ISMC – Information Security Management Consulting

DORA

Digital Operational Resilience Act

DORA ist Teil des Digital Financial Packages der EU (https://finance.ec.europa.eu/publications/digital-finance-package_en) das am 24.09.2020 veröffentlicht wurde.
DORA wird durch die DORA-Verordnung am 17.01.2025 in Kraft gesetzt und gilt für Finanzdienstleister die durch die entsprechenden Regulatoren (in Österreich: FMA, in Deutschland: BAFin) reguliert werden.

Das generelle Ziel von DORA ist die Resilienz der Unternehmen gegen digitale Vorfällen, seien sie absichtlich oder unabsichtlich herbeigeführt.

Zentrale Elemente der DORA-Implementierung sind

  • IKT-Risikomanagement
  • IKT-Vorfälle
  • Testen der Digitalen Operativen Resilienz
  • Management des IKT-Lieferanten-Risikos
  • Informationsaustausch und Notfallübungen
  • Überwachung kritischer IKT-Dienstleister (direkte Aufsicht des Regulators über IKT-Anbieter)

Was ist zu tun?

Wir beginnen mit der Identifikation der wesentlichen Funktionen im Unternehmen. Das sind jede, die auch direkt von der Aufsicht als wesentlich definiert werden, und regelmäßig geprüft werden. Im Regelwerk werden diese CIF – Critical and Important Functions genannt.

Für diese definieren wir die Anforderungen an die Verfügbarkeit, Integrität und Vertraulichkeit. Die CIFs hängen im Betrieb von IKT-Systemen ab, und an diese werden die oben definierten Anforderungen übergeben, bei internen System operativ in der Organisation, bei extern betriebenen per SLA an den Service Provider.

Wir müssen die Einhaltung der Anforderungen regelmäßig überprüfen und auf Abweichungen entsprechend reagieren.

Die Überprüfung muss angemessen im Rahmen von geeigneten Tests stattfinden und protokolliert werden.

Was bedeutet das für IKT Provider?

Es ist entscheidend für die Realisierung und Überprüfung der Anforderungen, dass wir in der Lage sind, die Anforderungen an alle Komponenten der Infrastruktur zu vererben, und operationale Risiken aus der Infrastruktur an den Geschäftsprozess zu übergeben. Dies erfolgt im Rahmen eines Asset-Managements, das nicht nur alle Assets auflistet, sondern auch alle Abhängigkeiten und notwendige Parameter dokumentiert.

Dies versetzt uns in die Lage, die BCM-Parameter (BCM = Business Continuity Management) an alle Komponenten zu vererben, die geforderten Anforderungen zu implementieren und in Tests nachzuweisen.

Umgekehrt können wir Vorfälle in den IKT-Systemen direkt den Geschäftsprozessen zuordnen, um eventuell bestehende Berichtspflichten zu erfüllen.