DORA: Nach der Umsetzung ist vor der Prüfung
DORA: Nach der Umsetzung ist vor der Prüfung
Die Informationstechnologie spielt eine immer entscheidendere Rolle in unserem wirtschaftlichen Alltag. Begriffe wie Digitalisierung, Cloud, KI oder Automatisierung sind omnipräsent. Sie bringen jedoch auch neue Herausforderungen mit sich, von zunehmend dynamischen Cyberbedrohungen, gestiegener Cyberkriminalität bis zu stärkeren Abhängigkeiten von Dienstleistern, welche oftmals gar nicht vollumfänglich bekannt sind. Dies kann zu massiven technischen Störungen und Verwerfungen sowie wirtschaftlichen Schäden führen, wie der Vorfall im Juli 2024 zeigt, als eine fehlerhafte Aktualisierung bei CrowdStrike weltweit über 8 Millionen Geräte unterschiedlicher Wirtschaftsteilnehmer „beeinträchtigte oder lahmlegte“.
Um solchen Risiken zu begegnen, wurde im Januar 2023 der „Digital Operational Resilience Act“ (DORA) verabschiedet, der ab dem 17. Januar 2025 in Kraft tritt.
Im Deutsche Bundesbank Monatsbericht September 2024 (DORA aus der Perspektive von bankgeschäftlichen Prüfungen | Deutsche Bundesbank, Link) hat die Bundesbank die aus ihrer Sicht wesentlichen Prüf- und Lernfelder und damit ihre Erwartungshaltung ausführlich beschrieben sowie die aus ihrer Sicht für eine wirksame Governance-Struktur und Organisation für das Management von IKT-Risiken relevanten Aspekte graphisch aufbereitet (Abbildung 1).
Abbildung 1: DORA Governance-Struktur und Organisation für das Management von IKT-Risiken (Quelle: Deutsche Bundesbank Monatsbericht – September 2024 (DORA aus der Perspektive von bankgeschäftlichen Prüfungen | Deutsche Bundesbank, Link))
Aus unserer Sicht ergeben sich für DORA Prüfungen die nachfolgenden Fokusthemen:
- Eine nachhaltige Resilienz ist nur mit robusten und effektiven Strukturen (Governance und Organisation) zur Identifizierung und Steuerung von IKT-Risiken möglich.
- In der Kommunikation sind nicht nur die verpflichtenden Meldungen sicherzustellen. Unabdingbar ist zudem eine aktive Kommunikation mit Aufsichtsbehörden und ggf. dem Markt, um frühzeitig Informationen über mögliche Cyberbedrohungen und schwerwiegende IKT-Vorfälle auszutauschen.
- Alle IKT-relevanten IT-Assets mit ihren Abhängigkeiten müssen dokumentiert sein, damit im Ernstfall Zusammenhänge und Auswirkungen rasch bewertet werden können. So helfen aktuelle, belastbare und eingeübte Notfallpläne und Wiederanlaufroutinen Ausfallzeiten zu vermeiden bzw. auf ein tolerierbares Maß zu reduzieren.
- Die Abläufe sind regelmäßig, auch unter Einbeziehung der Dienstleister zu testen, damit im echten Notfall jeder Handgriff sitzt. Mögliche unerkannte Schwächen sind durch regelmäßige TLPTs zu identifizieren und aktiv zu reflektieren sowie zu beheben.
- Zunehmende Abhängigkeiten und Verflechtungen machen das Management der Drittparteirisiken sowie das Informationsregister zu einem wichtigen Steuerungsinstrument. In diesem sind alle vertraglichen Vereinbarungen und relevanten Weiterverlagerungen zu dokumentieren.
Nach dem Start ist vor dem Update: Neben dem Aspekt, dass die Kommission bis zum 17. Januar 2028 eine Überprüfung von DORA bereits angekündigt hat, stellt die dynamische Bedrohungslage die Aufseher und Finanzinstitute fortlaufend vor neue Herausforderungen, welche entsprechend zu Weiterentwicklungen und Anpassungen führen werden. Im Rahmen der DORA Überprüfung werden unter anderem die Kriterien für die Einstufung kritischer IKT-Drittdienstleister und die Freiwilligkeit der Meldung erheblicher Cyberbedrohungen bewertet und ggf. überarbeitet. (Quelle: Artikel 58 der Verordnung (EU) 2022/2554)
BDO verfügt über ein umfassendes Know-how in den DORA relevanten Themenkomplexen, von breitem Wissen über die Branchenanforderungen bis hin zu Best Practices. Wir bringen unsere langjährige Erfahrung in der Optimierung von Prozessen, Anpassung von Systemen, Durchführung von Tests, der Weiterentwicklung von Risikomanagementfunktionen sowie der Prüfungsdurchführung in Ihren Projektalltag ein und helfen Ihnen, die Herausforderungen rund um DORA nachhaltig zu meistern. Profitieren Sie von unserer fachlichen und methodischen Expertise von der Analyse über die Umsetzungsunterstützung bis zur Vorbereitung und Unterstützung von Prüfungen.
Sprechen Sie uns an, damit wir Ihnen basierend auf Ihren Erfordernissen ein auf Ihre Bedürfnisse zugeschnittenes Angebot unterbreiten können.