Cyber Security – Strategie-Update & Aktuelle Entwicklungen zum Digital Operational Resilience Act

Der Digital Operational Resilience Act (DORA) regelt die Anforderungen zur Informationssicherheit und digitalen Resilienz der europäischen Finanzbranche neu, wobei in vielen Bereichen von DORA noch Präzisierungen durch die ESAs ausstehen. Dennoch sollten Banken bereits jetzt handeln und DORA als Chance wahrnehmen.

Die am 27.12.2023 veröffentlichten und per 17.01.2023 in Kraft getreten Anforderungen an die Informationssicherheit und digitale Resilienz richten sich an ein breites Spektrum von Unternehmen des Finanzsektors, darunter Banken und Anbieter von Dienstleistungen der Informations- und Kommunikationstechnologie (kurz IKT) wie Cloud-Anbieter und Betreiber von Rechenzentren. Sie werden ab dem 17.01.2025 Anwendung finden und haben zum Ziel, IKT-Risiken zu minimieren und ein hohes Niveau an Informationssicherheit für Finanzunternehmen und den europäischen Finanzsektor als Ganzes zu erreichen.

Bereits bestehende Regulierungen des europäischen Finanzsektors die Informationssicherheit betreffend werden durch DORA einerseits zusammengefasst und vereinheitlicht, andererseits erweitert und konkretisiert. Vor allem jedoch erhalten sie durch die Formulierung innerhalb eines EU-Rechtsrahmens deutlich mehr Gewicht.

In Kürze eine Auswahl der Anforderungen aus DORA

Governance und IKT-Risikomanagement

DORA schreibt die Verantwortung für das Management der IKT-Risiken der Leitungsebene zu und fordert von dieser mehr denn je Expertise im Bereich Informationssicherheit. Das IKT-Risikomanagement soll mit ausreichenden Ressourcen ausgestattet werden und umfasst die bekannten Bereiche Identifizierung, Schutz und Prävention, Erkennung, Reaktion und Wiederherstellung, Back-Up und Wiedergewinnung sowie kontinuierliche Weiterentwicklung. Zudem beabsichtigt DORA eine bessere Verzahnung des IKT-Risikomanagements mit der Gesamtbanksteuerung und dem Notfallmanagement.

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Management, Klassifizierung und Meldung von IKT-bezogenen Incidents sollen in einem ganzheitlichen Prozess erfolgen. Wenngleich Details wie Kritikalitätsgrenzen noch durch die ESAs näher zu spezifizieren sind, folgt diese Anforderungen einem bereits bekannten Schema. Zudem legt DORA den Finanzunternehmen den vertraulichen Informationsaustausch zu Cyber-Bedrohungen nahe.

Testen der digitalen operationalen Resilienz

DORA verpflichtet zu einem umfassenden Programm zum unabhängigen Testen der Wirksamkeit des IKT-Risikomanagements, welches unter anderem sogenannte Threat Lead Penetration Tests der kritischen Produktivsysteme vorsieht wie beispielsweise dem Kernbanksystem.

IKT – Drittparteienrisiko und Aufsicht von IKT-Drittdienstleistern

DORA stellt auch Anforderungen an das Management IKT-bezogener Risiken aus der Nutzung von IKT-Dienstleistungen, wobei hierunter ebenfalls Unterauftragnehmer der Dienstleister und Auslagerungen fallen. Ein prominentes Beispiel ist der Betrieb kritischer IT-Systeme wie dem Kernbanksystem innerhalb einer Cloud oder eines ausgelagerten Rechenzentrums. Hier sind Exitstrategien einzurichten, ausreichend zu testen und regelmäßig zu überprüfen, um die Beendigung vertraglicher Vereinbarungen ohne Unterbrechung des Geschäftsbetriebs zu gewährleisten.

Flankiert werden diese Forderungen durch ein Aufsichtsregime, unter das IKT-Servicedienstleister künftig gestellt werden. Zur Durchsetzung von Sicherheitsstandards werden den Behörden neben Audits Mittel der Sanktionierung an die Hand gegeben wie die Verhängung von Bußgeldern.

Die Forderungen von DORA legen klar die Intention dar, beim Management von Informationssicherheitsrisiken von Finanzunternehmen einen höheren Maturitätsgrad durchzusetzen. Besuchen Sie unser Fachforum auf dem Banking Summit 2023 Wien und erfahren Sie, wie Sie DORA als Chance nutzen.

Über den Autor

Dr. Bijan Afshordel führt seit über zehn Jahren Projekte für d-fine durch, bei Unternehmen der Finanzindustrie in den Bereichen Strategie, Risikomanagement und IT. Er leitet die Spezialisierung IT Governance und Security Consulting. d-fine ist ein europäisches Beratungsunternehmen mit Fokus auf analytische und quantitative Herausforderungen und die Entwicklung nachhaltiger technologischer Lösungen.

Veranstaltungstipp

Banking Summit Vienna: Der Banking Summit Vienna ist das führende DACH-Strategieforum zur Zukunft des Banking und vereint Senior Executives aus DACH-Banken, Neo-Banken und Spitzenvertreter:innen aus Regulatorik, Big- und Fin-Techs und Politik.