Bereit für den Wandel durch DORA?
DORA ist seit dem 17.1.25 Pflicht –
Seid ihr startklar?
+++ Aktuellste Informationen zu DORA nicht verpassen! +++
+++ BaFin gibt Hinweise zur Umsetzung von DORA bekannt +++
+++ Zur Vermeidung von Doppelregelungen hebt BaFin die XAIT zum 16.01.25 auf +++
Informations- und Kommunikationstechnologien (IKT) sind die Lebensadern jedes Finanzunternehmens. Aufgrund der hohen Vernetzung untereinander kann ein Ausfall in diesem Bereich verheerende Auswirkungen auf die Geschäftstätigkeit und Stabilität des Unternehmens haben und Kettenreaktionen auslösen.
Der europäische Gesetzgeber hat gehandelt und den Digital Operational Resilience Act (DORA) verabschiedet. Banken, Versicherungen, Zahlungsdienstleister etc. wurden verpflichtet, die Anforderungen bis zum 17. Januar 2025 umzusetzen. Braucht ihr noch Unterstützung bei der Umsetzung?
Die BaFin gab im Juli 2024 ihre Hinweise zur Umsetzung bekannt. Lies in unserem Whitepaper die Zusammenfassung dieser Hinweise!
DORA-Umsetzung: Herausforderung & Chance zugleich - jetzt handeln!
DORA verpflichtet Finanzunternehmen, umfassende Rahmenwerke für das Risikomanagement von IKT, die Meldung schwerwiegender IKT-Vorfälle sowie die Überwachung von Drittanbietern von IKT-Dienstleistungen zu implementieren. In diesem Kontext ist es von entscheidender Bedeutung, sich mit Blick auf die Umsetzungsfrist rechtzeitig auf diese Veränderungen vorzubereiten und die Vorteile einer robusten digitalen Infrastruktur zu erkennen.
Wir befähigen dich und dein Team in jeder Phase der Umsetzung die Herausforderungen von DORA anzunehmen, die Anforderungen erfolgreich einzuführen und gestärkt aus der Umsetzung hervorzugehen.
Mit Blick auf die Komplexität der nach DORA umzusetzenden Anforderungen empfehlen wir ein risikoorientiertes Vorgehen, das euch bei der Analyse, Planung und Umsetzung gleichermaßen Orientierung gibt. Wir helfen euch, "Risikoorientierung" auf euer Unternehmen zu übersetzen und belastbar zu dokumentieren. So erkennt ihr Abhängigkeiten und könnt Prioritäten, insbesondere mit Blick auf den geforderten Umsetzungstermin der DORA-Regelungen bis zum 17.Januar 2025, ableiten.
Im Rahmen einer Gap-Analyse ermitteln wir euren eigentlichen Handlungsbedarf, der sich im Vergleich zum Status Quo für euer Unternehmen ergibt. Mit einem toolgestützten DORA Assessment bewerten wir mit euch fachlich erkannte Übereinstimmungen, Abweichungen und Lücken. Ergänzend bringen wir in die Zusammenarbeit eine kommentierte DORA-XAIT-Synopse als Qualitätscheck ein. Damit ergibt sich ein genaues Bild, welchen Erfüllungsgrad ihr mit euren Strategien, Richtlinien, Anweisungen (Schriftlich fixierte Ordnung/SFO) etc. sowie technischen und organisatorischen Maßnahmen bereits heute erreicht habt und welche zusätzlichen Umsetzungsmaßnahmen notwendig sind.
Wir helfen euch, die "richtigen" Schwerpunkte zu setzen und die Umsetzung mit Augenmaß zu planen. Denn Kritikalität und Risiken eures Geschäftsmodells bestimmen gleichermaßen über die individuelle "Größe" der Umsetzungsmaßnahmen wie der Reifegrad eurer bisherigen digitalen Widerstandsfähigkeit. Mit unserer DORA-Map und unserer Fristenübersicht behaltet ihr dabei alle Abhängigkeiten, Schnittstellen und Termine stets im Blick.
Euer Unternehmen wird täglich mit einer Vielzahl potenzieller IKT-Risiken konfrontiert. Damit ihr widerstandsfähig seid, bauen wir mit euch einen wirkungsvollen Rahmen für das Management von IKT-Risiken, bestehend aus strategischen wie operativen Elementen. Dabei achten wir selbstverständlich auf eine konsistente Integrations- und Anschlussfähigkeit dieser IKT-Risikomanagement-Elemente in die bestehende Organisationsstruktur. Wir unterstützen bei der Verbindung neuer Elemente, wie z.B. der DOR-Strategie (Strategie für die Digitale operationale Resilienz) mit bestehenden wie eurer IT-Strategie.
Für die neuen Anforderungen nach DORA zum wirksamen Management der IKT-Risiken muss die bestehende Governance überprüft und im Bedarfsfall angepasst werden.
Wir bestimmen mit Euch erforderliche Rollen und Funktionen sowie deren Einbindung in eure Aufbau- und Ablauforganisation inklusive einer Anpassung der bestehenden Governance-Prozesse.
Zur Behandlung, Klassifizierung und Berichterstattung schwerwiegender IKT-bezogener Vorfälle unterstützen wir euch bei der Ausarbeitung, Einführung und Wirksamkeitskontrolle der einschlägigen Strategie, Richtlinien und Prozesse. Das umfasst auch die erforderlichen Kommunikations- und Meldewege und den Umgang mit der freiwilligen Mitteilung von Cyberbedrohungen.
Wir entwickeln mit euch die strategischen Schlüsselprinzipien und Werkzeuge für das Management der IKT-Drittparteirisiken (Third Party Risk Management/TPRM), stellen die Transparenz über die damit verbundene ("supply chain") her und bauen mit euch - bei Bedarf auch toolgestützt - das Informationsregister auf. Daneben helfen wir euch, IKT-Alt- und Neuverträge an die vorgegebenen Mindestinhalte anzupassen und die Konzentrationsrisiken zu bewerten.
Damit ihr die geforderte Transparenz über alle IKT-Dienstleister und Lieferketten sicherstellt, unterstützen wir bei der Konzeption und der Einführung des Informationsregisters.
Wir helfen euch, die hierzu vorgegebenen Templates funktional umzusetzen und die im Zusammenhang stehenden Konzentrationsrisiken abzubilden.
Dafür steht euch bei Bedarf auch unser DORA-Tool zur Verfügung, das über viele weitere Funktionen für das Management von IKT-Fremdbezügen und IKT-Drittpartei-Risiken verfügt.
Ein zentraler Erfolgsfaktor für eine dauerhafte, digitale Widerstandfähigkeit liegt in der Sensibilisierung und Befähigung der Mitarbeitenden im Unternehmen für IKT-Sicherheit und zur digitalen operationalen Resilienz. Auch die Leitungsorgane eures Unternehmens werden in die Pflicht zur regelmäßigen Auseinandersetzung mit DORA genommen. Wir stellen mit euch empfängerorientierte Schulungs- und Kommunikationsmaßnahmen zusammen, arbeiten Nutzer- und Verhaltensrichtlinien im Kontext von Cyber-Security aus und vermitteln im Rahmen unserer Seminare und Webinare vom Grundlagen- bis zum Experten-Wissen zu DORA.
Wir haben Lösungen für dich
Lass uns besprechen, wie wir die DORA-Umsetzung in deiner Organisation angehen, auch toolgestützt mit CloudGate, oder lies es im Whitepaper nach.
11. April 2025
DORA wird inhaltlich von fünf Themensäulen getragen
Als Enabler für komplexe Governance-, Risk- und Compliance-Strukturen in der IT bei beaufsichtigten Finanzunternehmen legen wir für euch unseren besonderen Schwerpunkt auf eure Unterstützung im IKT-Risikomanagement und IKT-Drittpartei-Risikomanagement (Third Party Risk Management/TPRM).
Warum du dich dringend mit DORA befassen solltest
-
Unternehmensstabilität hängt von IKT ab, Dienstleistersteuerung wird komplexer
Die Stabilität von geschäftlichen Abläufen in den Finanzunternehmen hängt von einer funktionierenden IT ab, die regelmäßig den größten "Produktionsfaktor" ausmacht. Damit verbundene Informations- und Kommunikations-Technologien (IKT) werden häufig von gruppen- bzw. verbundeigenen oder dritten IKT-Dienstleistern bereitgestellt, betrieben und gewartet. Oder es werden Dienste und Ressourcen der Cloud-Anbieter zu diesem Zweck genutzt.
Da diese die IKT-auslagernden Unternehmen aber weiterhin für die Einhaltung der Anforderungen aus DORA haften, werden Steuerung und Kontrolle der beauftragten Dienstleister komplexer.
-
Vertiefte Abhängigkeit von IKT-Dienstleistern
Finanzunternehmen haben europaweit eine sehr hohe IT-Auslagerungsquote ("geringe eigene Fertigungstiefe"). Betrieb und Wartung etwa von IKT-Infrastrukturen und -Plattformen sind keine Kernkompetenz der IT-Abteilung in den Finanzunternehmen, sondern ausgelagert.
Damit liegen nicht mehr alle Belange des Informationssicherheits- und des Betriebskontinuitäts-Managements in den Händen der auslagernden Finanzunternehmen. Das Erkennen, Mitigieren und Steuern der damit verbundenen (IKT-) Risiken gewinnt an Bedeutung und Komplexität.
DORA setzt auf einen vereinheitlichten Anforderungskatalog zur Sicherstellung digitaler Resilienz im IKT-Betrieb auf europäischer Ebene. -
Zunehmende Bedeutung von Cloud-Services
Lokale Rechenzentren werden zunehmend durch (Public) Cloud-Services abgelöst – auch bei Finanzunternehmen.
Mit dem Konsum cloudbasierter Dienste und Ressourcen wächst die potenzielle Angriffsfläche. Umso wichtiger ist es zu wissen, wie beispielsweise die drei Tech-Giganten Amazon, Google und Microsoft ihre Innovationskraft nutzen, um sich den tagtäglich neuen Angriffsmethoden und -Techniken wirksam entgegenzustellen und die Anforderungen aus DORA an einen resilienten IKT-Betrieb für ihre Kunden sicherstellen und potenzielle Ansteckungen im Falle eines Angriffs untereinander vermeiden.
-
Wachsende Angriffe und vorbeugende Prüfung der digitalen Betriebsstabilität
Ein übergeordnetes Ziel von DORA ist es, sich an aktuelle Bedrohungslagen schnell anzupassen und für eine Abwehr handlungsfähig zu sein. Denn die Gefahr und Wirkung von Cyberangriffen sind gestiegen.
DORA sieht vor, dass Finanzunternehmen künftig "schwerwiegende IKT-bezogene Vorfälle" auf einer zentralen Plattform melden und Nutzer und Kunden informieren müssen. Unter Berücksichtigung von Unternehmensgröße und Risikoprofil der Geschäftstätigkeiten werden Unternehmen zudem verpflichtet sein, ihre digitale Resilienz im Betrieb regelmäßig zu überprüfen, etwa in Form von End-to-End-Tests oder Penetrationstests u.v.m.
-
Zunehmende Akteure – kriminell oder politisch motiviert
Cyber-Gefahren gehen von Staaten wie von nichtstaatlichen Akteuren (Kriminellen) aus. Dabei sind potenzielle Attacken auf Daten, Kommunikation und Systeme infolge ausgeprägter Vernetzung für die handelnden Akteure weltweit möglich.
Während Cyber-Angriffe in früheren Jahren primär das "Geschäft" organisierter Kriminalität war, sind zunehmend auch Regierungen für feindliche Angriffe verantwortlich – vor allem mit dem Ziel, die Volkswirtschaften in der EU zu schädigen und zu infiltrieren. Finanzunternehmen bieten dabei aufgrund ihrer in der Regel internationalen Aktivitäten eine große, potenzielle Angriffsfläche.
Auch interessant für dich
Alles, was du zur DORA-Umsetzung und anderen Regulatorik-Themen wissen musst
Whitepaper: DORA-Informationsregister
Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten. Jetzt downloaden!
Whitepaper: Umsetzungshinweise DORA
Erfahre im kostenlosen Whitepaper alles über die neuesten Hinweise der BaFin zur Umsetzung des Digital Operational Resilience Act. Jetzt downloaden!
Whitepaper: DORA
Lies im kostenlosen Whitepaper alles, was du über den Digital Operational Resilience Act wissen musst. Jetzt downloaden!
DORA-Tool: CloudGate
Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.
Aufsichtsmitteilung Cloud-Auslagerungen
Lies nach, welche Neuerungen es gibt und wie du heute schon starten kannst mit der Umsetzung der BaFin-Neuregelungen. Infos hier!
GRC-Seminare
Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!
DORA
Stefan Wendt
Enabler und Partner
Du hast Fragen zu DORA? Stefan Wendt hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630