Der Digital Operational Resilience Act umfasst 79 Seiten mit 9 Kapiteln und ist am 16. Januar 2023 als unmittelbare Verordnung in Kraft getreten. Die Anforderungen sind bis zum 17. Januar 2025 ohne nationale Umsetzung vollständig einzuhalten. DORA greift Anforderungen bestehender Verordnungen wie der BaFin oder des BSI auf, konkretisiert sie und ergänzt sie um neue Elemente. Im Wesentlichen lassen sich die Anforderungen des Digital Operational Resilience Acts in diese sechs Themengebiete unterteilen:
- Etablierung eines Rahmenwerks für das IKT-Risikomanagement Art.15
- Steuerung des IKT-Drittparteienrisikos Art. 28
- Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen Art. 18
- Testen der operativen Resilience Art. 26
- Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister Art. 31
- Informationsaustausch Art.45
DORA hat zum Ziel die Sicherheit und die operationelle Resilienz der Banken und Sparkssen inklusive der IKT-Drittdienstleister zu stärken. Innerhalb des Finanzsektors soll die Anfälligkeit für IKT-Störungen und Cyberbedrohungen reduziert werden. Darüber hinaus ist es Ziel der Verordnung, nationale Vorschriften für die IKT-Sicherheit im Finanzsektor EU-weit zu harmonisieren und einen einheitlichen Aufsichts- und Rechtsrahmen zu schaffen. Der Digital Operational Resilience Act (DORA) soll sicherstellen, dass der Banken- & Sparkassensektor sowie ihre IKT-Dienstleister auf Bedrohungen und Störungen der IKT angemessen reagieren und negative Auswirkungen minimiert werden.
Beispielhafte Auswirkungen & Änderungen für die Sparkassen & Banken
IKT-Assetmanagement
-
Die Risiken aus dem Risikokatalog werden nicht explizit den Assets zugeordnet. RiMaGo hat dies im Modul ISM zwar vorbereitet, die Erfassung muss von den Sparkassen jedoch noch erfolgen und erfordert ein entsprechendes Knowhow bei der Bearbeitung.
-
Eine jährliche Risikobewertung für IKT-Altsysteme und muss vor/nach Änderungen erfolgen.
Allgemeine Tests
-
Ein (risikobasiertes) Test-Programm wird benötigt und beinhaltet Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests, Penetrationstests
Vorfallsmanagement
-
Die Klassifizierungs-Kriterien für schwerwiegende IKT-Sicherheitsvorfälle sind teilweise für Zahlungsdienstleister (PSD2-Richtlinie/ZAG) bekannt , werden aber auf alle IKT-Vorfälle erweitert.
-
Cyberbedrohungen müssen nun zusätzlich zu den realen Vorfällen analysiert werden.
-
Die Kundeninformation bei schwerwiegenden Vorfällen müssen in den Prozessen berücksichtigt werden.
IKT Drittparteienrisiko
-
Alle wesentlichen Unterauftragnehmer müssen enthalten sein.
-
LEI-Kennung müssen für alle juristischen Personen vorliegen. Bisher war für kleinere Unternehmen die ID-Nummer des nationalen Handelsregisters ausreichend.
-
Die BaFin erhält zukünftig regelmäßig Berichte zum Informationsregister
DORA hat eine Vielzahl neuer Anforderungen, die für die Umsetzung im Projekt und auch dauerhaft in den Sparkassen und Banken mehr Ressourcen erfordern.
Wir als NNW-Consulting GmbH unterstützen Sie gerne bei der Anlyse der Handlungsbedarfe und unterstützen Sie operativ bei der Umsetzung.