DORA in der Praxis: IT-Governance und Risikomanagement
DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. In diesem Expertengespräch stellt CIS-Netzwerkpartnerin und BCM-Expertin Margit Mann Thomas Bachner von Calpana Fragen zur Umsetzung der Themen IT-Governance und IKT-Risikomanagement und praktische Tipps, wie technische Tools dabei unterstützen können.
Weitere Informationen zu Vorgaben und Umsetzungsfrist finden Sie hier.
Bei DORA ist es aktuell noch ein knappes halbes Jahr, bis die Verordnung umzusetzen ist. Obwohl davon auszugehen ist, dass Unternehmen bereits seit längerem mit Hochdruck an DORA arbeiten, was wäre Ihre Empfehlung einer generellen Herangehensweise?
Thomas Bachner: Allen voran erst einmal die objektive Fragestellung, ob fachliches Know-how und die erforderliche Ressource zur Umsetzung im eigenen Unternehmen vorhanden sind, um Aufwand zu optimieren und auf einem guten Niveau zu starten. Auf jeden Fall aber die Evaluierung und Nutzung bereits vorhandener Informationen und Best Practices, um bestehende Governance und bereits implementierte Managementmodelle entsprechend DORA zu ergänzen bzw. zu verbessern.
Welches Vorgehen kann man aus Ihrer Erfahrung für die Erhebung des aktuellen Status im Bereich Governance/IKT-Risiko wählen, um eventuelle GAPs bzw. notwendige Maßnahmen zu erkennen?
Thomas Bachner: Falls ein Unternehmen von DORA betroffen ist, gilt es zuerst, eine umfassende GAP-Analyse zu den einzelnen Artikeln, RTS und IST eingeschlossen, mit einer ersten Ressourcenschätzung und Maßnahmenformulierung zum Schließen der GAPs durchzuführen. Basierend darauf gilt es in einem zweiten Schritt eine bestmögliche Ressourcenplanung und Planung zur Maßnahmenumsetzung mit Aktionsplänen sowie die Festlegung der Verantwortlichkeiten sowie die zeitliche Planung der Umsetzung durchzuführen.
Was sind dabei aus Ihrer Sicht die generell zu berücksichtigenden Punkte?
Thomas Bachner: Im Bereich der Governance natürlich das Ergänzen des Risikomanagement-Frameworks mit den Erfordernissen des IKT-Risikomanagements. Dazu gehören z. B. Überlegungen, einen ergänzenden und umfassenden Rahmen für das IKT-Risikomanagement zu schaffen, der ebenfalls Strategien, Leit- und Richtlinien und protokollierte Verfahren und Tools umfasst. Notwendig ist auch eine Klassifizierung der IKT-Risiken und die Einbindung der Überprüfung in einen jährlichen Zyklus.
Die Praxis zeigt, dass ein funktionierendes ISMS (Informationssicherheitsmanagementsystem) folgend ISO 27001, als generelles Ventil benötigt wird, um DORA-Anforderungen im Unternehmen umzusetzen. Es gibt auch zahlreiche Schnittstellenthemen, wie z. B. zu Business Continuity folgend ISO 22301.
Wie können Unternehmen bereits vorhandene Synergien nutzen?
Thomas Bachner: Man könnte hinterfragen, ob es bereits etablierte Best Practices gibt, die bei der Umsetzung unterstützen können.
Um Inseldenken zu vermeiden und die benötigten Synergien zu schaffen, ist ein starkes Commitment der obersten Leitung notwendig. Das ist auch wichtig, weil im Zuge von DORA neu benötigte Rollen und Strategien formuliert werden müssen, Themen teilweise abteilungs- bzw. funktionsübergreifend sind und vor allem eine proaktive Zusammenarbeit von großer Wichtigkeit ist.
Zur Person Thomas Bachner
Partner und Senior Consultant bei Calpana business consulting GmbH seit Ende 2019. Experte im Bereich IT-Risikomanagement (ISMS, ISO 27001, BCM) mit über 10 Jahren Umsetzungserfahrung im Konzernumfeld und als Consultant in verschiedensten Branchen (Handel, IT, Finanzwesen, usw.)
Über die Autorin
Margit Mann, MSc.
Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.
Mehr zum Thema konkrete Umsetzung und wie technische Tools dabei unterstützen können lesen Sie in Teil 2.