18. Jan 2024

Margit Mann im Gespräch mit Lea Grösser

Praxis-Einblicke in die Umsetzung von DORA

DORA, der Digital Operational Resilience Act, betrifft Unternehmen des Finanzsektors. Die Vorgaben dienen zur Überprüfung und Bestätigung der Widerstandsfähigkeit des Unternehmens auf IT-Ebene und müssen von den betroffenen Organisationen bis 17.01.2025 umgesetzt werden.

Neben anderen, sehr detailliert geforderten Vorgaben müssen, z. B. Analysen künftig Risiken durch Leistungen von Drittanbietern berücksichtigen. Weitere Infos dazu finden Sie hier.

Die CIS-Netzwerkpartnerin und BCM-Expertin, Margit Mann, hat mit BCM Officer Lea Grösser, MA, gesprochen und sie um Einblicke in die Umsetzung des Themas in der Praxis gebeten. Frau Grösser ist Teil des Projektteams zur Umsetzung von DORA bei der Bank Gutmann AG. Als Absolventin des Studiums Integriertes Risikomanagement ist sie seit 2020 im Risikomanagement tätig, davor war sie acht Jahre lang im Bankensektor.

Frau Grösser, seit wann beschäftigt Sie  DORA im Unternehmen?

Etwa seit Anfang 2023.

 

Wie haben Sie sich dem Thema generell genähert?

Es wurde ein abteilungsübergreifendes Projektteam mit Spezialist*innen aus verschiedenen Bereichen, wie Recht, IT-Betrieb und IT-Security, Risikomanagement/BCM und andere Fachbereichen gebildet. Im Vordergrund stand eine Analyse der unterschiedlichen Artikel der Verordnung, um eine umfassende GAP-Analyse durchführen zu können und so unseren Reifegrad in Bezug auf DORA einzuschätzen. Danach wurden die einzelnen Aufgabenpakete verteilt und laufenden Abstimmungen eingezogen.

 

Welches sind zusammengefasst für Sie die wichtigsten Themenbereiche?

Management von Informations- und Kommunikationstechnik (IKT)-Risiken, Datensicherheit inkl. Tests/Audits, Meldung von IKT-bezogenen Vorfällen. Ausbau der Strategie zur digitalen operativen Resilienz, Management des IKT-Drittparteienrisiken.

 

Wo liegen die größten Risiken / Chancen für Unternehmen des Bankenumfeldes im Zuge der Umsetzung von DORA?

Chancen liegen in der verstärkten Überwachung von IKT-Dienstleistungsbetrieben; in der stärkeren Zusammenarbeit und im Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen; in der Verstärkung der internen Zusammenarbeit zwischen IT und Kontrollfunktionen und natürlich in der Stärkung der eigenen Resilienz und Sicherheit.

Risiken liegen unter anderem m hohen Zeit- und Ressourcenaufwand für die Analyse und Umsetzung aller Anforderungen und bei den Kosten für erweiterte Tests (TLPT) und Technik.

 

Welche Artikel in DORA gestalten sich aus Eurer Erfahrung in der Umsetzung eher aufwendiger?

Zum Glück erfüllen wir bereits viele Anforderungen der Verordnung und müssen bei einigen Punkten nur Anpassungen in der Organisation oder die Dokumentation betreffend durchführen.

Etwas zeitaufwendig wird es sein alle vorhandenen Richtlinien, Policies, Anweisungen etc. in einen einheitlichen Risikomanagementrahmen gem. Art. 6 der Verordnung zu bringen. Dadurch ergibt sich aber für uns als Unternehmen auch die Chance unsere Dokumentation zu vereinheitlichen und aggregieren, wodurch wir langfristig profitieren können.

Die Ermittlung und Klassifizierung sämtlicher IKT-gestützter Unternehmensfunktionen, wie in Art. 8 verlangt, wird sich ebenfalls zeitaufwendig gestalten. Einiges wird sich auch noch zeigen, wenn die finalisiert sind.

 

Welche Themen hat Business Resilience aus Eurer Sicht in der Umsetzung?

Die Business Resilience hat natürlich einen großen Stellenwert. Ein Thema der Verordnung ist es, das prozessuale und das IKT-bezogene betriebliche Kontinuitätsmanagement näher zusammenzuführen und das Testen der digitalen operativen Resilienz in den allgemeinen Risikomanagementrahmen zu integrieren. Wir betrachten dies auch als Chance für ein stärkeres holistisches Risikomanagement/BCM.

 

Welche branchenspezifischen Herausforderungen seht Ihr bei der Umsetzung?

Jedes Finanzunternehmen muss zunächst feststellen, welche konkreten Anforderungen an das eigene Unternehmen gelten, abhängig von der Unternehmensgröße und Leistungserbringung.

Für Unternehmen, die bisher noch keine Thread-Led Penetration Tests durchgeführt haben, ist die Vorbereitung und Durchführung dieser in Zusammenarbeit mit externen Anbietern wahrscheinlich eine Herausforderung. Außerdem wird durch DORA eine noch stärkere Überwachung und Kontrolle der IKT-Drittdienstleister vorgegeben, als es bisher der Fall war. Zusätzlich kann es sein, dass einiges an organisatorischem und administrativem Aufwand für die Erfüllung aller dokumentarischen Anforderungen anfällt.

 

Welche Empfehlungen haben Sie, um „Stolpersteine“ zu vermeiden und in der Umsetzung rasch voranzukommen?

Wichtig ist es weg vom Silodenken zu kommen, das u. U. noch teilweise in Unternehmen vorherrscht. Für eine effektive Umsetzung von DORA ist es wichtig, dass alle betroffenen Bereiche eng zusammenarbeiten und gegenseitigen Nutzen voneinander ziehen. Es empfiehlt sich außerdem frühzeitig mit der Analyse bzw. Umsetzung zu beginnen. Die Verordnung wirkt nicht besonders komplex, aber es gibt doch einige Inhalte, deren Umsetzung, je nach aktuellem Stand im Unternehmen, auch im Hinblick auf die Managementsysteme, einiges an Zeit und personellen Ressourcen in Anspruch nehmen kann.

 

Was meinen Sie damit, dass DORA u.A. andere Standards triggert?

DORA soll verschiedene geltende Standards in den EU-Staaten vereinheitlichen, erweitern und Lücken schließen. Normen, die mit der DORA in Verbindung stehen sind z. B. EBA Guidelines zu Outsourcing, EBA GL zu Management von IKT-Sicherheitsrisiken. §25 BWG Auslagerungen, Solvency II, NIS2-RL, der Cyber Resilience Act, das Tiber Framework, verschiedene länderspezifische Gesetze und Standards, um nur einige zu nennen.

Fazit

DORA birgt in seiner Komplexität die Chance den Reifegrad der Managementsysteme, wie z. B. ISMS, IT/Daten-Sicherheit und BCM, in Unternehmen zu steigern. Eine effektive Umsetzung erfordert eine enge Zusammenarbeit der einzelnen Bereiche.

 

 

Über die Autorin

Margit Mann, MSc.

Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.

Weitere News & Events

Immer topaktuell informiert

15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
26. Jan 2024

CISO of the Year: Außergewöhnliche Leistungen, außergewöhnliche Auszeichnung

Sonderpreisträger Lifetime Achievement Award Thomas Schober

Mehr erfahren
24. Jan 2024

CISO of the Year: Erfolgreiche Projekte auf die Bühne

CISO of the Year 2023 Bettina Thurnher

Mehr erfahren
22. Jan 2024

Cyberattacken weltweit Nummer 1 Risiko

Neue Daten im Zuge des „Risk Barometer“ veröffentlicht

Mehr erfahren
03. Jan 2024

Resilienz im Finanzsektor – DORA

Digital Operational Resilience Act – Überblick zur EU-Verordnung

Mehr erfahren
07. Dez 2023

Bedeutende rechtliche Fortschritte für die Cyber-Security 2024

Relevante Gesetze und Richtlinien für Informationssicherheit

Mehr erfahren
13. Nov 2023

TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

Wesentliche Neuerungen für Automobil-Industrie

Mehr erfahren
07. Nov 2023

Breaking News zur EN 50600 – Design für Rechenzentren

Vervollständigter Ausgabebestand 2

Mehr erfahren
+43 1 532 98 90