18. Jan 2024

Margit Mann im Gespräch mit Lea Grösser

Praxis-Einblicke in die Umsetzung von DORA

DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene und müssen von den betroffenen Organisationen bis 17.01.2025 umgesetzt werden.

Neben anderen, sehr detailliert geforderten Vorgaben müssen, z. B. Analysen künftig Risiken durch Leistungen von Drittanbietern berücksichtigen. Weitere Infos dazu finden Sie hier.

Die CIS-Netzwerkpartnerin und BCM-Expertin, Margit Mann, hat mit BCM Officer Lea Grösser, MA, gesprochen und sie um Einblicke in die Umsetzung des Themas in der Praxis gebeten. Frau Grösser ist Teil des Projektteams zur Umsetzung von DORA bei der Bank Gutmann AG. Als Absolventin des Studiums Integriertes Risikomanagement ist sie seit 2020 im Risikomanagement tätig, davor war sie acht Jahre lang im Bankensektor.

Frau Grösser, seit wann beschäftigt Sie  DORA im Unternehmen?

Etwa seit Anfang 2023.

 

Wie haben Sie sich dem Thema generell genähert?

Es wurde ein abteilungsübergreifendes Projektteam mit Spezialist*innen aus verschiedenen Bereichen, wie Recht, IT-Betrieb und IT-Security, Risikomanagement/BCM und andere Fachbereichen gebildet. Im Vordergrund stand eine Analyse der unterschiedlichen Artikel der Verordnung, um eine umfassende GAP-Analyse durchführen zu können und so unseren Reifegrad in Bezug auf DORA einzuschätzen. Danach wurden die einzelnen Aufgabenpakete verteilt und laufenden Abstimmungen eingezogen.

 

Welches sind zusammengefasst für Sie die wichtigsten Themenbereiche?

Management von Informations- und Kommunikationstechnik (IKT)-Risiken, Datensicherheit inkl. Tests/Audits, Meldung von IKT-bezogenen Vorfällen. Ausbau der Strategie zur digitalen operativen Resilienz, Management des IKT-Drittparteienrisiken.

 

Wo liegen die größten Risiken / Chancen für Unternehmen des Bankenumfeldes im Zuge der Umsetzung von DORA?

Chancen liegen in der verstärkten Überwachung von IKT-Dienstleistungsbetrieben; in der stärkeren Zusammenarbeit und im Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen; in der Verstärkung der internen Zusammenarbeit zwischen IT und Kontrollfunktionen und natürlich in der Stärkung der eigenen Resilienz und Sicherheit.

Risiken liegen unter anderem m hohen Zeit- und Ressourcenaufwand für die Analyse und Umsetzung aller Anforderungen und bei den Kosten für erweiterte Tests (TLPT) und Technik.

 

Welche Artikel in DORA gestalten sich aus Eurer Erfahrung in der Umsetzung eher aufwendiger?

Zum Glück erfüllen wir bereits viele Anforderungen der Verordnung und müssen bei einigen Punkten nur Anpassungen in der Organisation oder die Dokumentation betreffend durchführen.

Etwas zeitaufwendig wird es sein alle vorhandenen Richtlinien, Policies, Anweisungen etc. in einen einheitlichen Risikomanagementrahmen gem. Art. 6 der Verordnung zu bringen. Dadurch ergibt sich aber für uns als Unternehmen auch die Chance unsere Dokumentation zu vereinheitlichen und aggregieren, wodurch wir langfristig profitieren können.

Die Ermittlung und Klassifizierung sämtlicher IKT-gestützter Unternehmensfunktionen, wie in Art. 8 verlangt, wird sich ebenfalls zeitaufwendig gestalten. Einiges wird sich auch noch zeigen, wenn die finalisiert sind.

 

Welche Themen hat Business Resilience aus Eurer Sicht in der Umsetzung?

Die Business Resilience hat natürlich einen großen Stellenwert. Ein Thema der Verordnung ist es, das prozessuale und das IKT-bezogene betriebliche Kontinuitätsmanagement näher zusammenzuführen und das Testen der digitalen operativen Resilienz in den allgemeinen Risikomanagementrahmen zu integrieren. Wir betrachten dies auch als Chance für ein stärkeres holistisches Risikomanagement/BCM.

 

Welche branchenspezifischen Herausforderungen seht Ihr bei der Umsetzung?

Jedes Finanzunternehmen muss zunächst feststellen, welche konkreten Anforderungen an das eigene Unternehmen gelten, abhängig von der Unternehmensgröße und Leistungserbringung.

Für Unternehmen, die bisher noch keine Thread-Led Penetration Tests durchgeführt haben, ist die Vorbereitung und Durchführung dieser in Zusammenarbeit mit externen Anbietern wahrscheinlich eine Herausforderung. Außerdem wird durch DORA eine noch stärkere Überwachung und Kontrolle der IKT-Drittdienstleister vorgegeben, als es bisher der Fall war. Zusätzlich kann es sein, dass einiges an organisatorischem und administrativem Aufwand für die Erfüllung aller dokumentarischen Anforderungen anfällt.

 

Welche Empfehlungen haben Sie, um „Stolpersteine“ zu vermeiden und in der Umsetzung rasch voranzukommen?

Wichtig ist es weg vom Silodenken zu kommen, das u. U. noch teilweise in Unternehmen vorherrscht. Für eine effektive Umsetzung von DORA ist es wichtig, dass alle betroffenen Bereiche eng zusammenarbeiten und gegenseitigen Nutzen voneinander ziehen. Es empfiehlt sich außerdem frühzeitig mit der Analyse bzw. Umsetzung zu beginnen. Die Verordnung wirkt nicht besonders komplex, aber es gibt doch einige Inhalte, deren Umsetzung, je nach aktuellem Stand im Unternehmen, auch im Hinblick auf die Managementsysteme, einiges an Zeit und personellen Ressourcen in Anspruch nehmen kann.

 

Was meinen Sie damit, dass DORA u.A. andere Standards triggert?

DORA soll verschiedene geltende Standards in den EU-Staaten vereinheitlichen, erweitern und Lücken schließen. Normen, die mit der DORA in Verbindung stehen sind z. B. EBA Guidelines zu Outsourcing, EBA GL zu Management von IKT-Sicherheitsrisiken. §25 BWG Auslagerungen, Solvency II, NIS2-RL, der Cyber Resilience Act, das Tiber Framework, verschiedene länderspezifische Gesetze und Standards, um nur einige zu nennen.

Fazit

DORA birgt in seiner Komplexität die Chance den Reifegrad der Managementsysteme, wie z. B. ISMS, IT/Daten-Sicherheit und BCM, in Unternehmen zu steigern. Eine effektive Umsetzung erfordert eine enge Zusammenarbeit der einzelnen Bereiche.

 

 

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Weitere News & Events

Immer topaktuell informiert

11. Jun 2024

Aufnahme von Aspekten des Klimawandels in die Normen für Management­systeme

Neuerungen und wie es weiter geht

Mehr erfahren
22. Mai 2024

Wie lernen Sie am Besten?

Welche Ansprüche stellen Sie an eine Weiterbildung?

Mehr erfahren
22. Mai 2024

Der neue Online-Kurs für Information Security Manager*innen ist da!

Flexibel bleiben und online lernen

Mehr erfahren
22. Mai 2024

Neu: Kompaktkurs Datenschutz

Stärken Sie Ihre Position als Expert*in in nur einem Tag!

Mehr erfahren
15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

Sicherheit in der Automobilindustrie

Mehr erfahren
13. Mai 2024

TISAX® deep dive: die drei Assessment-Levels

Sicherheit in der Automobilindustrie

Mehr erfahren
30. Apr 2024

TISAX®: Informations­sicherheit in der Automobilbranche

Auf der Überholspur

Mehr erfahren
29. Apr 2024

Erfolgreiche erste Prüfung nach dem Netz- und Informations­systemsicherheits­gesetz (NIS-Gesetz)

Success Story am Beispiel der KAGes.m.b.H.

Mehr erfahren
04. Apr 2024

Exklusives Führungskräfte­training für NIS-2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
+43 1 532 98 90