25. Jun 2024

DORA in der Praxis: IT-Governance und Risikomanagement

DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. In diesem Expertengespräch stellt CIS-Netzwerkpartnerin und BCM-Expertin Margit Mann Thomas Bachner von Calpana Fragen zur Umsetzung der Themen IT-Governance und IKT-Risikomanagement und praktische Tipps, wie technische Tools dabei unterstützen können.

Weitere Informationen zu Vorgaben und Umsetzungsfrist finden Sie hier.

 

Bei DORA ist es aktuell noch ein knappes halbes Jahr, bis die Verordnung umzusetzen ist. Obwohl davon auszugehen ist, dass Unternehmen bereits seit längerem mit Hochdruck an DORA arbeiten, was wäre Ihre Empfehlung einer generellen Herangehensweise?

Thomas Bachner: Allen voran erst einmal die objektive Fragestellung, ob fachliches Know-how und die erforderliche Ressource zur Umsetzung im eigenen Unternehmen vorhanden sind, um Aufwand zu optimieren und auf einem guten Niveau zu starten. Auf jeden Fall aber die Evaluierung und Nutzung bereits vorhandener Informationen und Best Practices, um bestehende Governance und bereits implementierte Managementmodelle entsprechend DORA zu ergänzen bzw. zu verbessern.

 

Welches Vorgehen kann man aus Ihrer Erfahrung für die Erhebung des aktuellen Status im Bereich Governance/IKT-Risiko wählen, um eventuelle GAPs bzw. notwendige Maßnahmen zu erkennen?

Thomas Bachner: Falls ein Unternehmen von DORA betroffen ist, gilt es zuerst, eine umfassende GAP-Analyse zu den einzelnen Artikeln, RTS und IST eingeschlossen, mit einer ersten Ressourcenschätzung und Maßnahmenformulierung zum Schließen der GAPs durchzuführen. Basierend darauf gilt es in einem zweiten Schritt eine bestmögliche Ressourcenplanung und Planung zur Maßnahmenumsetzung mit Aktionsplänen sowie die Festlegung der Verantwortlichkeiten sowie die zeitliche Planung der Umsetzung durchzuführen.

 

Was sind dabei aus Ihrer Sicht die generell zu berücksichtigenden Punkte?

Thomas Bachner: Im Bereich der Governance natürlich das Ergänzen des Risikomanagement-Frameworks mit den Erfordernissen des IKT-Risikomanagements. Dazu gehören z. B. Überlegungen, einen ergänzenden und umfassenden Rahmen für das IKT-Risikomanagement zu schaffen, der ebenfalls Strategien, Leit- und Richtlinien und protokollierte Verfahren und Tools umfasst. Notwendig ist auch eine Klassifizierung der IKT-Risiken und die Einbindung der Überprüfung in einen jährlichen Zyklus.

Die Praxis zeigt, dass ein funktionierendes ISMS (Informationssicherheitsmanagementsystem) folgend ISO 27001, als generelles Ventil benötigt wird, um DORA-Anforderungen im Unternehmen umzusetzen. Es gibt auch zahlreiche Schnittstellenthemen, wie z. B. zu Business Continuity folgend ISO 22301.

 

Wie können Unternehmen bereits vorhandene Synergien nutzen?

Thomas Bachner: Man könnte hinterfragen, ob es bereits etablierte Best Practices gibt, die bei der Umsetzung unterstützen können.

Um Inseldenken zu vermeiden und die benötigten Synergien zu schaffen, ist ein starkes Commitment der obersten Leitung notwendig. Das ist auch wichtig, weil im Zuge von DORA neu benötigte Rollen und Strategien formuliert werden müssen, Themen teilweise abteilungs- bzw. funktionsübergreifend sind und vor allem eine proaktive Zusammenarbeit von großer Wichtigkeit ist.

 

Zur Person Thomas Bachner

Partner und Senior Consultant bei Calpana business consulting GmbH seit Ende 2019. Experte im Bereich IT-Risikomanagement (ISMS, ISO 27001, BCM) mit über 10 Jahren Umsetzungserfahrung im Konzernumfeld und als Consultant in verschiedensten Branchen (Handel, IT, Finanzwesen, usw.)

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Mehr zum Thema konkrete Umsetzung und wie technische Tools dabei unterstützen können lesen Sie in Teil 2.

 

Weitere Artikel zum Thema DORA

Weitere News & Events

Immer topaktuell informiert

26. Sep 2024

World Quantum Readiness Day

26. September 2024 ist der erste World Quantum Readiness Day

Mehr erfahren
19. Aug 2024

Global Threat Report 2024: Aktuelle Gefahrenlage

Neue Entwicklungen im Bereich Cybercrime

Mehr erfahren
08. Aug 2024

Was Sie beim CIS Compliance Summit 2024 erwartet!

Erste Einblicke

Mehr erfahren
08. Aug 2024

Vom IT-Consulting zur IT-Security – ein Erfahrungsbericht

CIS Auditor Eden Burton lässt uns an seinem Werdegang teilhaben.

Mehr erfahren
31. Jul 2024

Quereinstieg als IT-Security Auditorin – ein Erfahrungsbericht

Vom Finanzsektor zur IT-Sicherheit

Mehr erfahren
26. Jul 2024

Erster ISO 27001 Statusbericht in Österreich – be part of it

Ihr Insider-Wissen zählt!

Mehr erfahren
27. Jun 2024

DORA in der Praxis: technische Tools und Herausforderungen

Margit Mann im Gespräch mit Thomas Bachner

Mehr erfahren
11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
+43 1 532 98 90