18. Jan. 2024

Praxis-Einblicke in die Umsetzung von DORA

DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene und müssen von den betroffenen Organisationen bis 17.01.2025 umgesetzt werden.

Neben anderen, sehr detailliert geforderten Vorgaben müssen, z. B. Analysen künftig Risiken durch Leistungen von Drittanbietern berücksichtigen. Weitere Infos dazu finden Sie hier.

Die CIS-Netzwerkpartnerin und BCM-Expertin, Margit Mann, hat mit BCM Officer Lea Grösser, MA, gesprochen und sie um Einblicke in die Umsetzung des Themas in der Praxis gebeten. Frau Grösser ist Teil des Projektteams zur Umsetzung von DORA bei der Bank Gutmann AG. Als Absolventin des Studiums Integriertes Risikomanagement ist sie seit 2020 im Risikomanagement tätig, davor war sie acht Jahre lang im Bankensektor.

Frau Grösser, seit wann beschäftigt Sie  DORA im Unternehmen?

Etwa seit Anfang 2023.

 

Wie haben Sie sich dem Thema generell genähert?

Es wurde ein abteilungsübergreifendes Projektteam mit Spezialist*innen aus verschiedenen Bereichen, wie Recht, IT-Betrieb und IT-Security, Risikomanagement/BCM und andere Fachbereichen gebildet. Im Vordergrund stand eine Analyse der unterschiedlichen Artikel der Verordnung, um eine umfassende GAP-Analyse durchführen zu können und so unseren Reifegrad in Bezug auf DORA einzuschätzen. Danach wurden die einzelnen Aufgabenpakete verteilt und laufenden Abstimmungen eingezogen.

 

Welches sind zusammengefasst für Sie die wichtigsten Themenbereiche?

Management von Informations- und Kommunikationstechnik (IKT)-Risiken, Datensicherheit inkl. Tests/Audits, Meldung von IKT-bezogenen Vorfällen. Ausbau der Strategie zur digitalen operativen Resilienz, Management des IKT-Drittparteienrisiken.

 

Wo liegen die größten Risiken / Chancen für Unternehmen des Bankenumfeldes im Zuge der Umsetzung von DORA?

Chancen liegen in der verstärkten Überwachung von IKT-Dienstleistungsbetrieben; in der stärkeren Zusammenarbeit und im Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen; in der Verstärkung der internen Zusammenarbeit zwischen IT und Kontrollfunktionen und natürlich in der Stärkung der eigenen Resilienz und Sicherheit.

Risiken liegen unter anderem m hohen Zeit- und Ressourcenaufwand für die Analyse und Umsetzung aller Anforderungen und bei den Kosten für erweiterte Tests (TLPT) und Technik.

 

Welche Artikel in DORA gestalten sich aus Eurer Erfahrung in der Umsetzung eher aufwendiger?

Zum Glück erfüllen wir bereits viele Anforderungen der Verordnung und müssen bei einigen Punkten nur Anpassungen in der Organisation oder die Dokumentation betreffend durchführen.

Etwas zeitaufwendig wird es sein alle vorhandenen Richtlinien, Policies, Anweisungen etc. in einen einheitlichen Risikomanagementrahmen gem. Art. 6 der Verordnung zu bringen. Dadurch ergibt sich aber für uns als Unternehmen auch die Chance unsere Dokumentation zu vereinheitlichen und aggregieren, wodurch wir langfristig profitieren können.

Die Ermittlung und Klassifizierung sämtlicher IKT-gestützter Unternehmensfunktionen, wie in Art. 8 verlangt, wird sich ebenfalls zeitaufwendig gestalten. Einiges wird sich auch noch zeigen, wenn die finalisiert sind.

 

Welche Themen hat Business Resilience aus Eurer Sicht in der Umsetzung?

Die Business Resilience hat natürlich einen großen Stellenwert. Ein Thema der Verordnung ist es, das prozessuale und das IKT-bezogene betriebliche Kontinuitätsmanagement näher zusammenzuführen und das Testen der digitalen operativen Resilienz in den allgemeinen Risikomanagementrahmen zu integrieren. Wir betrachten dies auch als Chance für ein stärkeres holistisches Risikomanagement/BCM.

 

Welche branchenspezifischen Herausforderungen seht Ihr bei der Umsetzung?

Jedes Finanzunternehmen muss zunächst feststellen, welche konkreten Anforderungen an das eigene Unternehmen gelten, abhängig von der Unternehmensgröße und Leistungserbringung.

Für Unternehmen, die bisher noch keine Thread-Led Penetration Tests durchgeführt haben, ist die Vorbereitung und Durchführung dieser in Zusammenarbeit mit externen Anbietern wahrscheinlich eine Herausforderung. Außerdem wird durch DORA eine noch stärkere Überwachung und Kontrolle der IKT-Drittdienstleister vorgegeben, als es bisher der Fall war. Zusätzlich kann es sein, dass einiges an organisatorischem und administrativem Aufwand für die Erfüllung aller dokumentarischen Anforderungen anfällt.

 

Welche Empfehlungen haben Sie, um „Stolpersteine“ zu vermeiden und in der Umsetzung rasch voranzukommen?

Wichtig ist es weg vom Silodenken zu kommen, das u. U. noch teilweise in Unternehmen vorherrscht. Für eine effektive Umsetzung von DORA ist es wichtig, dass alle betroffenen Bereiche eng zusammenarbeiten und gegenseitigen Nutzen voneinander ziehen. Es empfiehlt sich außerdem frühzeitig mit der Analyse bzw. Umsetzung zu beginnen. Die Verordnung wirkt nicht besonders komplex, aber es gibt doch einige Inhalte, deren Umsetzung, je nach aktuellem Stand im Unternehmen, auch im Hinblick auf die Managementsysteme, einiges an Zeit und personellen Ressourcen in Anspruch nehmen kann.

 

Was meinen Sie damit, dass DORA u.A. andere Standards triggert?

DORA soll verschiedene geltende Standards in den EU-Staaten vereinheitlichen, erweitern und Lücken schließen. Normen, die mit der DORA in Verbindung stehen sind z. B. EBA Guidelines zu Outsourcing, EBA GL zu Management von IKT-Sicherheitsrisiken. §25 BWG Auslagerungen, Solvency II, NIS2-RL, der Cyber Resilience Act, das Tiber Framework, verschiedene länderspezifische Gesetze und Standards, um nur einige zu nennen.

Fazit

DORA birgt in seiner Komplexität die Chance den Reifegrad der Managementsysteme, wie z. B. ISMS, IT/Daten-Sicherheit und BCM, in Unternehmen zu steigern. Eine effektive Umsetzung erfordert eine enge Zusammenarbeit der einzelnen Bereiche.

 

 

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Weitere News & Events

Immer topaktuell informiert

31. Jan. 2025

Die Verpflichtungen der EU- Verordnung für Künstliche Intelligenz

EU AI Act ab 02. Februar 2025

Mehr erfahren
16. Jan. 2025

CISO of the Year: Inspiration von den Besten holen

Wertvolle Tipps für Ihre Einreichung

Mehr erfahren
09. Jan. 2025

CISO of the Year: Strategisch Sicherheit von morgen schaffen

Insights vom Gewinner

Mehr erfahren
23. Dez. 2024

ISO 27001: Aufwand, Nutzen und Erfolgsfaktoren

Erfolgreicher Aufbau eines Informationssicherheitsmanagements

Mehr erfahren
11. Dez. 2024

Neue Zertifizierung für grüne Rechenzentren auf dem Markt

Österreichisches Umweltzeichen UZ 80

Mehr erfahren
28. Nov. 2024

ISO 27001: Vorteile der Zertifizierung für Ihr Unternehmen

Insights zertifizierter Unternehmen

Mehr erfahren
11. Nov. 2024

6 Schritte zur erfolgreichen ISO 42001 Implementierung

Die Einführung der ISO 42001 erfordert einen strukturierten Ansatz, sorgfältige Planung und Struktur.

Mehr erfahren
06. Nov. 2024

6 Vorteile einer ISO 42001 Zertifizierung

Standards für die verantwortungsvolle und effektive Nutzung von Künstlicher Intelligenz

Mehr erfahren
04. Nov. 2024

ISO 27001 erhöht Informations­sicherheit bei 81 % der zertifizierten Unternehmen

Umfrage

Mehr erfahren
22. Okt. 2024

CIS verleiht erstes ISO 42001 Zertifikat für österreichisches Unternehmen

neue Maßstäbe für die sichere und transparente Entwicklung von KI

Mehr erfahren
16. Sep. 2025

Event:CIS Compliance Summit 2025

Security | Privacy | Continuity

Mehr erfahren
14. Okt. 2024

„CISO of the Year“ kürt zwei Innovatoren, die das Cyber-Leben sicherer und einfacher machen

Einer der Höhepunkte am CIS Compliance Summit war auch in diesem Jahr die Auszeichnung

Mehr erfahren
+43 1 532 98 90