Praxis-Einblicke in die Umsetzung von DORA

Frau Grösser, seit wann beschäftigt Sie  DORA im Unternehmen?

Etwa seit Anfang 2023.

Wie haben Sie sich dem Thema generell genähert?

Es wurde ein abteilungsübergreifendes Projektteam mit Spezialist*innen aus verschiedenen Bereichen, wie Recht, IT-Betrieb und IT-Security, Risikomanagement/BCM und andere Fachbereichen gebildet. Im Vordergrund stand eine Analyse der unterschiedlichen Artikel der Verordnung, um eine umfassende GAP-Analyse durchführen zu können und so unseren Reifegrad in Bezug auf DORA einzuschätzen. Danach wurden die einzelnen Aufgabenpakete verteilt und laufenden Abstimmungen eingezogen.

Welches sind zusammengefasst für Sie die wichtigsten Themenbereiche?

Management von Informations- und Kommunikationstechnik (IKT)-Risiken, Datensicherheit inkl. Tests/Audits, Meldung von IKT-bezogenen Vorfällen. Ausbau der Strategie zur digitalen operativen Resilienz, Management des IKT-Drittparteienrisiken.

Wo liegen die größten Risiken / Chancen für Unternehmen des Bankenumfeldes im Zuge der Umsetzung von DORA?

Chancen liegen in der verstärkten Überwachung von IKT-Dienstleistungsbetrieben; in der stärkeren Zusammenarbeit und im Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen; in der Verstärkung der internen Zusammenarbeit zwischen IT und Kontrollfunktionen und natürlich in der Stärkung der eigenen Resilienz und Sicherheit.

Risiken liegen unter anderem m hohen Zeit- und Ressourcenaufwand für die Analyse und Umsetzung aller Anforderungen und bei den Kosten für erweiterte Tests (TLPT) und Technik.

Welche Artikel in DORA gestalten sich aus Eurer Erfahrung in der Umsetzung eher aufwendiger?

Zum Glück erfüllen wir bereits viele Anforderungen der Verordnung und müssen bei einigen Punkten nur Anpassungen in der Organisation oder die Dokumentation betreffend durchführen.

Etwas zeitaufwendig wird es sein alle vorhandenen Richtlinien, Policies, Anweisungen etc. in einen einheitlichen Risikomanagementrahmen gem. Art. 6 der Verordnung zu bringen. Dadurch ergibt sich aber für uns als Unternehmen auch die Chance unsere Dokumentation zu vereinheitlichen und aggregieren, wodurch wir langfristig profitieren können.

Die Ermittlung und Klassifizierung sämtlicher IKT-gestützter Unternehmensfunktionen, wie in Art. 8 verlangt, wird sich ebenfalls zeitaufwendig gestalten. Einiges wird sich auch noch zeigen, wenn die finalisiert sind.

Welche Themen hat Business Resilience aus Eurer Sicht in der Umsetzung?

Die Business Resilience hat natürlich einen großen Stellenwert. Ein Thema der Verordnung ist es, das prozessuale und das IKT-bezogene betriebliche Kontinuitätsmanagement näher zusammenzuführen und das Testen der digitalen operativen Resilienz in den allgemeinen Risikomanagementrahmen zu integrieren. Wir betrachten dies auch als Chance für ein stärkeres holistisches Risikomanagement/BCM.

Welche branchenspezifischen Herausforderungen seht Ihr bei der Umsetzung?

Jedes Finanzunternehmen muss zunächst feststellen, welche konkreten Anforderungen an das eigene Unternehmen gelten, abhängig von der Unternehmensgröße und Leistungserbringung.

Für Unternehmen, die bisher noch keine Thread-Led Penetration Tests durchgeführt haben, ist die Vorbereitung und Durchführung dieser in Zusammenarbeit mit externen Anbietern wahrscheinlich eine Herausforderung. Außerdem wird durch DORA eine noch stärkere Überwachung und Kontrolle der IKT-Drittdienstleister vorgegeben, als es bisher der Fall war. Zusätzlich kann es sein, dass einiges an organisatorischem und administrativem Aufwand für die Erfüllung aller dokumentarischen Anforderungen anfällt.

Welche Empfehlungen haben Sie, um „Stolpersteine“ zu vermeiden und in der Umsetzung rasch voranzukommen?

Wichtig ist es weg vom Silodenken zu kommen, das u. U. noch teilweise in Unternehmen vorherrscht. Für eine effektive Umsetzung von DORA ist es wichtig, dass alle betroffenen Bereiche eng zusammenarbeiten und gegenseitigen Nutzen voneinander ziehen. Es empfiehlt sich außerdem frühzeitig mit der Analyse bzw. Umsetzung zu beginnen. Die Verordnung wirkt nicht besonders komplex, aber es gibt doch einige Inhalte, deren Umsetzung, je nach aktuellem Stand im Unternehmen, auch im Hinblick auf die Managementsysteme, einiges an Zeit und personellen Ressourcen in Anspruch nehmen kann.

Was meinen Sie damit, dass DORA u.A. andere Standards triggert?

DORA soll verschiedene geltende Standards in den EU-Staaten vereinheitlichen, erweitern und Lücken schließen. Normen, die mit der DORA in Verbindung stehen sind z. B. EBA Guidelines zu Outsourcing, EBA GL zu Management von IKT-Sicherheitsrisiken. §25 BWG Auslagerungen, Solvency II, NIS2-RL, der Cyber Resilience Act, das Tiber Framework, verschiedene länderspezifische Gesetze und Standards, um nur einige zu nennen.

Fazit

DORA birgt in seiner Komplexität die Chance den Reifegrad der Managementsysteme, wie z. B. ISMS, IT/Daten-Sicherheit und BCM, in Unternehmen zu steigern. Eine effektive Umsetzung erfordert eine enge Zusammenarbeit der einzelnen Bereiche.