Ähnlich wie im fast gleichnamigen Animationsfilm, im dem Doktorfisch Dorie die eigene Familie sucht, sind auch bei der Implementierung des „Digital Operational Resilience Act“ (DORA) die Aspekte „Suchen und Verorten“ sowie „Identifizieren und Erkennen“ zentrale Themen. Bei der EU-Verordnung 2022/2554 geht es jedoch nicht um exotische Fische, sondern um Zuständigkeiten und Verantwortung im Bereich IT- und Cyber-Sicherheit.
DORA? Bitte hinten anstellen…
Der Digital Operational Resilience Act (DORA) wurde Ende 2022 vom Europäischen Parlament mit einem Umsetzungszeitraum von zwei Jahren verabschiedet. Obwohl externe Berater frühzeitig auf die damit verbundenen Anforderungen hingewiesen haben, wurde DORA aufgrund konkurrierender interner und externer Bedarfe in den betroffenen Unternehmen oft nach hinten priorisiert. Der zweijährige Umsetzungszeitraum schien komfortabel, aber die Zeit vergeht schnell und 2025 ist näher als erwartet.
Doch DORA bedeutet nicht nur Regulatorik, sondern die Umsetzung der Anforderungen schützt auch vor realen Bedrohungen. Digitale Resilienz und der Schutz von Daten und IKT-Systemen stehen dabei im Fokus. Während die Öffentlichkeit oft nur erfolgreiche Cyberangriffe wahrnimmt, werden tatsächlich viele Angriffe täglich abgewehrt. DORA zielt darauf ab, EU-weit einheitliche Cybersicherheit und Datenschutzmaßnahmen voranzutreiben. Unternehmen sollten sich dem nicht entziehen, sondern aktiv daran arbeiten.
Der Weg allein ist nicht das Ziel!
Die erste und auch fortwährende Hürde besteht darin, die Sinnhaftigkeit von DORA im Unternehmen zu fördern bzw. ein Verständnis für die Dringlichkeit der Umsetzung zu schaffen. Auch wenn nicht jede Organisation mit der gleichen Anzahl an externen und internen Anforderungen zu kämpfen hat (KMU vs. KRITIS), ist der „Umsetzungsdruck“ insofern ähnlich, da neben all den Anforderungen schließlich auch noch das „eigentliche“ Geschäft betrieben werden muss.
Die Abstimmung zwischen den hochspezialisierten Fachbereichen, die alle an DORA mitwirken müssen, ist zeitaufwändig und teilweise extrem kleinteilig. Ein Projekt mit Projekt Management Office (PMO) ist sicher nicht der einzige, aber wahrscheinlich der beste Weg, um eine stabile Abstimmungsbasis zu schaffen. Auch die gute alte Excel-Tabelle darf wieder ausgepackt werden, allein um die schiere Masse an Anforderungen und Verantwortlichkeiten überhaupt erst einmal handhabbar zu machen.
Vor einem ambitionierten Start ist jedoch genau zu prüfen, ob die Umsetzung im Betrieb von vorgelagerten Entscheidungen abhängt. Mit anderen Worten: DORA „top down“-Ansatz. So sollte beispielsweise die Strategie die initiale Marschrichtung vorgeben, so müssen unter anderem kritische Funktionen definiert werden, denn wie sonst soll die notwendige Informations- und Kommunikationstechnik identifiziert werden, ohne über das Ziel hinauszuschießen? Andernfalls besteht die Gefahr, dass durch das „Gießkannenprinzip“ unnötiger Aufwand und Kosten entstehen.
DORA ist nicht nur eine lästige Pflicht, sondern bietet auch die Chance, die digitale Widerstandsfähigkeit des Finanzsektors zu stärken und regulatorische Anforderungen effizienter zu verwalten, da DORA einen einheitlichen Rahmen für das Management von Cybersicherheits- und IKT-Risiken schafft und durch die Zusammenführung und Vereinheitlichung verschiedener regulatorischer Anforderungen für den Finanzsektor eine Konsolidierung stattfindet.
Wesentlich für die spätere konkrete Umsetzung von DORA ist das genaue Verständnis der einzelnen Anforderungen. Zum einen, weil Begriffe häufig bereits in anderen Zusammenhängen definiert sind und zum anderen, weil Vorgänger von DORA, wie insbesondere die „Bankenaufsichtlichen Anforderungen an die IT (BAIT)“, einen ähnlichen Fokus haben und die Anforderungen damit weitestgehend erfüllt scheinen. DORA geht jedoch grundsätzlich weiter bzw. fordert die Unternehmen zu einer ganzheitlicheren Betrachtung der Informations- und Kommunikationstechnik (IKT) auf. Auch die Einbindung externer IKT-Anbieter klingt einfacher, als es in der betrieblichen Praxis ist. So kann es notwendig sein, Verträge anzupassen, neu zu verhandeln oder in Einzelfällen die Zusammenarbeit zu beenden.
Widerspruch oder Kongruenz?
Es gibt eine Vielzahl von Begriffen rund um BCM und IKT-Sicherheit. Business Continuity Management (BCM) umfasst zeitkritische Prozesse und Aktivitäten. Sanierungs- und Abwicklungspläne berücksichtigen kritische Funktionen und Core Business Lines. BAIT-Richtlinien betreffen kritische Infrastruktur und sicherheitsrelevante Systeme, während DORA sich auf wichtige Funktionen bezieht.
Die Harmonisierung dieser kritischen Begriffe ist nicht nur eine semantische Übung für eine konsistente, schriftlich fixierte Ordnung, sondern vielmehr eine Chance, mit übereinander gelegten Definitionen einen einheitlichen und übergreifenden Risikomanagement-Rahmen zu schaffen.
Effektives Projektmanagement ist der Schlüssel zur erfolgreichen Einführung von DORA, indem es klare Ziele setzt, Ressourcen optimal nutzt, die Zusammenarbeit fördert, Risiken managt und die Stakeholder einbindet.
The time is now!
Natürlich gilt auch für DORA: Es gibt keine Musterlösung, es müssen und dürfen individuelle Lösungen gefunden werden. Das ist zwangsläufig Fluch und Segen zugleich: Die Regulierung gibt wie immer ein mehr oder weniger klares Zielbild vor, aber selten den Weg dorthin. Ohne ein gewisses Maß an Entscheidungsbereitschaft und gegebenenfalls auch Mut, Prozesse anzupassen oder beizubehalten, geht es nicht. Denn eine zusätzliche Hürde bleibt natürlich, dass es noch keine Erfahrungswerte sowohl für die interne als auch für die externe Beurteilung der Angemessenheit gibt. Mit anderen Worten: Wie eine Aufsicht bei einer möglichen Prüfung reagieren könnte, ist heute nur sehr eingeschränkt abschätzbar. Einzig die Erwartungshaltung ist klar: DORA muss bis zum Ende der Übergangsfrist umgesetzt sein.
Auf den ersten Blick scheint DORA zunächst nur eine weitere von vielen regulatorischen Anforderungen zu sein, deren Abarbeitung unumgänglich ist. Allerdings wird hier ein unternehmensweiter, ganzheitlicher Ansatz gefordert, der – nach erfolgreicher Umsetzung – auch Potenziale bietet, die Verzahnung von Managementsystemen konsequent voranzutreiben und damit Effizienzen zu heben. An dem mehr als notwendigen Ziel der IKT- und Datensicherheit kommt in einer digitalisierten Welt ohnehin kein Unternehmen mehr vorbei. Der zur Verfügung stehende Zeitraum ist zwar mittlerweile überschaubar, aber noch können die Segel in die richtige Richtung gesetzt werden. Im Sinne eines Happy Ends: Auch Dorie hat schließlich ihre Familie gefunden.
Der Autor:
Robert Philipp Bock ist im Risikomanagement der Volkswagen Financial Services AG tätig und begleitet seit Jahren die Implementierung und den Betrieb des ebenfalls aufsichtsrechtlich geforderten BCM-Systems. Auch dieses Managementsystem hilft bei der Umsetzung von DORA.