORA) der EU sind die St\u00e4rkung der digitalen Widerstandsf\u00e4higkeit durch die Integration robuster Sicherheits- und Risikomanagementpraktiken bei Banken und Finanzdienstleistern sowie deren IKT-Dienstleistern. DORA zielt darauf ab, IT-Prozesse zu verbessern und zu standardisieren, um eine h\u00f6here Resilienz gegen Cyberangriffe und technologische St\u00f6rungen zu gew\u00e4hrleisten. Zudem legt DORA gro\u00dfen Wert auf die Nutzung von Metriken und regelm\u00e4\u00dfige Bewertungen, um den diesbez\u00fcglichen Fortschritt zu messen und nachhaltige Verbesserungen in der digitalen Sicherheit sicherzustellen.<\/p>\n

DORA ist bis zum 17. Januar 2025 umzusetzen<\/h2>\n

Die darin enthaltenen Regelungen sind oft Erg\u00e4nzungen im Detail zu den von der BaFin ver\u00f6ffentlichten xAIT-Rundschreiben (BAIT, VAIT, KAIT, ZAIT) und anderer Regulierungen wie den Mindestanforderungen an das Risikomanagement (MaRisk) oder Aufsichtsrechtlichen Mindestanforderungen an die Gesch\u00e4ftsorganisation von Versicherungsunternehmen (MaGo).<\/p>\n

Die bisherigen Schutzsysteme haben weiterhin G\u00fcltigkeit<\/strong><\/h2>\n

Die xAIT-Rundschreiben werden, so Jan Kiefer von der IT-Aufsicht der BaFin<\/a>, aufgehoben. Dies ist vermutlich zum Januar 2025 der Fall, wenn DORA in Kraft tritt. Das bedeutet nicht, dass die Anforderungen, die in den xAIT ausbuchstabiert wurden, aufgehoben werden. Diese gelten bereits durch MaRisk, EBA-Leitlinien (respektive ESMA und EIOPA) und weiterer einschl\u00e4giger Anforderungen (BSI, ISO 270xx, NIST, \u2026), die sich das IKT-Risikomanagement und den Schutz von Daten und Systemen zum Ziel gesetzt haben.<\/p>\n

Die bisher auf Basis der xAIT aufgebauten Schutzsysteme sind also weiter hilfreich und erforderlich. Sie m\u00fcssen nun jedoch durch die zus\u00e4tzlichen Schwerpunkte und Detailanforderungen aus DORA erg\u00e4nzt werden.<\/p>\n

Weitere Schwerpunkte aus DORA f\u00fcr einzelne Unternehmensbereiche<\/h2>\n

Um DORA umfassend zu verstehen, ist es wichtig, sich mit den erg\u00e4nzenden Strategie-Anforderungen bez\u00fcglich der digitalen operationalen Resilienz und bez\u00fcglich der Zusammenarbeit mit Drittparteien vertraut zu machen. Zudem sollten alle \u201ekritischen\u201c Prozesse (Funktionen) als Hauptmerkmal zur risikobasierten Umsetzung der DORA-Anforderungen identifiziert werden.<\/p>\n

Auch Managementebenen stehen in einer weiterf\u00fchrenden Verantwortung. Hier greift zum Beispiel die Erf\u00fcllung von Schulungspflichten, auch f\u00fcr die Gesch\u00e4ftsleitung, sowie die m\u00f6glicherweise notwendige Anpassung der Organisationsstrukturen<\/a>, wie etwa die Etablierung einer IKT-Risikokontrollfunktion, die von bereits vorhandenen Funktionen im Informationsrisikomanagement nach BAIT gr\u00f6\u00dftenteils abgedeckt sind.<\/p>\n

Auf die Unternehmens-IT kommen besondere Ver\u00e4nderungen und Aufgaben zu. So m\u00fcssen im IT-Betrieb und in der operativen Informationssicherheit nach den Vorgaben der DORA zu Schutz- und Pr\u00e4ventionsma\u00dfnahmen und zum Testen der digitalen operationalen Resilienz (Verschl\u00fcsselung, Change-Management, Vorfall-Management, Netzwerkmanagement, Testen der digitalen operationalen Resilienz, \u2026) Erg\u00e4nzungen vorgenommen werden. Weiterhin m\u00fcssen zus\u00e4tzliche Ma\u00dfnahmen zum Aufbau eines angemessenen Systems zur Sicherstellung der Kontinuit\u00e4t (Notfallplanung) und zur dabei erforderlichen Kommunikation ergriffen werden.<\/p>\n

Ein weiteres wichtiges Themenfeld umfasst die Erweiterung des Vorfallmanagements und genauere Vorgaben zur Identifikation von Bedrohungen. Hierzu geh\u00f6ren auch Vorgaben zum Lernen aus Fehlern und die Identifikation von Schwachstellen. In Bezug auf die Finanzindustrie beinhaltet dies au\u00dferdem einen erweiterten Informationsaustausch.<\/p>\n

Weiterhin gilt es, die IT-Revisionspl\u00e4ne zu \u00fcberarbeiten sowie alle Drittparteienvertr\u00e4ge (hier liegen hohe Anforderungen vor) und die Prozesse zu Bewertung, Steuerung und \u00dcberwachung zu aktualisieren. Wobei hierzu in lediglich geringerem Umfang Zusatzanforderungen gegen\u00fcber der MaRisk oder EBA-Leitlinie gestellt werden. Eine Ausnahme ist die ge\u00e4nderte Basis zur Bewertung der Kritikalit\u00e4t.<\/p>\n

Bei allen Punkten ist zu beachten, dass Teile dieser Anforderungen m\u00f6glicherweise bereits durch das Proportionalit\u00e4tsprinzip abgedeckt wurden \u2013 sofern sie nun nicht als formeller Mindeststandard eingef\u00fchrt werden. Als Beispiele k\u00f6nnen die neuen Anforderungen an das Auslagerungsregister oder die Vertragsinhalte bei Drittparteienvertr\u00e4gen genannt werden. Auch bisher hat sich die Gesch\u00e4ftsleitung \u00fcber Cyberrisiken informieren m\u00fcssen, und es wurden Verschl\u00fcsselung, Netzwerksicherheit usw. je nach vorliegenden Risiken in \u00dcbereinstimmung mit g\u00e4ngiger Marktpraxis, umgesetzt. Der tats\u00e4chliche Handlungsbedarf jedes Instituts l\u00e4sst sich nur \u00fcber eine Gap-Analyse ermitteln.<\/p>\n

Bedeutung der xAIT-Rundschreiben<\/h2>\n

Schwerpunktthemen, wie sie in den xAIT-Rundschreiben ausf\u00fchrlicher als in DORA formuliert sind, d\u00fcrfen auch nach Aufhebung dieser Rundschreiben nicht vernachl\u00e4ssigt werden. Dies w\u00e4ren zum Beispiel:<\/p>\n