NNW Consulting

NNW Consulting

Startseite » Magazin

Digital Operation Resilience ACT (DORA)

|   Informationssicherheit

Protokollierung, Sollmaßnahmen & RiMaGo. Die Anforderungen für Sparkassen & Banken werden im Rahmen der Informationssicherheit und des Auslagerungsmanagements gemäß MaRisk stetig größer.

Sparkassen und Banken stehen vor großen Herausforderungen und werden mit unterschiedlichen gesetzlichen Anforderungen konfrontiert.

Nun steht eine neue Verordnung mit dem "Digital Operational Resilience Act" (DORA) in den Startlöchern. Was bedeutet das für Sparkassen und Banken und worauf ist zu achten ?

 

 

Der Digital Operational Resilience Act umfasst 79 Seiten mit 9 Kapiteln und ist am 16. Januar 2023 als unmittelbare Verordnung in Kraft getreten. Die Anforderungen sind bis zum 17. Januar 2025 ohne nationale Umsetzung vollständig einzuhalten. DORA greift Anforderungen bestehender Verordnungen wie der BaFin oder des BSI auf, konkretisiert sie und ergänzt sie um neue Elemente. Im Wesentlichen lassen sich die Anforderungen des Digital Operational Resilience Acts in diese sechs Themengebiete unterteilen:

 

  • Etablierung eines Rahmenwerks für das IKT-Risikomanagement Art.15
  • Steuerung des IKT-Drittparteienrisikos Art. 28
  • Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen Art. 18
  • Testen der operativen Resilience Art. 26
  • Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister Art. 31
  • Informationsaustausch Art.45

DORA hat zum Ziel die Sicherheit und die operationelle Resilienz der Banken und Sparkssen inklusive der IKT-Drittdienstleister zu stärken. Innerhalb des Finanzsektors soll die Anfälligkeit für IKT-Störungen und Cyberbedrohungen reduziert werden. Darüber hinaus ist es Ziel der Verordnung, nationale Vorschriften für die IKT-Sicherheit im Finanzsektor EU-weit zu harmonisieren und einen einheitlichen Aufsichts- und Rechtsrahmen zu schaffen. Der Digital Operational Resilience Act (DORA) soll sicherstellen, dass der Banken- & Sparkassensektor sowie ihre IKT-Dienstleister auf Bedrohungen und Störungen der IKT angemessen reagieren und negative Auswirkungen minimiert werden.

 

 Beispielhafte Auswirkungen & Änderungen für die Sparkassen & Banken 

IKT-Assetmanagement

  • Die Risiken aus dem Risikokatalog werden nicht explizit den Assets zugeordnet. RiMaGo hat dies im Modul ISM zwar vorbereitet, die Erfassung muss von den Sparkassen jedoch noch erfolgen und erfordert ein entsprechendes Knowhow bei der Bearbeitung.

  • Eine jährliche Risikobewertung für IKT-Altsysteme und muss vor/nach Änderungen erfolgen.

Allgemeine Tests

  • Ein (risikobasiertes) Test-Programm wird benötigt und beinhaltet Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests, Penetrationstests

Vorfallsmanagement

  • Die Klassifizierungs-Kriterien für schwerwiegende IKT-Sicherheitsvorfälle sind teilweise für Zahlungsdienstleister (PSD2-Richtlinie/ZAG) bekannt , werden aber auf alle IKT-Vorfälle erweitert.

  • Cyberbedrohungen müssen nun zusätzlich zu den realen Vorfällen analysiert werden.

  • Die Kundeninformation bei schwerwiegenden Vorfällen müssen in den Prozessen berücksichtigt werden.

IKT Drittparteienrisiko

  • Alle wesentlichen Unterauftragnehmer müssen enthalten sein.

  • LEI-Kennung müssen für alle juristischen Personen vorliegen. Bisher war für kleinere Unternehmen die ID-Nummer des nationalen Handelsregisters ausreichend.

  • Die BaFin erhält zukünftig regelmäßig Berichte zum Informationsregister 

 

DORA hat eine Vielzahl neuer Anforderungen, die für die Umsetzung im Projekt und auch dauerhaft in den Sparkassen und Banken mehr Ressourcen erfordern.

Wir als NNW-Consulting GmbH unterstützen Sie gerne bei der Anlyse der Handlungsbedarfe und unterstützen Sie operativ bei der Umsetzung.