25. Jun 2024

Margit Mann im Gespräch mit Thomas Bachner

DORA in der Praxis: IT-Governance und Risikomanagement

DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. In diesem Expertengespräch stellt CIS-Netzwerkpartnerin und BCM-Expertin Margit Mann Thomas Bachner von Calpana Fragen zur Umsetzung der Themen IT-Governance und IKT-Risikomanagement und praktische Tipps, wie technische Tools dabei unterstützen können.

Weitere Informationen zu Vorgaben und Umsetzungsfrist finden Sie hier.

 

Bei DORA ist es aktuell noch ein knappes halbes Jahr, bis die Verordnung umzusetzen ist. Obwohl davon auszugehen ist, dass Unternehmen bereits seit längerem mit Hochdruck an DORA arbeiten, was wäre Ihre Empfehlung einer generellen Herangehensweise?

Thomas Bachner: Allen voran erst einmal die objektive Fragestellung, ob fachliches Know-how und die erforderliche Ressource zur Umsetzung im eigenen Unternehmen vorhanden sind, um Aufwand zu optimieren und auf einem guten Niveau zu starten. Auf jeden Fall aber die Evaluierung und Nutzung bereits vorhandener Informationen und Best Practices, um bestehende Governance und bereits implementierte Managementmodelle entsprechend DORA zu ergänzen bzw. zu verbessern.

 

Welches Vorgehen kann man aus Ihrer Erfahrung für die Erhebung des aktuellen Status im Bereich Governance/IKT-Risiko wählen, um eventuelle GAPs bzw. notwendige Maßnahmen zu erkennen?

Thomas Bachner: Falls ein Unternehmen von DORA betroffen ist, gilt es zuerst, eine umfassende GAP-Analyse zu den einzelnen Artikeln, RTS und IST eingeschlossen, mit einer ersten Ressourcenschätzung und Maßnahmenformulierung zum Schließen der GAPs durchzuführen. Basierend darauf gilt es in einem zweiten Schritt eine bestmögliche Ressourcenplanung und Planung zur Maßnahmenumsetzung mit Aktionsplänen sowie die Festlegung der Verantwortlichkeiten sowie die zeitliche Planung der Umsetzung durchzuführen.

 

Was sind dabei aus Ihrer Sicht die generell zu berücksichtigenden Punkte?

Thomas Bachner: Im Bereich der Governance natürlich das Ergänzen des Risikomanagement-Frameworks mit den Erfordernissen des IKT-Risikomanagements. Dazu gehören z. B. Überlegungen, einen ergänzenden und umfassenden Rahmen für das IKT-Risikomanagement zu schaffen, der ebenfalls Strategien, Leit- und Richtlinien und protokollierte Verfahren und Tools umfasst. Notwendig ist auch eine Klassifizierung der IKT-Risiken und die Einbindung der Überprüfung in einen jährlichen Zyklus.

Die Praxis zeigt, dass ein funktionierendes ISMS (Informationssicherheitsmanagementsystem) folgend ISO 27001, als generelles Ventil benötigt wird, um DORA-Anforderungen im Unternehmen umzusetzen. Es gibt auch zahlreiche Schnittstellenthemen, wie z. B. zu Business Continuity folgend ISO 22301.

 

Wie können Unternehmen bereits vorhandene Synergien nutzen?

Thomas Bachner: Man könnte hinterfragen, ob es bereits etablierte Best Practices gibt, die bei der Umsetzung unterstützen können.

Um Inseldenken zu vermeiden und die benötigten Synergien zu schaffen, ist ein starkes Commitment der obersten Leitung notwendig. Das ist auch wichtig, weil im Zuge von DORA neu benötigte Rollen und Strategien formuliert werden müssen, Themen teilweise abteilungs- bzw. funktionsübergreifend sind und vor allem eine proaktive Zusammenarbeit von großer Wichtigkeit ist.

 

Zur Person Thomas Bachner

Partner und Senior Consultant bei Calpana business consulting GmbH seit Ende 2019. Experte im Bereich IT-Risikomanagement (ISMS, ISO 27001, BCM) mit über 10 Jahren Umsetzungserfahrung im Konzernumfeld und als Consultant in verschiedensten Branchen (Handel, IT, Finanzwesen, usw.)

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Mehr zum Thema konkrete Umsetzung und wie technische Tools dabei unterstützen können lesen Sie in Kürze in Teil 2.

 

Weitere Artikel zum Thema DORA

Weitere News & Events

Immer topaktuell informiert

27. Jun 2024

DORA in der Praxis: technische Tools und Herausforderungen

Margit Mann im Gespräch mit Thomas Bachner

Mehr erfahren
11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
+43 1 532 98 90