DORA (Digital Operational Resilience Act) zielt darauf ab, eine umfassende digitale operative Resilienz zu gewährleisten. Voraussetzung dafür ist die Überwindung des Silodenkens und die Schaffung eines ganzheitlichen Operating Models unter Einbeziehung verschiedener Funktionen. Eine holistische und durchgängige Sicht auf alle Daten sowie der Einsatz einer integrativen Plattformlösung sind dabei unerlässlich. Mit dem richtigen Tool lässt sich dies erfolgreich umsetzen.
Der Digital Operational Resilience Act (DORA) umfasst strenge Anforderungen an Governance, Informationsrisikomanagement, Informationssicherheit, das Testen, das IKT-Vorfallsmanagement sowie die Steuerung des IKT-Drittparteienrisikos. Unser Schaubild (siehe unten) fasst noch einmal zusammen, welche vielfältigen Bereiche und Funktionen betroffen sind und aus welchem Kapitel im DORA-Verordnungstext diese zuzuordnen sind.
Governance & Organisation: Strategische Governance für eine widerstandsfähige Zukunft
Werfen wir zunächst einen Blick auf die Governance. DORA verlangt von Finanzinstituten, umfassende Governance-Strukturen zur Stärkung der digitalen Widerstandsfähigkeit zu implementieren. Dazu gehört die Entwicklung klarer Richtlinien und Verfahren zur Risikobewertung und zum Risikomanagement. Aufgrund der Komplexität des digitalen Umfelds sind geeignete Instrumente und Systeme erforderlich, um Transparenz und Verantwortlichkeit zu gewährleisten.
Die Nutzung integrierter Governance-Tools kann dabei unterstützen, regulatorische Anforderungen effizient umzusetzen und die Governance konsistent zu etablieren. Ein gut durchdachtes und implementiertes Governance-Framework ist nicht nur eine regulatorische Notwendigkeit, sondern auch ein strategischer Vorteil, der langfristig die Widerstandsfähigkeit und Stabilität des Unternehmens stärkt.
Informationsrisikomanagement & Informationsverbund: Proaktives Risikomanagement in einer dynamischen Bedrohungslandschaft
Eine weitere zentrale Anforderung von DORA ist die Etablierung von Informationsrisiko-Managementsystemen, die Bedrohungen frühzeitig erkennen und mindern. Angesichts von Cyber-Bedrohungen sind leistungsfähige Module für das Risikomanagement, die eine kontinuierliche Überwachung und Bewertung von Informationsrisiken ermöglichen, unerlässlich – darauf zielen auch die DORA-Anforderungen ab. Eine umfassende End-to-End-Plattform für das Informationsrisikomanagement sollte nahtlos in die bestehende Tool-Landschaft von Unternehmen integriert werden können und sicherstellen, dass alle relevanten Informationen im Risikoregister berücksichtigt werden.
Basis für das Risikomanagement stellt ein konsistenter und vollständiger Informationsverbund dar. Dabei müssen die Schutzziele Vertraulichkeit und Integrität, die aus der Schutzbedarfsanalyse resultieren, sowie die Verfügbarkeit, die aus der Business Impact Analyse (BIA) hervorgeht, berücksichtigt und einheitlich gemanagt werden. Eine einheitliche Lösung muss eine konsistente Datenhaltung gewährleisten.
Informationssicherheit: Schutz der digitalen Vermögenswerte
Finanzinstitute sind gefordert, strenge Sicherheitsmaßnahmen zu implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu schützen.
Sie müssen zum Beispiel strenge Sicherheitsprotokolle implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten zu gewährleisten und Sicherheitsvorfälle schnell erkennen und darauf reagieren zu können.
Dabei ist es entscheidend, eine Lösung zu wählen, die sich nahtlos in die bestehende Systemlandschaft integriert und geeignete Schnittstellen bietet. Eine solche Plattform fungiert als zentrale Steuerungs- und Reporting-Instanz, während bestehende Tools und Systeme weiterhin genutzt werden können.
Das erleichtert die Einhaltung der DORA-Vorschriften erheblich, da alle relevanten Daten und Prozesse an einem zentralen Ort verwaltet werden. Besonders wichtig ist die Fähigkeit, Informationen über Schwachstellen der Systeme aus Drittlösungen effizient integrieren und verarbeiten zu können. Gesucht ist also eine Art Plattform der Plattformen.
KPMG ist eine Partnerschaft mit dem Anbieter ServiceNow eingegangen, um unter anderem solche Anforderungen in den Bereichen Governance, Risk und Compliance, Cybersecurity, ESG oder IT Service Management abzudecken. Im Rahmen dieser Partnerschaft bietet KPMG-Lösungen an, die dabei helfen, Prozesse zu konsolidieren, zu automatisieren und zu modernisieren und so die Effizienz zu steigern.
Testen der digitalen operationalen Resilienz: Regelmäßige bedrohungsorientierter Penetrationstests zur Sicherstellung der Resilienz
Eine solche Plattform kann auch einen weiteren Anforderungsbereich von DORA unterstützen: nämlich die geforderten (Penetrations-)Tests. Diese sollen sicherstellen, dass Organisationen in der Lage sind, auf Cyber-Angriffe und Betriebsstörungen zu reagieren und sich davon zu erholen. Für vollumfängliche Tests der digitalen Resilienz müssen auch Testresultate von Drittanbieterlösungen integriert werden.
Durch den Einsatz geeigneter Workflows können Tests aktiv und effizient gesteuert werden, wodurch eine ganzheitliche Sicht auf das Resilienz-Testing unterstützt wird. Eine solche Lösung erleichtert es Finanzinstituten, die Anforderungen von DORA zu erfüllen und gleichzeitig ihre Sicherheits- und Resilienz Strategien auf Basis von Testergebnissen kontinuierlich zu verbessern.
IKT-bezogene Vorfälle: Effektives Incident Management für schnelle Reaktion auf Bedrohungen
Finanzunternehmen müssen in der Lage sein, Vorfälle schnell zu identifizieren, zu melden und zu beheben. Angesichts der zunehmenden Häufigkeit und Schwere von Cyber-Angriffen ist eine effektive Lösung für das Incident-Management unverzichtbar. Darüber hinaus sind Schnittstellen inkl. Trigger vom IKT-bezogenen Vorfallsmanagement zum IT-Notfall- und Krisenmanagement zu berücksichtigen.
Eine geeignete Steuerung sollte Incident-Management-Module bieten, die eine schnelle Erkennung und Reaktion auf Vorfälle ermöglichen. Zusätzlich sollten Reporting-Tools etabliert werden, die eine transparente Kommunikation mit den Aufsichtsbehörden und Stakeholdern gewährleisten und somit zur Einhaltung der regulatorischen Anforderungen beitragen. Eine integrierte und einheitliche Datenbasis ist hierbei essenziell, um die zeitlichen Vorgaben der DORA für die Erstellung von Berichten einzuhalten.
IKT-Drittparteirisikomanagement: Effizientes Management von Drittparteirisiken in einer vernetzten Welt
Finanzunternehmen müssen sicherstellen, dass ihre Drittanbieter strenge Sicherheits- und Resilienz Standards einhalten.
Eine geeignete Lösung sollte Tools für die Risikobewertung und das Risikomanagement in Bezug auf Drittanbieter bereitstellen und den Betrieb des erforderlichen Informationsregisters ermöglichen. Es ist wichtig, eine klare Transparenz darüber zu haben, welche IKT-Drittanbieter kritische oder wichtige Funktionen für das Unternehmen unterstützen.
Ein übergreifender Blick und nahtlose Integration
Ob Governance, Informationsrisikomanagement, Informationssicherheit, Testing, IKT-bezogene Vorfälle oder Drittparteienrisikomanagement: Alle Bereiche von DORA erfordern eine zentrale Verwaltung und Überwachung, ein einheitliches und integratives Management und ein entsprechendes Reporting. Insgesamt ist durch DORA die Erzeugung einer ganzheitlichen Sicht auf die operative Resilienz wichtiger denn je.
Eine geeignete Lösung zur Abbildung der DORA-Disziplinen sollte End-to-End-Unterstützung bieten, um sicherzustellen, dass alle Aspekte der Resilienz abgedeckt sind und eine kontinuierliche Compliance mit den DORA-Anforderungen gewährleistet ist.
Die Basis hierfür ist auch die Verknüpfung verschiedener Tools mittels Schnittstellen, um eine einheitliche Datenbasis sicherzustellen. Für die ganzheitliche Umsetzung von DORA bietet sich daher eine integrierte Plattformlösung an.
Am Beispiel von ServiceNow lässt sich exemplarisch ein strukturierter Prozess zur Erreichung dieser DORA-Compliance aufzeigen (siehe Abbildung oben).
ServiceNow, als „Plattform der Plattformen“ lässt sich nach unserer Erfahrung nahtlos in die bestehende System- und Plattformlandschaft integrieren. Das bedeutet, dass bestehende Tools und Systeme, soweit erforderlich, auch weiterhin verwendet werden können, während ServiceNow als zentrale Steuerungs- und Reporting-Plattform fungiert. Diese Integration erleichtert die Einhaltung der DORA-Vorschriften erheblich, da alle relevanten Daten und Prozesse zentral an einem Ort verwaltet werden können. Mehr dazu lesen Sie auf den im Artikel von Christian Meier auf Seite 6 zum Thema „Erfüllung der DORA-Regulatorik mit der ServiceNow-Plattform“.
Die Autoren:
Dominik Hoppe ist Senior Manager bei KPMG und langjähriger Transformationsberater für ServiceNow sowie SAP mit Schwerpunkt im Bereich Governance, Risk & Compliance, Security, Identity Management sowie IT & OT Management.
Julian Dersch ist Manager bei KPMG und unterstützt Finanzunternehmen dabei, ihre digitale Resilienz zu steigern. Sein Schwerpunkt liegt unter anderem auf dem gezielten Einsatz von Tools für die IT-Compliance.