27. Jun 2024

DORA in der Praxis: technische Tools und Herausforderungen

DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. In diesem Expertengespräch stellt CIS-Netzwerkpartnerin und BCM-Expertin Margit Mann Thomas Bachner von Calpana Fragen zur Umsetzung der Themen IT-Governance und IKT-Risikomanagement und praktische Tipps, wie technische Tools dabei unterstützen können.

Vor Kurzem haben wir bereits den ersten Teil des Interviews hier veröffentlicht. Heute möchten wir uns vertiefend dem Thema Umsetzung, Risiken und Tools widmen. Weitere Informationen zu Vorgaben und Umsetzungsfrist finden Sie hier.

 

Bei der Erweiterung der Risikoframeworks zeigt sich in der Praxis bereits, dass hier einige neue Anforderungen seitens DORA bestehen. Neben der Analyse der IKT-Risiken sind auch die IKT-Dienstleisterrisiken und die Erweiterung in bestehende Risikoframeworks zu berücksichtigen. Inwieweit könnten technische Tools hier generell bzw. bei der GAP-Analyse, Ressourcen- bzw. Maßnahmenplanung unterstützen?

Thomas Bachner: Technische Tools können dabei unterstützen, bereits bekannte Risiken in einem Modell abzubilden und durch den kontinuierlichen Einsatz im Zuge von Analysen neue Risiken zu identifizieren. In unserem Tool ist es neben der Risikoidentifikation und Bewertung z. B. auch möglich, eine Sensitivitätsanalyse durchzuführen, um hinsichtlich der Ressourcen eine Priorisierung der Maßnahmenplanung durchzuführen. Unternehmen erhalten so einen Blick darauf, wie die Durchführung dieser oder jener Maßnahme/n, ein vorhandenes Risiko "xy" auf ein akzeptables Niveau minimieren kann. Kontinuierliches Monitoring und Verbesserung tragen dazu bei, die Compliance aufrechtzuerhalten und auch das Niveau der IKT-Sicherheit aus betriebswirtschaftlicher Sicht im Auge zu behalten und steuern zu können.

 

Welche Risiken können dabei abgebildet werden?

Thomas Bachner: Es können Risiken basierend auf IKT-Assets, IT-Prozessen, Compliance hinsichtlich der Erfüllung von Normen, Standards und Gefährdungen (DORA, ISMS, ISO 27001, BCMS, NIS 2, …) und Projektmanagement abgebildet werden. Dies schafft die Möglichkeit, sämtliche organisatorischen, technischen Assets mithilfe von vordefinierten Checklisten/Fragebögen (Content Libraries und Knowledge Packs), die laufend gemäß dem Stand der Technik aktualisiert werden, zu analysieren. Neben der Veränderung von technischen Assets, werden auch organisatorische, gesetzliche und normative Anforderungen berücksichtigt. Zusätzlich werden zu den unterschiedlichen Disziplinen entsprechende Berichte und Dashboards ausgearbeitet und integriert. Dadurch kann ein allumfassender Risikomanagementansatz gemäß DORA inkl. der Erfassung und Behandlung von IKT-Vorfällen, Nachvollziehbarkeit zu Tests der IKT-Sicherheit und das Monitoring zentraler IKT-Dienstleister abgebildet werden.

 

Welche Herausforderungen sehen Sie? Die Praxis zeigt auch die Herausforderung des Überblickes in der Umsetzung zu den einzelnen Artikeln und Paragrafen, RTS und ITS der DORA und des Tracking der Maßnahmenumsetzung mittels Dashboards?

Thomas Bachner: Die Herausforderung für beide Seiten ist sicherlich die Beantwortung der Fragen: Kann ich als betroffenes Unternehmen im Finanzsektor alle meine IKT-Dienstleister im Hinblick auf die Anforderungen der DORA managen? Und kann oder muss ich als IKT-Dienstleister Veränderungen vornehmen, um meine von DORA betroffenen Kund*innen weiter bedienen zu können? Hier bieten wir mit unserer Plattform Lösungsansätze für beide Seiten, um Klarheit zu schaffen und auch in Zukunft erfolgreiche Zusammenarbeiten aufrecht erhalten zu können.

Wir haben einen Anforderungskatalog für die verschiedenen Kapitel der DORA erarbeitet und in unsere Methodik gegossen. Die Fragen zur Compliance der Artikel wurden thematisch in Bausteinen zusammengeführt. Zusätzlich unterstützen wir auch die Compliance zu den Drafts der Regulatory Technical Standards (RTS) und den Drafts der Implementing Technical Standards (ITS).

 

Als Schlusswort ein kurzer Ausblick dazu, was aus Ihrer Sicht nach der Umsetzungsfrist von DORA auf Unternehmen zukommt?

Thomas Bachner: Hier wird es vor allen Dingen die Herausforderung geben, das Niveau zu halten, da es ja einen permanent voranschreitenden technischen Wandel gibt und auch ein kontinuierlicher Prozess für fortwährende Compliance hergestellt werden muss, ähnlich wie bei der ISO 27001. Folgend braucht es auch möglicherweise einen permanenten Beauftragten bzw. eine permanente Beauftragte im Unternehmen, der die allgemeinen und Schnittstellenthemen vorantreibt, ähnlich wie beim Thema Datenschutz und Datenschutzbeauftragten. Auf jeden Fall ist DORA ein kontinuierlicher Prozess, der auch nach dem 17. Jänner 2025 weitergehen wird.

 

Zur Person Thomas Bachner

Partner und Senior Consultant bei Calpana business consulting GmbH seit Ende 2019. Experte im Bereich IT-Risikomanagement (ISMS, ISO 27001, BCM) mit über 10 Jahren Umsetzungserfahrung im Konzernumfeld und als Consultant in verschiedensten Branchen (Handel, IT, Finanzwesen, usw.)

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Weitere News & Events

Immer topaktuell informiert

26. Sep 2024

World Quantum Readiness Day

26. September 2024 ist der erste World Quantum Readiness Day

Mehr erfahren
19. Aug 2024

Global Threat Report 2024: Aktuelle Gefahrenlage

Neue Entwicklungen im Bereich Cybercrime

Mehr erfahren
08. Aug 2024

Was Sie beim CIS Compliance Summit 2024 erwartet!

Erste Einblicke

Mehr erfahren
08. Aug 2024

Vom IT-Consulting zur IT-Security – ein Erfahrungsbericht

CIS Auditor Eden Burton lässt uns an seinem Werdegang teilhaben.

Mehr erfahren
31. Jul 2024

Quereinstieg als IT-Security Auditorin – ein Erfahrungsbericht

Vom Finanzsektor zur IT-Sicherheit

Mehr erfahren
26. Jul 2024

Erster ISO 27001 Statusbericht in Österreich – be part of it

Ihr Insider-Wissen zählt!

Mehr erfahren
25. Jun 2024

DORA in der Praxis: IT-Governance und Risikomanagement

Margit Mann im Gespräch mit Thomas Bachner

Mehr erfahren
11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
+43 1 532 98 90