Digital Operation Resilience ACT (DORA)

21.12.2023 | Informationssicherheit

Protokollierung, Sollmaßnahmen & RiMaGo. Die Anforderungen für Sparkassen & Banken werden im Rahmen der Informationssicherheit und des Auslagerungsmanagements gemäß MaRisk stetig größer.

Sparkassen und Banken stehen vor großen Herausforderungen und werden mit unterschiedlichen gesetzlichen Anforderungen konfrontiert.

Nun steht eine neue Verordnung mit dem "Digital Operational Resilience Act" (DORA) in den Startlöchern. Was bedeutet das für Sparkassen und Banken und worauf ist zu achten ?

Der Digital Operational Resilience Act umfasst 79 Seiten mit 9 Kapiteln und ist am 16. Januar 2023 als unmittelbare Verordnung in Kraft getreten. Die Anforderungen sind bis zum 17. Januar 2025 ohne nationale Umsetzung vollständig einzuhalten. DORA greift Anforderungen bestehender Verordnungen wie der BaFin oder des BSI auf, konkretisiert sie und ergänzt sie um neue Elemente. Im Wesentlichen lassen sich die Anforderungen des Digital Operational Resilience Acts in diese sechs Themengebiete unterteilen:

Etablierung eines Rahmenwerks für das IKT-Risikomanagement Art.15
Steuerung des IKT-Drittparteienrisikos Art. 28
Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen Art. 18
Testen der operativen Resilience Art. 26
Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister Art. 31
Informationsaustausch Art.45

DORA hat zum Ziel die Sicherheit und die operationelle Resilienz der Banken und Sparkssen inklusive der IKT-Drittdienstleister zu stärken. Innerhalb des Finanzsektors soll die Anfälligkeit für IKT-Störungen und Cyberbedrohungen reduziert werden. Darüber hinaus ist es Ziel der Verordnung, nationale Vorschriften für die IKT-Sicherheit im Finanzsektor EU-weit zu harmonisieren und einen einheitlichen Aufsichts- und Rechtsrahmen zu schaffen. Der Digital Operational Resilience Act (DORA) soll sicherstellen, dass der Banken- & Sparkassensektor sowie ihre IKT-Dienstleister auf Bedrohungen und Störungen der IKT angemessen reagieren und negative Auswirkungen minimiert werden.

Beispielhafte Auswirkungen & Änderungen für die Sparkassen & Banken

IKT-Assetmanagement

Die Risiken aus dem Risikokatalog werden nicht explizit den Assets zugeordnet. RiMaGo hat dies im Modul ISM zwar vorbereitet, die Erfassung muss von den Sparkassen jedoch noch erfolgen und erfordert eine entsprechendes Knowhow bei der Bearbeitung.
Eine jährliche Risikobewertung für IKT-Altsysteme und muss vor/nach Änderungen erfolgen.

Allgemeine Tests

Ein (risikobasiertes) Test-Programm wird benötigt und beinhaltet Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests, Penetrationstests

Vorfallsmanagement

Die Klassifizierungs-Kriterien für schwerwiegende IKT-Sicherheitsvorfälle sind teilweise für Zahlungsdienstleister (PSD2-Richtlinie/ZAG) bekannt , werden aber auf alle IKT-Vorfälle erweitert.
Cyberbedrohungen müssen nun zusätzlich zu den realen Vorfällen analysiert werden.
Die Kundeninformation bei schwerwiegenden Vorfällen müssen in den Prozessen berücksichtigt werden.

IKT Drittpateienrisiko

Alle wesentlichen Unterauftragnehmer müssen enthalten sein.
LEI-Kennung müssen für alle juristische Personen vorliegen. Bisher war für kleinere Unternehmen die ID-Nummer des nationalen Handelsregisters ausreichend.
Die BaFin erhält zukünftig regelmäßig Berichte zum Informationsregister

DORA hat eine Vielzahl neuer Anforderungen, die für die Umsetzung im Projekt und auch dauerhaft in den Sparkassen und Banken mehr Ressourcen erfordern.

Wir als NNW-Consulting GmbH unterstützen Sie gerne bei der Anlyse der Handlungsbedarfe und unterstützen Sie operativ bei der Umsetzung.

NNW Consulting

Digital Operation Resilience ACT (DORA)