Am 17. Januar 2023 ist der Digital Operational Resilience Act (DORA) in Kraft getreten. Dieser Rechtsakt hat das Ziel, die Widerstandsfähigkeit des gesamten Finanzmarktes zu stärken. Die Anforderungen hieraus sind bis zum 17. Januar 2025 umzusetzen. Der Umfang der Anforderungen ist insgesamt so groß, dass Finanzunternehmen vor erheblichen Herausforderungen mit Blick auf das Ende der Umsetzungsfrist im Januar 2025 stehen. In diesem Artikel werden die wesentlichen Themenfelder der DORA vorgestellt, Handlungsempfehlungen ausgesprochen und aufgezeigt, welche Schritte jetzt dringend notwendig sind, um die Compliance fristgerecht zu erreichen.
DORA kurz erklärt
Die Finanzindustrie ist seit langem vor der Gefahr durch Cyberangriffe gewarnt worden. Die Finanzmärkte stellen für die Gesellschaft eine kritische Infrastruktur dar – ohne Banken und Börsen beispielsweise würden der Geldverkehr, der Handel und die Wirtschaft zusammenbrechen. Um das Risiko eines Cyberangriffs zu verringern, hat die Europäische Kommission in den vergangenen zwei Jahren einen ambitionierten Plan erarbeitet, ein Bestandteil ist DORA.
Das DORA-Paket zielt laut EU auf drei Kernziele ab: die Vereinheitlichung bestehender europäischer und nationaler Standards, die Sicherstellung einer ausreichenden Absicherung gegen Cyberrisiken und das Etablieren eines Rechtsrahmens für die direkte Überwachung von kritischen IT-Dienstleistern (im Gesetz „IKT-Drittanbieter“ genannt).
Die DORA-Richtlinie wird ergänzt durch Regulierungs- und Umsetzungsstandards (RTS/ITS) und in Deutschland durch das FinmadiG (Finanzmarktdigitalisierungsgesetz). Darüber hinaus sind weitere regulatorische Entwicklungen mit zu betrachten wie der EU AI Act. Viele Finanzinstitute haben bereits Gap-Analysen durchgeführt und die Umsetzungsprojekte aufgeplant und gestartet. Falls nicht schon erfolgt, ist für alle spätestens jetzt der Zeitpunkt gekommen, das eigene DORA-Programm mit Blick auf die Umsetzung zu überprüfen und die notwendigen Aktivitäten anzustoßen bzw. weiter voranzutreiben. Ein Beispiel für den Einsatz eines Gap-Analyse-und Tracking-Tools für die Umsetzung ist JIRA, zu dem Sie auf den folgenden Seiten weitere Informationen erhalten.
Benchmark-Erfahrungen aus Gap-Analysen
Werfen wir einen Blick auf die Ergebnisse unserer DORA Gap-Analysen, die wir seit 2022 bei Finanzinstituten in Deutschland und weiteren EU-Ländern durchgeführt haben. Unsere Erfahrungen resultieren aus über 50 durchgeführten Gap-Analysen und stellen damit eine aktuelle Bestandsaufnahme der DORA-Compliance im Markt dar.
Die Untersuchungen zeigen, dass größere Finanzinstitute bereits über eine höhere Compliance-Abdeckung verfügen als kleinere und mittelgroße Unternehmen. Lediglich rund 32 % der DORA-Anforderungen sind in den Finanzinstituten bereits vollständig umgesetzt. Unsere Analysen zeigen, dass im Hinblick auf das IKT-Drittparteien-Risikomanagement der höchste Anpassungsbedarf besteht – insbesondere in Bezug auf das Informationsregister sowie die Anpassung der Verträge. Generell besteht Handlungsbedarf in allen vier DORA-Themenfeldern.
Um die DORA-Compliance bis Januar 2025 zu erreichen, sind eine Fokussierung auf wesentliche Aspekte und eine Priorisierung der Umsetzung erforderlich. Im folgenden Abschnitt wird die DORA-Implementierung detailliert beleuchtet.
DORA-Methodologie
Zur Erreichung der DORA-Compliance sollte ein Zielbild für das zukünftige Operating Model entwickelt werden, das ein nachhaltiges IKT-Risikomanagement etabliert. Die Abbildung auf der nächsten Seite zeigt dieses ganzheitliche Modell für Finanzunternehmen gemäß der KPMG-DORA-Methodologie. Die wichtigsten Themen sind nach den Dimensionen Strategie & Governance, Leitlinien, Prozesse und Tools dargestellt. Ein zentraler Bestandteil ist der Kontrollkatalog, der die DORA-Anforderungen abbildet und die Umsetzung überwacht.
Zur Umsetzung der DORA-Anforderungen muss zunächst ein Managementrahmen etabliert werden, bevor die Operationalisierung erfolgen kann. Verschiedene Tools können hierbei unterstützen.
Umsetzung des IKT-Risikomanagements
Ein Grundelement des IKT-Risikomanagementrahmens ist die Schaffung eines internen Governance- und Kontrollrahmens unter Einbeziehung des Leitungsorgans. Ein weiteres zentrales Element ist die Anpassung vorhandener oder die Erstellung neuer Leitlinien, um die Resilienz im Finanzunternehmen zu stärken. Für die Erarbeitung besteht erfahrungsgemäß ein hoher Abstimmungsbedarf zwischen den beteiligten Disziplinen Informationssicherheit, Informationsrisikomanagement, IT-Notfallmanagement und IKT-Drittparteienrisikomanagement sowie zwischen 1st und 2nd Line of Defense und sollte daher besonders frühzeitig begonnen werden. Bestehende Prozesse sind um neue Anforderungen zu erweitern oder neu aufzusetzen. Es ist sicherzustellen, dass der IKT-Risikomanagementrahmen adäquat umgesetzt wird, dazu ist eine DOR-Strategie festzulegen. Diese legt Methoden zum Umgang mit IKT-Risiken – wie zum Testen oder Erkennen von IKT-Vorfällen – und zur Erreichung definierter IKT-Ziele – wie zur Informationssicherheit und IKT-Referenzarchitektur – fest. Für eine automatisierte Handhabung dieser Prozesse, die Schaffung von Transparenz über die Disziplinen hinweg und das Managen der IKT-Risiken stehen spezielle Governance, Risk und Compliance (GRC) Tools oder analoge Lösungen. Diese werden bereits heute in einzelnen oder mehreren Disziplinen eingesetzt und rücken aufgrund der vielfältigen zusätzlichen Anforderungen sowie der Notwendigkeit einer integrierten Sicht als Umsetzungsoption in den Fokus. Auf den folgenden Seiten werden die Einsatzmöglichkeiten von GRC-Tools am Beispiel von ServiceNow näher erläutert.
Management IKT-bezogener Vorfälle
Es ist notwendig, eine Kommunikationsstrategie auf höchster Ebene zu entwickeln und die Rollen und Verantwortlichkeiten im Umgang mit solchen Vorfällen anzupassen. Im Bereich der Richtlinien bedeutet dies die Einführung neuer Klassifizierungskriterien und Schwellenwerte zur Identifizierung schwerwiegender IKT-bezogener Vorfälle, die auch die Grundlage für eine angemessene Priorisierung bilden. Eine Überarbeitung der Prozesse zur Überwachung, Handhabung und Nachverfolgung von IKT-bezogenen Vorfällen ist ebenfalls unerlässlich, um effektiv auf solche Vorfälle reagieren zu können. Darüber hinaus ist die Einrichtung eines Prozesses zur Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden erforderlich, um den Meldepflichten angemessen nachzukommen. Eine Erstmeldung muss innerhalb von 24 Stunden, eine Zwischenmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats an die Behörde erfolgen. DORA verlangt die Etablierung angemessener Lessons Learned-Prozesse, u.a. nach IKT-bezogenen Vorfällen, um aus der Vergangenheit zu lernen und sich für die Zukunft besser aufzustellen. Insgesamt sind diese Maßnahmen unerlässlich, um die Resilienz gegenüber IKT-bezogenen Vorfällen zu erhöhen und im Falle eines Vorfalls angemessen reagieren zu können.
Testen der digitalen operationalen Resilienz
In diesem Themenfeld wird ein integriertes DOR-Testprogramm gefordert, das verschiedene Testarten wie Schwachstellenscans, Netzwerksicherheitsanalysen, Quellcodeüberprüfungen, Performancetests und physische Sicherheitstests umfasst. Das DOR-Testprogramm ist nach einem risikobasierten Ansatz unter Berücksichtigung der Kritikalität der Information Assets zu entwickeln und umzusetzen. Darüber hinaus ist die Erstellung eines risikobasierten Testplans für die Simulation realer Cyber-Angriffe (Threat-led Penetration Tests) für eine Auswahl von Unternehmen erforderlich, die seitens der Behörden nach Bedeutung für die Stabilität des Finanzmarktes erfolgt. Dabei sind auch die Anforderungen an den Einsatz externer Tester einschließlich der diesbezüglichen vertraglichen Regelungen zu berücksichtigen. Entscheidend ist die adäquate Durchführung aller von DORA geforderten Tests, um Schwachpunkte zu identifizieren und Handlungsbedarf abzuleiten. Hierfür eignen sich wiederum verschiedene Tools, was für Teilbereiche am Beispiel des Tools WIZ auf den folgenden Seiten näher erläutert wird.
Management IKT-Drittparteienrisiken
Um den Risiken einer Abhängigkeit von IKT-Dienstleistern vorzubeugen, ist eine Überarbeitung der Klassifizierung und Risikoanalyse von IKT-Dienstleistungen erforderlich. Dabei ist auch das Konzentrationsrisiko zu bewerten. Für die Beurteilung der Eignung von IKT-Drittdienstleistern (Due Diligence) sind in der Regel prozessuale Anpassungen erforderlich. Darüber hinaus ist ein Informationsregister mit erweiterten Angaben über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zu erstellen. Die allgemeinen Vertragsbedingungen für IKT-Dienstleistungen (Standardvertragsklauseln und Vertragsmuster) sind zu überprüfen und ggf. anzupassen sowie die erforderlichen Nachverhandlungen der Vertragsbedingungen für alle IKT-Dienstleistungen durchzuführen. Des Weiteren sind ganzheitliche Lösungen für das Exit-Management zu entwickeln, dies ist die Definition von Exit-Strategien und Exit-Plänen für IKT-Dienstleister, die kritische und wichtige Funktionen eines Finanzunternehmens unterstützen, um einen reibungslosen Ausstieg aus Vertragsverhältnissen zu gewährleisten.
Umsetzung unter Zeitdruck: Institute müssen priorisieren
Bis zum Auslaufen der Umsetzungsfrist bleibt nicht mehr viel Zeit. Deshalb müssen Finanzinstitute priorisieren. Richtschnur sollte dabei die Risikoorientierung in der Umsetzung der Aktivitäten sein, die das Fundament für ein resilientes Unternehmen bilden. Dazu gehören die folgenden:
- Grundlage für die Festlegung der Risikoorientierung ist die Definition der kritischen oder wichtigen Funktionen. Daraus ergibt sich wiederum die Priorisierung der Folgeaktivitäten in Bezug auf die zugehörigen IKT-Assets und IKT-Services.
- Die Governance ist mit Rollen und Verantwortlichkeiten so festzulegen, dass eine integrierte Herangehensweise über die beteiligten Disziplinen hinweg erreicht werden kann.
- Die Erstellung eines Inventars über alle IKT-Drittdienstleister im Unternehmen und Prüfung der Verträge auf DORA-Konformität ist voranzutreiben. Dies und die Erstellung von Standardvertragsklauseln sind notwendig, um die Verhandlung der betroffenen Verträge rechtzeitig starten zu können.
Fazit
Die Zeit ist angesichts der umfassenden Aufgaben zur Erreichung einer angemessenen digitalen Resilienz im Unternehmen knapp. Unsere DORA-Methodologie bietet einen Rahmen für die Kernelemente in der Umsetzung. Diese sind entsprechend der Kritikalität der Prozesse, IKT-Assets sowie IKT-Drittanbieter des jeweiligen Finanzunternehmens priorisiert voranzutreiben, um bis Januar 2025 die wesentlichen Grundlagen für die DORA-Compliance herstellen zu können.
Die Autorinnen:
Vaike Metzger ist Partnerin bei der KPMG AG Wirtschaftsprüfungsgesellschaft im Bereich Financial Services. Sie verantwortet in Deutschland den Servicebereich IT Compliance und global die DORA-Aktivitäten.
Stefanie Fekonja ist Senior Managerin bei der KPMG AG Wirtschaftsprüfungsgesellschaft im Bereich Financial Services und koordiniert die globalen DORA-Aktivitäten.