DORA Readiness Analyse

DORA verpflichtet Finanzdienstleistungsunternehmen, ein angemessenes IKT-Risikomanagementrahmenwerk einzurichten, das die Identifizierung, Bewertung, Überwachung, Meldung und Minderung von IKT-Risiken umfasst. Das Rahmenwerk sollte auf die Art, den Umfang, die Komplexität und das Gefährdungsprofil der Geschäftstätigkeit zugeschnitten sein und eine klare Zuteilung von Verantwortlichkeiten, eine angemessene Ressourcenzuweisung, eine wirksame Steuerung und Überwachung sowie eine regelmäßige Überprüfung und Aktualisierung umfassen.

Finanzdienstleistungsunternehmen müssen auch angemessene Sicherheitsmaßnahmen ergreifen, um die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität ihrer IKT-Systeme zu gewährleisten. Dazu gehört die Anwendung von branchenüblichen Standards, die Durchführung von Penetrationstests und Schwachstellenbewertungen, die Implementierung von Vorfallreaktionsplänen und die Sicherstellung von Datenwiederherstellungskapazitäten.

Im Bereich Incident Management beschreibt DORA wie Finanzdienstleistungsunternehmen mit IKT-Vorfällen umgehen und diese klassifizieren und melden sollen. IKT-Vorfälle sind Ereignisse, die zu einer Beeinträchtigung oder Unterbrechung der IKT-Dienste, -Systeme oder -Netzwerke führen oder führen könnten oder die die Vertraulichkeit, Integrität oder Verfügbarkeit der IKT-Assets gefährden. 

Finanzdienstleistungsunternehmen müssen eine interne Meldekette für IKT-Vorfälle einrichten, die angemessene Eskalationsverfahren, Mitteilungsmechanismen und Rollen und Verantwortlichkeiten beinhaltet. Sie müssen auch einen Prozess zur Ermittlung des Schweregrads von IKT-Vorfällen haben, der auf den Auswirkungen auf die Geschäftskontinuität, die Kunden, die finanzielle Stabilität und den Ruf basiert. Des Weiteren müssen schwerwiegende IKT-Vorfälle unverzüglich den zuständigen Behörden gemeldet werden. Dies soll dazu beitragen die gemeinsame Überwachung, Bewertung und Analyse von IKT-Vorfällen auf nationaler und EU-Ebene zu erleichtern und die Zusammenarbeit zwischen den verschiedenen Aufsichtsbehörden zu fördern.

Ein zentrales Thema der DORA ist das Testen der digitalen operationellen Resilienz. Hierbei soll die Wirksamkeit der IKT-Sicherheitsmaßnahmen und -Verfahren regelmäßig getestet und überprüft werden. Zu diesem Zweck müssen interne oder externe Tests durchgeführt werden, die auf einer Reihe von Szenarien basieren, die die Bedrohungen und Schwachstellen der IKT-Systeme und -Netzwerke widerspiegeln. Die Tests sollen die Fähigkeit der Finanzdienstleistungsunternehmen zur Erkennung, Verhinderung, Minderung und Behebung von IKT-Vorfällen und -Störungen bewerten. 

Einen besonderen Fokus legt DORA beim Testen der digitalen operationellen Resilienz auf TLPT. Dies steht für Threat-Led Penetration Testing, eine Methode zur Bewertung der IKT-Sicherheit von Finanzdienstleistungsunternehmen. Hierbei werden realistische Bedrohungsszenarien nachgebildet, die auf den Akteuren, den Zielen, den Taktiken und den Techniken basieren, die bei aktuellen Angriffen beobachtet werden. TLPT soll die Schwachstellen und Lücken in den Verteidigungsmechanismen identifizieren und Empfehlungen zur Verbesserung der digitalen operationellen Resilienz geben. Umfang und Häufigkeit eines TLPT werden dabei von der zuständigen Aufsichtsbehörde bestimmt.

DORA sieht vor, dass Finanzdienstleistungsunternehmen ihre IKT-Risiken überwachen und steuern müssen, insbesondere solche, die sich aus der Abhängigkeit von Dritten ergeben. IKT-Drittrisiken sind Risiken, die sich aus der Nutzung von oder dem Vertrauen auf IKT-Dienstleistungen, -Systeme oder -Netzwerke ergeben, die von externen Anbietern bereitgestellt werden. Dabei soll ein risikobasierter Ansatz verfolgt werden, um die IKT-Drittrisiken zu identifizieren, zu bewerten und zu mindern und dabei die Art, den Umfang und die Komplexität der Geschäftstätigkeit sowie die möglichen Auswirkungen auf die finanzielle Stabilität zu berücksichtigen. Beispielsweise müssen geeignete Due-Diligence-Verfahren vor einer vertraglichen Vereinbarung mit einem IKT-Drittdienstleister durchgeführt und im Nachgang regelmäßig kontrolliert werden. Außerdem muss sichergestellt werden, dass angemessene Kontroll- und Kontingenzmechanismen existieren, um die Kontinuität und Qualität der IKT-Dienstleistungen zu gewährleisten und auf etwaige Störungen oder Ausfälle zu reagieren.

Einen zentralen Aspekt zur Steuerung der Risiken im Zusammenhang mit IKT-Drittanbietern stellt auch das „Register of Information“ dar, welches ein übergeordnetes Inventar für IKT-Drittanbieter Dienste repräsentiert und unter anderem die Dokumentation der zugehörigen Wertschöpfungsketten erfordert, vor allem für Dienste, die kritische oder wichtige Funktionen unterstützen.