Bereit für den Wandel durch DORA?

DORA ist seit dem 17.1.25 Pflicht – 
Seid ihr startklar?

+++ regelmäßige Updates +++

+++ Aktuellste Informationen zu DORA nicht verpassen! +++

+++ BaFin gibt Hinweise zur Umsetzung von DORA bekannt +++

+++ Zur Vermeidung von Doppelregelungen hebt BaFin die XAIT zum 16.01.25 auf +++

Informations- und Kommunikationstechnologien (IKT) sind die Lebensadern jedes Finanzunternehmens. Aufgrund der hohen Vernetzung untereinander kann ein Ausfall in diesem Bereich verheerende Auswirkungen auf die Geschäftstätigkeit und Stabilität des Unternehmens haben und Kettenreaktionen auslösen.
Der europäische Gesetzgeber hat gehandelt und den Digital Operational Resilience Act (DORA) verabschiedet. Banken, Versicherungen, Zahlungsdienstleister etc. wurden verpflichtet, die Anforderungen bis zum 17. Januar 2025 umzusetzen. Braucht ihr noch Unterstützung bei der Umsetzung?

Die BaFin gab im Juli 2024 ihre Hinweise zur Umsetzung bekannt. Lies in unserem Whitepaper die Zusammenfassung dieser Hinweise!

Mehr erfahren    Whitepaper

DORA-Umsetzung: Herausforderung & Chance zugleich - jetzt handeln!

DORA verpflichtet Finanzunternehmen, umfassende Rahmenwerke für das Risikomanagement von IKT, die Meldung schwerwiegender IKT-Vorfälle sowie die Überwachung von Drittanbietern von IKT-Dienstleistungen zu implementieren. In diesem Kontext ist es von entscheidender Bedeutung, sich mit Blick auf die Umsetzungsfrist rechtzeitig auf diese Veränderungen vorzubereiten und die Vorteile einer robusten digitalen Infrastruktur zu erkennen.

Wir befähigen dich und dein Team in jeder Phase der Umsetzung die Herausforderungen von DORA anzunehmen, die Anforderungen erfolgreich einzuführen und gestärkt aus der Umsetzung hervorzugehen.

Risikoorientierung

Mit Blick auf die Komplexität der nach DORA umzusetzenden Anforderungen empfehlen wir ein risikoorientiertes Vorgehen, das euch bei der Analyse, Planung und Umsetzung gleichermaßen Orientierung gibt. Wir helfen euch, "Risikoorientierung" auf euer Unternehmen zu übersetzen und belastbar zu dokumentieren. So erkennt ihr Abhängigkeiten und könnt Prioritäten, insbesondere mit Blick auf den geforderten Umsetzungstermin der DORA-Regelungen bis zum 17.Januar 2025, ableiten.

Gap-Analyse

Im Rahmen einer Gap-Analyse ermitteln wir euren eigentlichen Handlungsbedarf, der sich im Vergleich zum Status Quo für euer Unternehmen ergibt. Mit einem toolgestützten DORA Assessment bewerten wir  mit euch fachlich erkannte Übereinstimmungen, Abweichungen und Lücken. Ergänzend bringen wir in die Zusammenarbeit eine kommentierte DORA-XAIT-Synopse als Qualitätscheck ein. Damit ergibt sich ein genaues Bild, welchen Erfüllungsgrad ihr mit euren Strategien, Richtlinien, Anweisungen (Schriftlich fixierte Ordnung/SFO) etc. sowie technischen und organisatorischen Maßnahmen bereits heute erreicht habt und welche zusätzlichen Umsetzungsmaßnahmen notwendig sind.

Umsetzung mit Augenmaß

Wir helfen euch, die "richtigen" Schwerpunkte zu setzen und die Umsetzung mit Augenmaß zu planen. Denn Kritikalität und Risiken eures Geschäftsmodells bestimmen gleichermaßen über die individuelle "Größe" der Umsetzungsmaßnahmen wie der Reifegrad eurer bisherigen digitalen Widerstandsfähigkeit. Mit unserer DORA-Map und unserer Fristenübersicht behaltet ihr dabei alle Abhängigkeiten, Schnittstellen und Termine stets im Blick.

IKT-Risikomanagement

Euer Unternehmen wird täglich mit einer Vielzahl potenzieller IKT-Risiken konfrontiert. Damit ihr widerstandsfähig seid, bauen wir mit euch einen wirkungsvollen Rahmen für das Management von IKT-Risiken, bestehend aus strategischen wie operativen Elementen. Dabei achten wir selbstverständlich auf eine konsistente Integrations- und Anschlussfähigkeit dieser IKT-Risikomanagement-Elemente in die bestehende Organisationsstruktur. Wir unterstützen bei der Verbindung neuer Elemente, wie z.B. der DOR-Strategie (Strategie für die Digitale operationale Resilienz) mit bestehenden wie eurer IT-Strategie.

IKT-Governance

Für die neuen Anforderungen nach DORA zum wirksamen Management der IKT-Risiken muss die bestehende Governance überprüft und im Bedarfsfall angepasst werden.

Wir bestimmen mit Euch erforderliche Rollen und Funktionen sowie deren Einbindung in eure Aufbau- und Ablauforganisation inklusive einer Anpassung der bestehenden Governance-Prozesse.

IKT-Vorfall-Meldewesen

Zur Behandlung, Klassifizierung und Berichterstattung schwerwiegender IKT-bezogener Vorfälle unterstützen wir euch bei der Ausarbeitung, Einführung und Wirksamkeitskontrolle der einschlägigen Strategie, Richtlinien und Prozesse. Das umfasst auch die erforderlichen Kommunikations- und Meldewege und den Umgang mit der freiwilligen Mitteilung von Cyberbedrohungen.

IKT-Drittpartei-Risikomanagement

Wir entwickeln mit euch die strategischen Schlüsselprinzipien und Werkzeuge für das Management der IKT-Drittparteirisiken (Third Party Risk Management/TPRM), stellen die Transparenz über die damit verbundene ("supply chain") her und bauen mit euch - bei Bedarf auch toolgestützt - das Informationsregister auf. Daneben helfen wir euch, IKT-Alt- und Neuverträge an die vorgegebenen Mindestinhalte anzupassen und die Konzentrationsrisiken zu bewerten.

IKT-Informationsregister und -Konzentrationsrisiken

Damit ihr die geforderte Transparenz über alle IKT-Dienstleister und Lieferketten sicherstellt, unterstützen wir bei der Konzeption und der Einführung des Informationsregisters.
Wir helfen euch, die hierzu vorgegebenen Templates funktional umzusetzen und die im Zusammenhang stehenden Konzentrationsrisiken abzubilden.

Dafür steht euch bei Bedarf auch unser DORA-Tool zur Verfügung, das über viele weitere Funktionen für das Management von IKT-Fremdbezügen und IKT-Drittpartei-Risiken verfügt.

Awareness und Enablement

Ein zentraler Erfolgsfaktor für eine dauerhafte, digitale Widerstandfähigkeit liegt in der Sensibilisierung und Befähigung der Mitarbeitenden im Unternehmen für IKT-Sicherheit und zur digitalen operationalen Resilienz. Auch die Leitungsorgane eures Unternehmens werden in die Pflicht zur regelmäßigen Auseinandersetzung mit DORA genommen. Wir stellen mit euch empfängerorientierte Schulungs- und Kommunikationsmaßnahmen zusammen, arbeiten Nutzer- und Verhaltensrichtlinien im Kontext von Cyber-Security aus und vermitteln im Rahmen unserer Seminare und Webinare vom Grundlagen- bis zum Experten-Wissen zu DORA.  

Wir haben Lösungen für dich

Lass uns besprechen, wie wir die DORA-Umsetzung in deiner Organisation angehen, auch toolgestützt mit CloudGate, oder lies es im Whitepaper nach.

Noch
Apr, 11, 2025
für die Einreichung des Informationsregisters bis zum
11. April 2025

DORA wird inhaltlich von fünf Themensäulen getragen

Icon Risikomanagement/DORA

Kapitel II

IKT-Risikomanagement

Art. 5-16
 

Mehr erfahren

Icon Alarm/DORA

Kapitel III

IKT-Vorfall-​Meldewesen

Art. 17-23
 

Mehr erfahren

 

Icon Cloud Compliance-Siegel/DORA

Kapitel IV

Prüfung digitaler​ Betriebsstabilität

Art. 24-27
 

Mehr erfahren

 

Icon Menschen/DORA

Kapitel V

IKT-Drittpartei-​Risikomanagement

Art. 28-44
 

Mehr erfahren

 

Icon Austausch/DORA

Kapitel VI

Austausch von Informationen

Art. 45
 

Mehr erfahren

 

Als Enabler für komplexe Governance-, Risk- und Compliance-Strukturen in der IT bei beaufsichtigten Finanzunternehmen legen wir für euch unseren besonderen Schwerpunkt auf eure Unterstützung im IKT-Risikomanagement und IKT-Drittpartei-Risikomanagement (Third Party Risk Management/TPRM).

Warum du dich dringend mit DORA befassen solltest

1. Unternehmensstabilität hängt von IKT ab

2. Vertiefte Abhängigkeit von IKT-Dienstleistern

3. Zunehmende Bedeutung von Cloud-Services

4. Zunehmende Angriffswirkung

5. Zunehmende Akteure

  • IT als Stabilitätsfaktor

    Unternehmensstabilität hängt von IKT ab, Dienstleistersteuerung wird komplexer

    Die Stabilität von geschäftlichen Abläufen in den Finanzunternehmen hängt von einer funktionierenden IT ab, die regelmäßig den größten "Produktionsfaktor" ausmacht. Damit verbundene Informations- und Kommunikations-Technologien (IKT) werden häufig von gruppen- bzw. verbundeigenen oder dritten IKT-Dienstleistern bereitgestellt, betrieben und gewartet. Oder es werden Dienste und Ressourcen der Cloud-Anbieter zu diesem Zweck genutzt.

    Da diese die IKT-auslagernden Unternehmen aber weiterhin für die Einhaltung der Anforderungen aus DORA haften, werden Steuerung und Kontrolle der beauftragten Dienstleister komplexer.

  • Abhängigkeit von IT-Providern

    Vertiefte Abhängigkeit von IKT-Dienstleistern

    Finanzunternehmen haben europaweit eine sehr hohe IT-Auslagerungsquote ("geringe eigene Fertigungstiefe"). Betrieb und Wartung etwa von IKT-Infrastrukturen und -Plattformen sind keine Kernkompetenz der IT-Abteilung in den Finanzunternehmen, sondern ausgelagert.

    Damit liegen nicht mehr alle Belange des Informationssicherheits- und des Betriebskontinuitäts-Managements in den Händen der auslagernden Finanzunternehmen. Das Erkennen, Mitigieren und Steuern der damit verbundenen (IKT-) Risiken gewinnt an Bedeutung und Komplexität.
    DORA setzt auf einen vereinheitlichten Anforderungskatalog zur Sicherstellung digitaler Resilienz im IKT-Betrieb auf europäischer Ebene.

  • Bedeutung von Cloud-Services

    Zunehmende Bedeutung von Cloud-Services

    Lokale Rechenzentren werden zunehmend durch (Public) Cloud-Services abgelöst – auch bei Finanzunternehmen.

    Mit dem Konsum cloudbasierter Dienste und Ressourcen wächst die potenzielle Angriffsfläche. Umso wichtiger ist es zu wissen, wie beispielsweise die drei Tech-Giganten Amazon, Google und Microsoft ihre Innovationskraft nutzen, um sich den tagtäglich neuen Angriffsmethoden und -Techniken wirksam entgegenzustellen und die Anforderungen aus DORA an einen resilienten IKT-Betrieb für ihre Kunden sicherstellen und potenzielle Ansteckungen im Falle eines Angriffs untereinander vermeiden.

  • Cyberangriffe

    Wachsende Angriffe und vorbeugende Prüfung der digitalen Betriebsstabilität

    Ein übergeordnetes Ziel von DORA ist es, sich an aktuelle Bedrohungslagen schnell anzupassen und für eine Abwehr handlungsfähig zu sein. Denn die Gefahr und Wirkung von Cyberangriffen sind gestiegen.

    DORA sieht vor, dass Finanzunternehmen künftig "schwerwiegende IKT-bezogene Vorfälle" auf einer zentralen Plattform melden und Nutzer und Kunden informieren müssen. Unter Berücksichtigung von Unternehmensgröße und Risikoprofil der Geschäftstätigkeiten werden Unternehmen zudem verpflichtet sein, ihre digitale Resilienz im Betrieb regelmäßig zu überprüfen, etwa in Form von End-to-End-Tests oder Penetrationstests u.v.m.

  • Akteure

    Zunehmende Akteure – kriminell oder politisch motiviert

    Cyber-Gefahren gehen von Staaten wie von nichtstaatlichen Akteuren (Kriminellen) aus. Dabei sind potenzielle Attacken auf Daten, Kommunikation und Systeme infolge ausgeprägter Vernetzung für die handelnden Akteure weltweit möglich.

    Während Cyber-Angriffe in früheren Jahren primär das "Geschäft" organisierter Kriminalität war, sind zunehmend auch Regierungen für feindliche Angriffe verantwortlich – vor allem mit dem Ziel, die Volkswirtschaften in der EU zu schädigen und zu infiltrieren. Finanzunternehmen bieten dabei aufgrund ihrer in der Regel internationalen Aktivitäten eine große, potenzielle Angriffsfläche.

Auch interessant für dich

Alles, was du zur DORA-Umsetzung und anderen Regulatorik-Themen wissen musst

Whitepaper: DORA-Informationsregister

Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten. Jetzt downloaden!

Whitepaper: Umsetzungshinweise DORA

Erfahre im kostenlosen Whitepaper alles über die neuesten Hinweise der BaFin zur Umsetzung des Digital Operational Resilience Act. Jetzt downloaden!

Whitepaper: DORA

Lies im kostenlosen Whitepaper alles, was du über den Digital Operational Resilience Act wissen musst. Jetzt downloaden!

DORA-Tool: CloudGate

Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.

Aufsichtsmitteilung Cloud-Auslagerungen

Lies nach, welche Neuerungen es gibt und wie du heute schon starten kannst mit der Umsetzung der BaFin-Neuregelungen. Infos hier!

GRC-Seminare

Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!

Dein Experte für
DORA

Stefan Wendt
Enabler und Partner

Du hast Fragen zu DORA? Stefan Wendt hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Digital Operational Resilience Act (DORA)

Die EU-Verordnung 2022/2554 wurde am 16. Januar 2023 veröffentlicht.

Als Reaktion auf die Finanzkrise hatte die EU bereits im Jahr 2008 verschiedene Maßnahmen zur Stärkung der Resilienz im Finanzsektor ergriffen. Mit DORA (oder zu Deutsch: die Betriebsstabilität digitaler Systeme des Finanzsektors) weitet sich das Ansinnen um eine erhöhte Widerstandskraft auf den Einsatz von Informations- und Kommunikations-Technologien (IKT) aus, sind sie doch im Zuge der Digitalisierung von Finanzunternehmen zentrale Schlüsseltechnologien.

Da in dieser Branche die Bereitstellung, der Betrieb und die Wartung dieser Technologien nicht als Kernkompetenz der IT-Abteilungen der Finanzunternehmen verstanden wird, werden sie als IKT-Services am Markt häufig eingekauft.

Die eigene Widerstandsfähigkeit gerät in Abhängigkeit der Widerstandsfähigkeit der IKT-Dienstleister. Und da sowohl Finanz- als auch Dienstleistungsunternehmen häufig international agieren, unternimmt DORA den Anlauf vereinheitlichte Anforderungen auf europäischer Ebene zu formulieren.

Im Kern geht es um den Schutz vor Sicherheitslücken und Cyberangriffen sowie dem Umgang mit eingetretenen (schwerwiegenden) IKT-Sicherheitsvorfällen.

×

Finanzunternehmen

Im Verständnis von DORA ist der Sammelbegriff der "Finanzunternehmen" als Adressaten der neuen Anforderungen sehr weit gefasst.
Nach Art 2. Absatz 1 gilt die Verordnung u.a. für

  • Kredit-, Zahlungs- und E-Geld-Institute,
  • Anbieter von Krypto-Dienstleistungen,
  • Wertpapierfirmen und Verwalter von Investmentfonds,
  • Datenbereitstellungsdienste und Ratingagenturen sowie
  • (Rück-) Versicherungsunternehmen, Versicherungsvermittler und Einrichtungen der betrieblichen Altersversorgung.

Eine Besonderheit von DORA liegt darin, dass bei Vorliegen entsprechende Voraussetzungen auch sogenannte kritische IKT-Dienstleister unter die direkte Überwachung der europäischen Aufsichtsbehörden gelangen können, und dies obwohl sie sich im Vergleich zu den beaufsichtigten Finanzunternehmen für die Ausübung ihrer Geschäftstätigkeiten keine Erlaubnis bei den Behörden einholen müssen.

×

Single Rulebook

Das wesentliche Kernziel von DORA liegt in der Harmonisierung und Vereinheitlichung der Lage der Betriebs- und Informationssicherheit der regulierten Finanzunternehmen in der EU und der hieran gestellten Anforderungen, und zwar einschließlich der damit verbundenen Risikobetrachtung.

Die bisherigen Regelungen erwiesen sich laut Analyse der EU als nur eingeschränkt wirksam, kostenintensiv und hemmend, weil

  • sie erheblichen Spielraum für unterschiedliche Ansätze boten,
  • nur ein begrenzter oder unvollständiger Schwerpunkt auf IKT-Risiken gelegt wurde, einzelne Cyberrisiken wurden nicht erkannt und angegangen,
  • sich eine Vielzahl unkoordinierter nationaler  Regulierungsinitiativen und Aufsichtskonzepte entwickelt haben mit Inkohärenzen, Doppelanforderungen, hohen Verwaltungs- und Befolgungskosten insbesondere für grenzüberschreitend tätige Finanzunternehmen,
  • Finanzaufsichtsbehörden nicht mit dem optimalen Instrumentarium ausgestattet wurden.

DORA verfolgt daher nun den Ansatz, das Management der Risiken der Digitalisierung/Cyberrisiken auf Basis eines einheitlichen Regelwerks ("single rulebook") in der gesamten EU zu gestalten.

×

Risikoorientierung

Jedes Finanzunternehmen steht in der Verantwortung für sich selbst zu bestimmen, wie es den Begriff der Risikoorientierung belegt und anwendet.

Das beginnt mit der Selbsteinschätzung der Kritikalität der unterstützenden IKT-Systeme und der unterstützten Geschäftsprozesse. Ferner gilt es, die in diesem Zusammenhang seitens der ESAs (European Supervisory Authorities wie EBA, EIOPA und ESMA) und anderer nationaler Aufsichtsbehörden, wie z.B. der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) oder der FMA (Österreichische Finanzmarktaufsicht), vertretenen Sichtweisen zu berücksichtigen.

Und schließlich empfehlen wir, als weiteren Indikator zur Risikoorientierung die übergreifenden Feststellungen aus den jüngeren IT-Prüfungen zu berücksichtigen.

×

DORA-XAIT-Synopse

Die für deutsche Finanzunternehmen wie beispielsweise Banken und Versicherungen der derzeit noch geltenden BaFin-Rundschreiben zu aufsichtlichen Anforderungen an die IT wie BAIT, KAIT, VAIT und ZAIT (zusammenfassend kurz "XAIT") überschneiden sich inhaltlich vielfach mit den Anforderungen aus DORA.

Vereinfacht ausgedrückt ist DORA jedoch häufig detaillierter und strenger in der Ausgestaltung inhaltlich vergleichbarer Anforderungen und enthält auch darüber hinausgehende Abweichungen.

Das bedeutet aber zugleich, je höher die aktuelle Umsetzungsreife der XAIT im beaufsichtigten Unternehmen ist, desto höher ist die Wahrscheinlichkeit, dass auf vorhandene Strukturen zumindest aufgesetzt werden kann.

Mit Hilfe der Synopse sollten sich Abweichungen bzw. Übereinstimmungen mit dem DORA-Zielzustand schneller und einfacher bewerten lassen. Trotz der durch die BaFin geplanten Aufhebung der XAIT unterstützt der Vergleich mit den bestehenden Regelungen die Bestimmung des DORA-Reifegrades in deinem Unternehmen.

Zur Vermeidung von Doppelregelungen hat BaFin mit Ablauf des 16.01.25 Rundschreiben der BAIT, KAIT, VAIT und ZAIT aufgehoben. Finanzunternehmen sollten dennoch eine Gap-Analyse im Vergleich zu DORA vornehmen, um auf Grundlage dieser Ergebnisse ihren Handlungsbedarf zu erkennen.

×

Erfüllungsgrad

DORA adressiert eine Reihe von Anforderungen, die inhaltlich mit denen der nachfolgend aufgeführten und für die (deutschen) Finanzunternehmen bereits geltenden Vorgaben korrespondieren.

  • EBA-Leitlinien zum Management von IKT- und Sicherheits-Risiken (2019)
  • EIOPA-Leitlinien zur Sicherheit und Governance im Bereich der Informations- und Kommunikations-Technologie (2020)
  • BaFin-Rundschreiben zu aufsichtlichen Anforderungen an die IT (BAIT, VAIT, KAIT und ZAIT) (2017 ff)
    (Aufhebung geplant laut BaFin Aufsichtsmitteilung Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement Stand Juni 2024)
  • BaFin-Rundschreiben für das Meldewesen für schwerwiegende Betriebs- und Sicherheitsvorfälle bei Zahlungsdienstleistern (2022)
  • BaFin-Aufsichtsmitteilung zur Auslagerung an Cloud-Anbieter (2024)

Schätzungsweise zwei Drittel der Anforderungen aus DORA sind inhaltlich nicht komplett neu. Allerdings ist DORA inhaltlich vielfach detaillierter und schärfer.
Wie "nahe" oder wie "weit" als das eigene Unternehmen von der Erfüllung der Anforderungen aus DORA daher entfernt ist, ergibt sich auch aus dem bestehenden Grad der Umsetzung der Anforderungen aus den vorstehenden Regelwerken. Allerdings enthält DORA auch einige Abweichungen gegenüber diesen Regelwerken.

×

DORA-Map

Unsere Landkarte schafft Orientierung in der Vielfalt der IKT-Anforderungen und visualisiert die nach DORA vorzuhaltenden Abhängigkeiten und Schnittstellen zwischen den Strategiepapieren, Richtlinien, Rollen und Prozessen sowie Verträgen.

Die DORA-Map hilft damit bei der Selbsteinschätzung des bereits erreichten Reifegrads in der unternehmenseigenen digitalen Resilienz und verdeutlicht wie ein Framework, aus welchen einzelnen Artefakten sich das übergeordnete Ziel verwirklichen lässt.

Auf diesen übergreifenden Blick legen wir viel Wert, wenn wir dich und dein Team in der Umsetzung von DORA begleiten. Denn auch wenn der Verordnungstext aufgrund seiner strikten und artikelbezogenen Trennung der Inhalte den Eindruck zunächst erweckt, diese Anforderungen stehen für sich isoliert, ist es erklärtes Ziel von DORA, unbedingt ein holistisches Vorgehen für die Umsetzung zu wählen.

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

Prinzipien und Werkzeuge für das Management von IKT-Drittpartei-Risiken

Der Steuerung und Kontrolle beauftragter IKT-Dienstleister kommt in DORA eine besondere Bedeutung zu, vor allem in der Überwachung der damit verbundenen Risiken. Denn trotz Fremdvergabe stehen die Finanzunternehmen weiterhin selbst in der Verantwortung, dass die Anforderungen ordnungsgemäß umgesetzt sind.

Damit ihr alle von den IKT-Drittdienstleistungs-Beziehungen ausgehenden Risiken immer im Griff behaltet, unterstützen wir euch u.a. mit:

  • Strategie, Leitlinien und Prozesse zur Auswahl, Vergabe (Beschaffung), Risikobewertung und Überwachung von IKT-Dienstleistern
  • Identifizierung von kritischen/wichtigen Funktionen (auch toolgestützt)
  • Musterregelungen und Checklisten für DORA-konforme Alt- und Neuverträge inklusive einer unternehmensspezifischen Roadmap für die Vertragsanpassung
  • Identifikation, Bewertung und Visualisierung von Konzentrationsrisiken
  • Aufbau und Einbindung des Informationsregisters (auch toolgestützt)
  • Inventarisierung der IKT-Systeme und IKT-Verträge für das Informationsregister
  • Berichterstattung an Aufsichtsbehörden
  • Ausstiegsstrategien für IKT-Dienstleistungen mit kritischen/wichtigen Funktionen
  • Sicherstellung der Wirksamkeit der etablierten Prinzipien und Werkzeuge

Hierbei berücksichtigen wir laufend neue Entwicklungen sowie Hinweise und Auslegungen der nationalen Aufsichtsbehörden.

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

Informationsregister

Der Aufbau eines Registers für kritische IKT-Dienstleister ist eine der zentralen Vorgaben aus dem IKT-Drittpartei-Risikomanagement.

×

IKT-Informationsregister

Bei der Konzeption eures Informationsregisters gilt es vor allem, die Regelungen aus dem technischen Durchführungsstandard zur Erstellung einer Standardvorlage für das Informationsregister (ITS JC 2023/85) umzusetzen, die die Kernanforderung aus Artikel 28.9 der Verordnung ergänzen. Neben der Frage, wer für das Register federführend verantwortlich ist, geht es bei der Inventarisierung der IKT-Verträge um die damit verbundenen Dienstleistungsketten ("supply chain"). Klarheit und Transparenz über nachgelagerte Sub-Dienstleister zu bekommen, ist eines der zentrale Ziele von DORA.

Dabei unterstützen wir euch u.a. bei folgenden Aspekten:

  • Verzahnung des Informationsregisters mit eurem bestehenden Auslagerungs- und Beschaffungsmanagement (Checklisten, Prozesse, Tool etc.)
  • Mapping und Migration gegebenenfalls bereits bestehender Registerinformationen zu IKT-Auslagerungen und -Fremdbezügen mit dem DORA-Informationsregister
  • Bestimmung systemseitiger Abfragen (LEI, Testate und Zertifikate, TOMs etc.)
  • Prozessdesign von der Informationserfassung bis zur Registerausgabe unter Berücksichtigung etwaiger Quell- und Nachsysteme
  • Abbildung der Dienstleistungsketten und damit verbundene Zuordnung erkannter Konzentrationsrisiken.
     

Das Register muss für solche IKT-Verträge geführt werden, auf deren Grundlagen IKT-Dienstleistungen erbracht werden, die "kritische" oder "wichtige" Funktionen in eurem Unternehmen unterstützen. Daran knüpft wiederum die aus DORA für euch erwachsende Aufgabe, die Definitionen für "kritisch" und "wichtig" plausibel und risikoorientiert zu bestimmen, unter Berücksichtigung, dass "kritisch/wichtig" nicht gleichzusetzen ist mit den Kriterien für Auslagerungen/Ausgliederungen der nationalen Aufsichtsbehörden.

Das Informationsregister spielt eine entscheidende Rolle im Rahmen des IKT-Drittanbieter-Risikomanagements und der Überwachung der Einhaltung der DORA-Vorschriften.

Alles, was du zum Informationsregister wissen musst, haben wir in einem kostenlosen Whitepaper für dich zusammengefasst. Jetzt downloaden!

×

IKT-Konzentrationsrisiken

Im Rahmen des IKT-Drittpartei-Risikomanagements ist unter anderem eine Strategie zur Identifikation und Steuerung von IKT-Konzentrationsrisiken auf Unternehmensebene auszuarbeiten. Die im Zusammenhang stehende Risikobewertung der IKT-Fremdbezüge steht dabei in engem sachlichem Zusammenhang mit dem bisherigen IT-Auslagerungs- bzw. Ausgliederungs-Management. Die Dokumentation und Visualisierung der Dienstleistungsketten, die im Kontext der Konzentrationsrisiken erkannt werden und zu überwachen sind, sollte konzeptionell und funktional sinnvollerweise mit der Einführung des Informationsregisters zusammen erfolgen. Gleiches gilt für Informationen wie beispielsweise zu den jeweiligen Beendigungsplänen (Exit Management) oder die jeweilige Bewertung der Ersetzbarkeit der verpflichteten IKT-Dienstleister.

Nach Art. 3, Nr. 29 der Verordnung versteht sich der Begriff des IKT-Konzentrationsrisikos als "die Exposition gegenüber einzelnen oder mehreren verbundenen kritischen IKT- Drittdienstleistern, die zu einer gewissen Abhängigkeit von diesen Dienstleistern führt, sodass die Nichtverfügbarkeit, der Ausfall oder sonstige Defizite dieser Dienstleister die Fähigkeit eines Finanzunternehmens gefährden könnten, kritische oder wichtige Funktionen zu erfüllen, oder bei dem Finanzunternehmen andere Formen nachteiliger Auswirkungen, einschließlich großer Verluste, herbeiführen oder die finanzielle Stabilität der Union insgesamt gefährden könnten."

An dieser Stelle trägt die Umsetzung der DORA-Regelungen unternehmensübergreifend dem gesetzten Ziel der Vermeidung einer Cyberattacke als systemisches Risiko Rechnung.

×

Was sind "kritische IKT-Dienstleister"?

Eine Besonderheit von DORA ist, dass sich die Verordnung nach Artikel 3 neben den Finanzunternehmen auch an kritische IKT-Dienstleister richtet.

Ähnlich wie bei den Finanzunternehmen greift hier ein sehr weites Verständnis: Demnach gehören dazu Anbieter von Digital- und Datendiensten, die über die IKT-Systeme einem oder mehreren internen oder externen Nutzern auf Dauer zur Verfügung gestellt werden, einschließlich Hardware als Dienstleistung und Hardware-Dienste, die technische Unterstützung durch Software- oder Firmware-Updates durch den Hardware-Anbieter umfassen. Ausdrücklich ausgenommen sind Anbieter analoger Telefondienste. Bei Vorliegen welcher Voraussetzungen ein IKT-Dienstleister als "kritisch" im Sinne der Verordnung eingestuft werden soll, entscheiden die verantwortlichen Aufsichtsbehörden EBA, EIOPA und ESMA.

×

IKT-Vorfall-Meldewesen

Beim Auf- und Ausbau des IKT-Vorfall-Meldewesens helfen wir bei der Ausarbeitung, Einführung und Wirksamkeitskontrolle von:

  • Richtlinien und Prozessen zur Aufdeckung, Klassifikation, Protokollierung und Überwachung IKT-bezogener Vorfälle
  • Strategie und -Richtlinien zur Kommunikation IKT-bezogener Vorfälle
  • Definition von Frühwarnindikatoren
  • Verfahren zur Ursachenanalyse
  • Zentralisierung des Incident Reportings

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

Integrations- und Anschlussfähigkeit

Eine zentrale Herausforderung in der Umsetzung von DORA besteht darin, sachlich im Zusammenhang bereits bestehende Regelwerke (SfO) nicht einfach zu überschreiben. Umso wichtiger ist die vorherige, risikoorientierte Gap-Analyse, die im Ergebnis euren eigentlichen Handlungsbedarf ermittelt.

Als Enabler für komplexe Governance-, Risk- und Compliance-Strukturen in der IT bei beaufsichtigten Finanzunternehmen sind wir kontinuierlich gefordert, der Dynamik des Gesetzgebers und der Aufsichtsbehörden Rechnung zu tragen. Die Sicherstellung der Integrations- und Anschlussfähigkeit angepasster oder neuer Elemente in bestehende Aufbau- und Ablauforganisationen ist für uns daher geübte Praxis. Wir behalten das für euch im Blick!

×

Rahmen für IKT-Risikomanagement

Die Elemente zum Auf- bzw. Ausbau eines DORA-konformen Rahmens für das IKT-Risikomanagement sind vielfältig und müssen sich widerspruchsfrei in die bestehende Aufbau- und Ablauforganisation eures Unternehmens integrieren lassen. Dabei könnt ihr auf unsere langjährigen Expertise als IT-GRC-Spezialisten zählen.

Wir unterstützen dich und dein Team bei der Aus-/Überarbeitung, Einführung und Wirksamkeitskontrolle u.a. bei folgenden Elementen:

  • Strategie für die digitale operationale Resilienz (DOR-Strategie)
  • Festlegung und Zuordnung der Zuständigkeiten für das IKT-Risikomanagement inkl. Steuerung und Kontrolle durch das Leitungsorgan (Governance)
  • Richtlinien, Funktionen und Prozesse zur Identifikation, Bewertung und Überwachung von IKT-Risiken (Schriftlich Fixierte Ordnung)
  • IKT-Geschäftsfortführungsleitlinien sowie IKT-Reaktions- und Wiederherstellungspläne (Notfallmanagement)
  • Überwachungs- und Kontrollsystem von Sicherheit und Betrieb der IKT-Systeme
  • Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

IKT-Risikomanagement

Die Artikel 5 bis 16 DORA regeln das Management der IKT-Risiken. Dabei nimmt Artikel 5 vor allem das Leitungsorgan des Finanzunternehmens in die zentrale Verantwortung, den Rahmen für das IKT-Risikomanagement zu ermöglichen, selbst aber auch Steuerung und Kontrolle auszuüben.

Die fortführenden Artikel gehen dann u.a. auf die eigentliche Ausprägung des IKT-Risikomanagement-Rahmen ein (Artikel 6), adressieren Vorgaben zu Schutz und Prävention (Artikel 9) sowie zur Reaktion und Wiederherstellung  (Artikel 10). Richtlinie und Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung sind Gegenstand von Artikel 12, Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz in Artikel 13 geregelt.

Korrespondierend zu Artikel 15 sowie Artikel 16 Absatz 3 finden sich im technischen Regulierungsstandard (RTS) zudem ergänzende bzw. präzisierende Details zu Schutz und Prävention (Artikel 9), Erkennung (Artikel 10), Reaktion und Wiederherstellung (Artikel 11) sowie für einen vereinfachten IKT-Risikomanagement-Rahmen.

×

IKT-Vorfall-Meldewesen

Die Artikel 17 bis 23 DORA adressieren Anforderungen zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle durch die Finanzunternehmen, die im Vergleich zu bestehenden Vorgaben (NIS-Richtlinie, PSD II-Richtlinie) harmonisiert und gestrafft werden. Zugleich wird die Berichtspflicht inhaltlich erweitert, die Vorfälle müssen überwacht und protokolliert werden. Die Meldung von Cyberbedrohungen ist hingegen gemäß Artikel 19 Absatz 2 freiwillig.

Nach Artikel 3 Nummern 8 und 10 ist ein IKT-bezogener Vorfall "ein von dem Finanzunternehmen nicht geplantes Ereignis […], das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat."

Der technische Regulierungsstandard (RTS) zu Artikel 18 Absatz 3 präzisiert in diesem Zusammenhang den Klassifikationsprozess und die -Kriterien. Während sich der RTS zu Artikel 20 a auf  Inhalt und Fristen der damit verbundenen Meldung fokussiert, gibt der technische Durchführungsstandard (ITS) zu Artikel 20 b die Vorlage für die Meldung vor. 

×

Prüfung digitaler​ Betriebsstabilität

Die Artikel 24 bis 27 DORA formulieren die Selbstverpflichtung des Finanzunternehmens zur (Über-) Prüfung der eigenen, digitalen operativen Widerstandsfähigkeit. Die Anforderungen schließen relevante IKT-Prozesse, -Systeme und -Technologien für kritische Funktionen sowie Dienste und Dienstleister ein. Im Kern geht es um Schwachstellenbewertungen und -Scans, Lückenanalysen, Bewertungen der Netzwerksicherheit,  Überprüfungen der physischen Sicherheit und sofern möglich auch um Prüfungen des Quellcodes.

Wie die in Frage kommenden Leistungs-, Szenario- und Penetrationstests etc. ausgestaltet werden sollen, legt der technische Regulierungsstandard (RTS) zu Artikel 26 Nummer 11 fest. Die Pflicht zur Durchführung bedrohungsorientierter Penetrationstests (TLPT) richtet sich dabei nur an die sogenannten "bedeutenden" Institute.

×

IKT-Drittpartei-​Risikomanagement

Third Party Risk Management
 

Die Artikel 28 bis 30 DORA regeln das Management von IKT-Drittparteirisiken (engl. Third Party Risk Management/TPRM). Dabei ist der gesamte Lebenszyklus des Bezugs der IKT-Dienstleistungen von den Finanzunternehmen zu berücksichtigen.

Die Identifikation und Bewertung der potenziell in Frage kommenden Risiken beginnt bereits im Rahmen einer Risikoanalyse und Due Diligence noch vor der eigentlichen Nutzung. Daneben werden Mindestinhalte an die IKT-Verträge formuliert, die Einbindung des IKT-Dienstleisters in das IKT-Vorfall-Meldewesen als verpflichtend adressiert und das Führen eines Informationsregisters über die abgeschlossenen IKT-Verträge geregelt.

Der technische Durchführungsstandard (ITS) zu Artikel 28 Nummer 9 enthält die Standardvorlage zur Erstellung des Informationsregisters. Das Informationsregister ist dabei auch zentrales Werkzeug zur Darstellung von Lieferketten ("supply chain") und möglicher Konzentrationsrisiken.

Die technischen Regulierungsstandards (RTS) enthalten Leitlinien zur Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen (Artikel 28 Nummer 10) und zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Absatz 5). Der Definition von Artikel 3 Nummer 22 folgend, sind Funktionen kritisch oder wichtig, "deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde."  

Nach DORA wird also beim IKT-Fremdbezug zwischen IKT-Dienstleistungen unterschieden, die kritische oder wichtige Funktionen unterstützen, und solchen, die dies nicht tun.

×

Austausch von Informationen

Artikel 45 DORA regelt den freiwilligen Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen mit anderen Marktteilnehmern.

Sofern sich Finanzunternehmen dazu entschließen, ist hierzu eine Vereinbarung untereinander zu treffen. Deutsche Finanzunternehmen sind in diesem Zusammenhang jedoch verpflichtet, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) darüber zu informieren, sofern solche Vereinbarungen getroffen wurden. Gleiches gilt für den Fall der Beendigung der Teilnahmen an einem solchen Austausch.

Der Austausch "innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen" zielt darauf auf ab, "die digitale operationale Resilienz von Finanzunternehmen zu stärken, insbesondere indem für Cyberbedrohungen sensibilisiert, die Verbreitung von Cyberbedrohungen eingeschränkt oder verhindert wird und die Verteidigungsfähigkeiten, Techniken zur Erkennung von Bedrohungen, Abmilderungsstrategien oder Phasen der Reaktion und Wiederherstellung unterstützt werden."

×

Seminar/Webinar "DORA im Kontext von Cloud und IKT-Auslagerungen"

Gerne begleiten wir deine Umsetzungsschritte, damit deine Organisation vorbereitet ist, wenn DORA kommt.

Im Seminar erfährst du und dein Team alles über die wichtigsten Begriffe, Regelungen und Zusammenhänge. Unsere ReferentInnen ordnen diese in bereits bestehende Anforderungen im IT-Outsourcing sowie in Anforderungen der Nutzung cloudbasierter Lösungen ein. Wir vermitteln, wie DORA mit dem Informationssicherheits-, IT-Risiko- und Betriebskontinuitäts-Management ineinandergreift und welche Handlungsbedarfe sich daraus ergeben. Dabei fokussieren wir auch auf die konkrete Ausgangssituation eures Unternehmens.

Im optionalen zweiten Seminar-Teil stellen wir den konkreten (Maßnahmen-) Bezug zur IT-Sicherheit her und vertiefen auf Experten-Niveau, wie sich die Anforderungen durch konkrete technische Lösungen in der Praxis bewältigen lassen.

Du brauchst weitere Infos zur Veranstaltung? Dann schau hier vorbei oder lade dir die Seminar-Infos direkt herunter: pdf-Download DORA-Seminar . Oder melde dich direkt bei uns!

×

DORA Assessment

Wir haben für euch alles vorbereitet, damit ihr unkompliziert und schnell ans Ziel kommt:

Unser Fragenkatalog berücksichtigt neben der bereits amtlich veröffentlichten und wirksamen Verordnung (Legal Act) auch die aktuellen Entwürfe der technischen Regulierungs- und Durchführungs-Standards (Regulatory Technical Standards / RTS und Implementing Technical Standards /ITS. Wir folgen damit den ausdrücklichen Empfehlungen der ESAs (European Supervisory Authorities wie EBA, EIOPA und ESMA) und anderer nationaler Aufsichtsbehörden, wie z.B. der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) oder der FMA (Österreichische Finanzmarktaufsicht), die Standards bei Analyse und Umsetzungsplanungen zu berücksichtigen, auch wenn sich diese noch im Entwurfsstadium befinden sollten.
Das Assessment können wir mit unserem CloudGate toolgestützt zur Verfügung stellen (keine dauerhafte Lizenzierung erforderlich).

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

Überarbeitung von Richtlinien, Risikoanalysen und IKT-Verträgen

Wir stellen Musterregelungen für IKT-Verträge und im Zusammenhang stehende Richtlinien, die im IT-Outsourcing häufig vertraglich mitgelten, zur Verfügung. Daneben unterstützen wir bei der inhaltlichen Ausarbeitung solcher Richtlinien wie beispielsweise für das Informationssicherheits- und das IT-Notfall-Management.

Der Steuerung und Kontrolle beauftragter IKT-Dienstleister kommt infolge von DORA eine besondere Bedeutung zu. Denn bedienen sich Finanzunternehmen an solchen IKT-Fremdleistungen, stehen sie selbst weiterhin in der Verantwortung, dass die Anforderungen aus DORA umgesetzt sind. Gleiches gilt bei Nutzung von Diensten und Ressourcen aus der Cloud. Für letztere Fälle, in denen in der Regel kein IKT-Vertrag vom Unternehmen individuell verhandelt werden kann, weil die AGB des Cloud Anbieters greifen, stellen wir entsprechende DORA-Checklisten zur Verfügung.

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

Prinzip der Proportionalität

DORA bietet dir ausdrücklich die Möglichkeit, der Umsetzung der Anforderungen unter dem Gesichtspunkt der Verhältnismäßigkeit für dein Unternehmen zu gestalten. Damit wird z.B. deiner Unternehmensgröße, aber auch deinem Geschäftsmodell und dem Gesamtrisikoprofil in der Maßnahmenumsetzung Rechnung getragen.

Artikel 4 DORA umschreibt die Verhältnismäßigkeit als Berücksichtigung von Art, Umfang und Komplexität der Dienstleistung, Tätigkeiten und Geschäfte deines Unternehmens.

×

Rollen und Funktionen

DORA benennt im Rahmen der IKT-Governance verschiedene Funktionen, die teilweise bereits in eurem Unternehmen vorhanden sein können. Dies umfasst

  • die IKT-Risikokontrollfunktion
  • die Krisenkommunikations-Funktion sowie
  • die Drittpartei-Risikomanagementfunktion.

Wir unterstützen dich in der Ausgestaltung der Rollen in deinem Unternehmen unter Berücksichtigung deiner individuellen Anforderungen (Proportionalität). Dabei helfen wir bei der Entscheidungsfindung welche Aufgaben bestehenden Verantwortlichen zugeschlüsselt werden können beziehungsweise wo du neue Rollen und Funktionen aufbauen musst.  
In der BaFin-Aufsichtsmitteilung "Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement" verweist die Aufsichtsbehörde z.B. auf die Möglichkeit den Verantwortungsbereich des Informationssicherheitsbeauftragten (ISB) in Bezug auf das Management von IKT-Risiken weiter zu entwickeln.

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.

×

Supply chain

DORA fordert Transparenz und Nachverfolgbarkeit der vollständigen Dienstleisterkette inklusive Subdienstleister für IKT-Leistungen. Dies bedeutet zunächst, alle Dienstleister und Subdienstleister zu identifizieren.

Wir unterstützen bei der Abgrenzung von IKT-Leistungen zu sonstigen Dienstleistungen sowie bei der Benennung der für euch wichtigen und kritischen Dienstleister, welche zwingend an die Aufsichtsbehörden zu melden sind.

Du möchtest mehr erfahren? Dann melde dich bei uns - wir freuen uns auf deine Anfrage.