Wofür steht DORA?
Das Digital Operational Recilience Act - kurz DORA - ist ein Gesetzentwurf der EU-Kommission für den Finanzsektor, der seitdem im Europäischen Parlament und Rat beraten wird. Mit einer Beschlussfassung ist noch im Jahr 2021 zu rechnen, das Gesetz wird dann voraussichtlich 2022 in Kraft treten.
Welche Unternehmen betrifft DORA?
DORA ist eine Verordnung zum Thema "Betriebsstabilität digitaler Systeme" und richtet sich an alle Teilnehmer des Finanzsystems, u.a. Banken, Versicherungen sowie kritische Drittanbieter von Informations- und Kommunikationstechnologien (IKT) für Finanzunternehmen (z.B. Clouddienstleister). Bereits in 2021 ist es wichtig, dass betroffene Unternehmen ihren Ist-Zustand diesbezüglich analysieren und die Durchführung von nötigen Maßnahmen planen, um bei in Kraft treten der Verordnung gerüstet zu sein. Dabei müssen die Verhältnismäßigkeit (z.B. je nach Größe und Geschäftsprofil des Unternehmens), die Kosten sowie bereits bestehenden (und im Unternehmen umgesetzte) regulatorische Anforderungen auf nationaler und europäischer Ebene in Betracht gezogen werden.
Worum geht es bei DORA?
Im Wesentlichen wurde die Verordnung DORA mit dem Ziel verabschiedet, die bestehenden Regeln im Bereich Betriebsstabilität digitaler Systeme im Finanzsektor EU-weit zu harmonisieren und die Informations- und Kommunikationstechnologie (IKT) im gesamten EU-Finanzsektor zu verbessern. Im Bereich Cyberkriminalität sind Finanzunternehmen in der Vergangenheit vermehrt Ziel von Angriffen geworden, bei denen sowohl Kunden wie auch Unternehmen ernsthafter finanzieller und reputativer Schaden zugefügt wurde. DORA soll nun dafür sorgen, dass die Betriebsstabilität digitaler Systeme des Finanzsektors verbessert wird und die Unternehmen sicher stellen, dass ihre IT- und Kommunikationstechnologie (IKT) allen operativen Störungen und Bedrohungen standhält, so dass ein störungsfreier Betrieb aufrechterhalten werden kann.
Konkrete Anforderungen von DORA an Unternehmen
Die Auswirkungen von DORA auf die Finanzmarktinfrastruktur und -akteure werden von der Branche als grundlegend eingeschätzt. Die Anforderungen haben Auswirkungen auf die Rollen und Tätigkeiten der 1. und 2. Line-of-Defense in den Themengebieten Risikomanagement, Informationssicherheit, Business Continuity Management und Ausgliederungsmanagement. Bestehende Rollen werden angepasst, neue und zusätzliche Tätigkeiten kommen hinzu. Die inhaltliche und organisatorische Verzahnung und Zusammenarbeit innerhalb und zwischen den genannten Themengebieten wird forciert.
Der Fokus liegt dabei sowohl auf grundlegenden Themen wie Governance, Awareness, Policies und Rahmenbedingungen wie auch ganz konkret auf Aufgaben wie Kontrollen, Überwachungsmechanismen, Tests und Informationsaustausch.
Eine unstrukturierte Umsetzung von DORA über alle Organisationen, Prozesse und IT-Systeme hinweg ist nicht effizient und führt auch nicht zum angestrebten Ziel. Vielmehr empfiehlt sich ein geplantes und fokussiertes Vorgehen unter Berücksichtigung eines risikobasierten Ansatzes (abgeleitet vom VAIT-Vorgehen) in drei Schritten:
- Analyse der Ist-Situation hinsichtlich der neuen zusätzlichen Anforderungen
- Abgleich zwischen Soll- und Ist-Situation
- Umsetzung einer angemessenen und wirtschaftlich gerechtfertigten Handlungsempfehlung
Interessiert an mehr Infos zu DORA?
Vorträge und weitere Infos (auf Englisch) finden Sie auf der Homepage von ServiceNow.
Sie möchten Unterstützung bei der Aufgabe, Ihr Unternehmen DORA-konform zu gestalten?
Gerne stehen unsere Fachkollegen Ihnen zur Verfügung:
- Beratung
- Konzeption und Handlungsempfehlung
- Unterstützung bei der Umsetzung der Handlungsempfehlung