Sich auf die neue DORA-Regelung vorbereiten

02 Juli 2024

Interview mit Aline Moyret, GRC Practice Manager & Christophe Ruppert, Lead Advisor Business Continuity Management

Die neue EU-Verordnung DORA (Digital Operational Resilience Act) wird am 17. Januar 2025 in Kraft treten. Sie stellt eine große Herausforderung dar: Die betriebliche Widerstandsfähigkeit der Finanzakteure im Cyberspace soll durch die Harmonisierung der diesbezüglichen Anforderungen auf EU-Ebene unterstützt werden. Für die Business Line Consulting von DEEP werden die betroffenen Akteure mit neuen Kapazitäten konfrontiert, um die Kontinuität ihrer Dienstleistungen zu gewährleisten.

DORA, der neue Standard für digitale betriebliche Ausfallsicherheit in Europa

Die neue Verordnung über die digitale Betriebsfestigkeit (Digital Operational Resilience Regulation, DORA) des Finanzsektors wurde Ende 2022 vom europäischen Gesetzgeber verabschiedet. Sie wird im Januar 2025 in Kraft treten und verpflichtet die europäischen Finanzakteure dazu, eine Reihe von Maßnahmen zu ergreifen, um die Kontinuität ihrer Dienstleistungen und im weiteren Sinne ihre Widerstandsfähigkeit in der digitalen Welt zu gewährleisten. In diesem Bereich hatten die nationalen Regulierungsbehörden, wie die CSSF oder die CAA in Luxemburg, und die internationalen Aufsichtsgremien, wie die EBA oder die EIOPA, bereits eine Reihe von Anforderungen und bewährten Verfahren aufgestellt, die es zu befolgen galt", erklärt Aline Moyret. DORA erweitert diese Wohlverhaltensregeln im digitalen Bereich. Eine europäische Verordnung, wie DORA oder die DSGVO, gilt einheitlich in der gesamten Union, ohne dass sie in nationales Recht umgesetzt werden muss. De facto wird dieser neue Text also dazu beitragen, die Regeln für die Unternehmensführung und das Risikomanagement zu harmonisieren, die mit der Nutzung digitaler Ressourcen zur Unterstützung von Finanzaktivitäten einhergehen." 

Mit der DORA-Verordnung Risiken besser verstehen, um richtig darauf zu reagieren

Überwachung von Dienstleistern im IKT-Bereich

Da die Abhängigkeit der Berufe von der Technologie immer mehr zunimmt, wollte der europäische Gesetzgeber das Bewusstsein schärfen und den Akteuren des Finanzsektors im weitesten Sinne einen Arbeitsrahmen auferlegen. Hier", so Christophe Ruppert, "zielt die DORA-Verordnung darauf ab, sicherzustellen, dass jeder in der Lage ist, jeden möglichen Vorfall zu bewältigen und bereit ist, ihn zu überwinden, indem er die Auswirkungen auf das Geschäft begrenzt".  Die Risiken sind in der Tat vielfältig. Die meisten denken dabei an die IT-Sicherheit, die darauf abzielt, die digitalen Vermögenswerte der Organisation vor böswilligen Personen zu schützen, aber es müssen auch andere Überlegungen angestellt werden, insbesondere in Bezug auf kritische IKT-Drittanbieter (CTPP). "Der Betrieb hängt immer häufiger von IT-Ressourcen ab, die von externen Partnern und Auftragnehmern verwaltet werden. Es stellt sich die Frage, welche Konsequenzen ein fehlender Anbieter aus der Perspektive der Zusammenstellung der Wertschöpfungskette haben könnte", kommentiert Christophe Ruppert. Durch DORA, das formell das Konzept der Widerstandsfähigkeit einführt, will die Regulierungsbehörde alle Akteure dazu verpflichten, diese Risiken besser zu verstehen und die geeigneten Mittel einzusetzen, um darauf zu reagieren, aber auch, sie unter realen Bedingungen zu testen."

Die DORA-Verordnung beschleunigt die Verlagerung von Aktivitäten in die Cloud 

So fällt auch die Ausfallsicherheit der in die Cloud verlagerten Prozesse und Arbeitslasten (Workloads), insbesondere der öffentlichen Cloud, ihrer IaaS-, PaaS- und SaaS-Dienste, weitgehend in den Zuständigkeitsbereich von DORA. DORA geht also viel weiter als die Vorhersage eines Rückschritts bei den Strategien zur Einführung oder Verstärkung der Cloud. Die Richtlinie gebietet eine Kultur der Agnostik oder der Übertragbarkeit der Cloud(s) oder anderer ausgelagerter Dienste. Eine echte Herausforderung... 

Die 5 Säulen der DORA-Verordnung (Digital Operational Resilience Act)

DORA ist auf fünf Säulen aufgebaut, um den Finanzsektor auf dem Weg zu einer besseren Widerstandsfähigkeit zu unterstützen. 

  1. IKT-Risikomanagement: Das Management von IT-Risiken, ausgehend von einer Ad-hoc-Governance, die beispielsweise Risikoanalysemechanismen, Ressourcenkartierungen oder Business-Continuity-Pläne umfasst. 
  2. Die Meldung von Vorfällen: Die Finanzinstitute sind an eine Reihe von Berichtsanforderungen im Zusammenhang mit Vorfällen gebunden, bei denen Informations- und Kommunikationstechnologien (IKT) zum Einsatz kommen.
  3. Tests: DORA sieht ein System vor, mit dem die digitale Widerstandsfähigkeit von Organisationen getestet werden kann, insbesondere durch den Einsatz eines Red Teams, das die Reaktion der beaufsichtigten Stellen auf Vorfälle bewerten soll. 
  4. Risikomanagement für Dritte: Ein wichtiges Kapitel ist dem Risikomanagement für Auftragnehmer oder der Nutzung externer Ressourcen, wie z. B. der Cloud, gewidmet. 
  5. Der Austausch von Informationen und Erkenntnissen: Um allen Beteiligten ein besseres Verständnis der Risiken und Bedrohungen zu ermöglichen. 

DORA in Europa, ein geeigneter Rahmen für die Umsetzung bewährter Praktiken

Durch DORA wird die Regulierungsbehörde bewährte Praktiken angleichen und neue Anforderungen an die Finanzakteure einführen. "Für die meisten Akteure beginnt man glücklicherweise nicht bei Null. Man muss in Betracht ziehen, was bereits vorhanden ist und wie man seine Widerstandsfähigkeit auf der Grundlage einer verfeinerten Risikosteuerung effektiv stärken kann", kommentiert Christophe Ruppert. In diesem Sinne stützt sich DEEP auf einen standardisierten Ansatz, um den Akteuren bei der Bewältigung dieser Herausforderungen zu helfen. Wir bieten unseren Kunden Fachwissen und einen Rahmen für die Umsetzung von Best Practices in den Bereichen Ausfallsicherheit und Geschäftskontinuität. Dies beginnt mit einer Bewertung der Reife der Akteure in Bezug auf Normen wie ISO 22301, die sich auf die Geschäftskontinuität bezieht, oder ISO 27001, die sich auf das Management der Informationssicherheit bezieht." . Dieser Ansatz wird durch eine bereichsübergreifende Analyse ergänzt", ergänzt Aline Moyret. Das Ziel ist es, sicherzustellen, dass für eine identifizierte Bedrohung die vorhandenen Vorkehrungen für Kontinuität und Cybersicherheit vollständig und kohärent sind, von der Risikoanalyse bis zur operativen Reaktion."

DORA: Stärkung des gesamten Ökosystems auf der Grundlage einer gemeinsamen Basis 

DORA sichert Daten innerhalb von Finanzinstituten und Auftragsverarbeitern

Der Ansatz besteht darin, die verschiedenen Risiken zu identifizieren, ihre Auswirkungen auf die Geschäftstätigkeit zu bewerten und die entsprechenden Reaktionen umzusetzen. "Man kann insbesondere an die Formalisierung der Verfahren für das Krisenmanagement denken", sagt Christophe Ruppert. Es ist nicht ungewöhnlich, dass diese Verfahren bereits innerhalb des Unternehmens existieren, aber ihre Formalisierung ist entscheidend. Das Ganze muss den geschäftlichen Herausforderungen Rechnung tragen, gemäß dem Grundsatz der Verhältnismäßigkeit, der im Rahmen dieser Vorschriften vorherrscht. "DORA verlangt von den Akteuren, ihre Risiken besser zu überwachen und zu steuern, um die Geschäftstätigkeit zu erhalten. Wenn diese Regelung darauf abzielt, systematische Risiken zu begrenzen, unterstützt sie auch den Fortbestand jedes einzelnen Akteurs", kommentiert Aline Moyret. Indem sich DORA indirekt auf Subunternehmer ausdehnt, da die regulierten Einheiten die Garantien für die Kontinuität dieser Subunternehmer sicherstellen müssen, trägt sie zur Stärkung des gesamten Ökosystems bei."

Anordnungen in Übereinstimmung mit den Richtlinien von DORA

Um Organisationen bei der Stärkung ihrer Widerstandsfähigkeit zu helfen, hat DEEP nicht nur Unterstützung angeboten, sondern auch eine Reihe von Dienstleistungen und Werkzeugen entwickelt, um den Prozess zu industrialisieren. Das Cyber-Resilienz-Portal beispielsweise erleichtert die Verwaltung und den Austausch von Informationen über Risiken und Reaktionen, um die verschiedenen Auswirkungen auf die Geschäftskontinuität der Organisation (Regulierung, Betrieb, Image und Ruf, Umsatz) zu bewerten und die Geschäftskontinuität kontinuierlich zu verbessern.   

DEEP begleitet Unternehmen im Finanzsektor

Schließlich bietet DEEP Dienstleistungen an, die eine operative Antwort auf die Anforderungen oder bestimmte Risiken der Richtlinie darstellen. Die Business Line Cybersecurity bietet über die Dienste SOC (Security Operations Centre) und CSIRT eine operative Antwort zur Erkennung und Reaktion auf Cybervorfälle. Das COS-Team (Cybersecurity Offensive Security) bietet Red-Team-Dienste an, mit denen die Widerstandsfähigkeit getestet werden kann. DEEP unterstützt seine Kunden bei der Entwicklung von widerstandsfähigen Umgebungen, die den Compliance-Anforderungen gerecht werden. 

Unsere Experten beantworten Ihre Fragen

Sie haben Fragen zu einem der Artikel? Sie brauchen Beratung, um die richtige Lösung für Ihre ICT-Probleme zu finden?

Unsere zugehörigen Lösungen

Data & AI

Nutzen Sie Ihre eigenen Daten, um strategische Entscheidungen zu treffen.

Die Lösung entdecken

Cloud Consulting

Die Cloud ist das Herzstück jeder digitalen Strategie und drängt sich an den Schnittstellen Ihrer geschäftlichen Herausforderungen auf.

Die Lösung entdecken

Cyber-Resilienz

Unsere Experten für Cyber-Resilienz zu Ihren Diensten.

Die Lösung entdecken