
Dr. Antje Winkler
Die Umsetzung von DORA stellt den Finanzsektor vor erhebliche Herausforderungen, die es zu meistern gilt. Ein effektives IKT-Risikomanagement, die Handhabung von IKT-Risiken und Cyberbedrohungen, das regelmäßige Testen der digitalen operationalen Resilienz und das Management der IKT-Dienstleister sind dabei Kernelemente, um den Anforderungen gerecht zu werden. Die Implementierung dieser Maßnahmen ist der Schlüssel für Finanzunternehmen, um ihre Cyber-Resilienz zu stärken und den regulatorischen Anforderungen nachhaltig zu entsprechen.
Die Bewältigung dieser Herausforderungen erfordert eine Gap- bzw. Reifegrad-Analyse, welche Ihnen aufzeigt, an welchen Stellen IT-Risikomanagement, IT-Sicherheit und IT-Dienstleistersteuerung bei Ihnen noch Lücken aufweisen.
Im Anschluss werden die identifizierten Optimierungserfordernisse mit Maßnahmen, Abhängigkeiten, Verantwortlichkeiten und zeitlichen Planungen unterlegt und umgesetzt. Wir unterstützen Sie bei der adäquaten und proportionalen Schließung der identifizierten Lücken und stärken damit die Resilienz. Eine übergreifende enge Zusammenarbeit von Funktionen der 1st- und 2nd- Line of Defence (LoD) ist dabei unerlässlich, um sicherzustellen, dass alle regulatorischen Anforderungen friktionsfrei und übergreifend erfüllt werden. Es wird empfohlen, die 3rd LoD frühzeitig hierbei einzubeziehen.
Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Rahmenwerk entwickeln und implementieren, das auf ihre Größe, Komplexität und Risikoprofile zugeschnitten ist. Dieses Rahmenwerk muss sicherstellen, dass Risiken im Zusammenhang mit IKT-Systemen identifiziert, bewertet, gemindert und (laufend) überwacht werden.
Ein weiterer wichtiger Aspekt von DORA ist die Handhabung von IKT-Störungen und Cyberbedrohungen. Finanzunternehmen müssen in der Lage sein, schnell und effektiv auf Sicherheitsvorfälle zu reagieren. Hierzu müssen Institute sicherstellen, dass sie über die notwendigen Ressourcen verfügen, um Cyberangriffe erfolgreich abzuwehren und die Auswirkungen von Vorfällen bestmöglich minimieren zu können.
DORA verpflichtet Finanzunternehmen und IKT-Drittdienstleister dazu, die digitale operationale Resilienz ihrer relevanten Anwendungen und Systeme regelmäßig einmal im Jahr zu testen. Dazu gehören eine Vielzahl von Testszenarien, darunter Stresstests und Penetrationstests.
Penetrationstests sind ein äußerst effektives Instrument, um potenzielle Sicherheitslücken aufzudecken, Behebungsmaßnahmen zu identifizieren und damit das Sicherheitsniveau zu erhöhen. Durch regelmäßige Penetrationstests können Unternehmen aktiv gegen Bedrohungen vorgehen und Ihre Daten sowie Geschäftsabläufe besser schützen.
Um sich bestmöglich auf den Ernstfall vorzubereiten und die Resilienz nachhaltig zu verbessern, schreibt DORA zusätzlich die regelmäßige Durchführung von Threat-Led Penetration Tests (TLPT) nach Threat Intelligence-based Ethical Red Teaming (TIBER DE/EU) für Finanzunternehmen mit besonderer Bedeutung für die Finanzstabilität vor. Dabei werden bereits etablierte Sicherheitsmechanismen gezielt überprüft, um Optimierungspotenziale in den Cyber Defense-Maßnahmen aufzuzeigen.
Unternehmen müssen umfangreichere Prozesse zur Überwachung und Steuerung der Risiken entwickeln, die durch IKT-Dienstleister entstehen. Neben erweiterten Mindestvertragsstandards ist bei der Dienstleisterauswahl eine Due Diligence durchzuführen und sind alle mit dem Leistungsbezug zusammenhängenden IKT-Risken zu erheben und bewerten. Basierend auf den IKT-Risken ist auch festzulegen, ob es sich um einen IKT-Drittdienstleister zur Unterstützung kritischer oder wichtiger Funktionen handelt, für welche erweiterte Vorgaben (bspw. ausreichende Resilienz und abgestimmte Notfallpläne) bestehen.
Dr. Antje Winkler
Karsten Thomas
Matthias Oßmann
Dr. Aykut Bußian