Digital Operational Resilience Act – Überblick zur EU-Verordnung
Resilienz im Finanzsektor – DORA
DORA ist eine Verordnung der Europäischen Union (EU), die einen verbindlichen, umfassenden Rahmen für das Risikomanagement und die Resilienz der Informations- und Kommunikationstechnologie (IKT) für den EU-Finanzsektor schaffen soll. Die Veröffentlichung von DORA erfolgte am 16. Jänner 2023 und beinhaltet eine Umsetzungsfrist von zwei Jahren.
Wir haben alle relevanten Infos für betroffene Unternehmen:
Wer ist von DORA betroffen?
DORA wird für mehr als 20.000 Finanzunternehmen gelten, die vorgegebene Standards einhalten müssen, um die Auswirkungen von IKT-bezogenen Risiken zu verhindern und zu begrenzen. Die Verordnung ist bis zum 17. Jänner 2025 umzusetzen.
Betroffene Unternehmen sind in der Europäischen Union tätige Finanzinstitute und IKT-Drittdienstleister:
- Banken
- Kredit- und Zahlungsinstitute
- Versicherungsgesellschaften
- Wertpapierbörsen
- Handelsplattformen sowie
- Anbieter digitaler Dienste
Was ist das Ziel von DORA?
DORA soll die Widerstandsfähigkeit des Finanzsektors im Hinblick auf Cyber-Bedrohungen und Betriebsunterbrechungen erhöhen und zielt darauf ab, einen umfassenden und übergreifenden Rahmen für die digitale betriebliche Resilienz mit Regeln für alle regulierten Finanzinstitute zu schaffen.
Dabei geht es in erster Linie um Risiken im Bereich IKT-Systeme und -Betrieb, Cybersicherheit, Betriebsunterbrechungen, IT-Incidents und Risiken kritischer Drittdienstleister.
Was fordert DORA inhaltlich?
Zu DORA selbst: die Anforderungen von DORA sind in Kapitel (Pillars) unterteilt, und diese wiederum in Artikel. Dies erleichtert die interne Zuordnung und Benennung eines internen Workstreams mit den Umsetzungsschritten:
- GAP-Assessment und Readiness Audit (Durchführung der notwendigen GAP-Analysen und Ownership für die Umsetzung)
- Entwicklung eines Umsetzungsplanes (Maßnahmen, Meilensteine und Priorisierung)
- Verbesserung der Richtlinien und Verfahren (Harmonisierung mit DORA)
- Schulung und Awareness
- Überwachung (regelmäßige Bewertung der Maßnahmenwirksamkeit, Monitoring) und kontinuierliche Verbesserung.
Pillars/Kapitel Übersicht
Eine Übersicht der Pillars/Kapitel, die sich aus DORA ergeben sind:
| Pillar 1 | IKT-Risikomanagement (Artikel 5-16) | Die Governance und Steuerung der obersten Leitung im Hinblick auf ihre aktive Rolle bei der Steuerung des Rahmens für das IKT-Risikomanagement und Cyberrisiko. Eine Reihe von Anforderungen und Schlüsselprinzipien an das IKT-Risikorahmenwerk. |
| Pillar 2 | IKT-Incident-Reporting (Artikel 17-23) | Standardisierung der Berichterstattung und Ausweitung der Berichtspflichten. Finanzunternehmen müssen über einen IKT-bezogenen Incident-Management-Prozess verfügen, einschließlich der Meldung schwerwiegender Sicherheitsvorfälle an die EIOPA. |
| Pillar 3 | Digital Operational Resilience Testing (Artikel 24-27) | Finanzunternehmen haben grundlegende und erweiterte Tests (TLPT – Thread-Led Pentration Tests: Simulierung eines Hackerangriffes durch Ethical Hacking) durchzuführen und müssen ein solides und umfassendes digitales Programm zur Prüfung der betrieblichen Resilienz umsetzen. |
| Pillar 4 | Managing of 3rd Party Risk (Artikel 28-44) | Finanzunternehmen, müssen das IKT-Risiko von Dritten als integralen Bestandteil ihres IKT-Risikomanagementrahmens managen. Schaffung prinzipienbasierter Regeln für die Überwachung von Risiken durch Dritte, Definition vertraglicher Bestimmungen und Schaffung eines Übersichtsrahmens für kritische IKT TPPs (Third Party Provider / deutsch: IKT-Drittdienstleister) |
| Pillar 5 | Information Sharing Arrangements (Artikel 45) | Finanzunternehmen tauschen untereinander Informationen und Erkenntnisse über Cyberbedrohungen aus. |
DORA Level 2 Regulatory Technical Standards (L2 RTS)
Die erste Charge von L2 RTS wurde am 17. Januar 2023 veröffentlicht.
Dazu gehören:
- IKT-Risikomanagement Rahmenwerk (Art. 15, 16): Risikomanagementinstrumente, -methoden, -prozesse und -strategien, Verhältnismäßigkeit und risikobasierter Ansatz, Flexibilität bei der Umsetzung, Berichterstattung über den Risikomanagementrahmen, Schwachstellenberichterstattung und Risikomanagementrahmen in zahlreichen Funktionen.
- Incidents im Zusammenhang mit IKT (Art. 18.3): Klassifizierung von IKT-Vorfällen mit Kriterien wie Reputationsauswirkungen, Dauer, Serviceausfall und betroffenen Transaktionen
- IKT-Dienste durch Dritte (Art. 28.9, 28.10): Details zum Inhalt von Richtlinien in Bezug auf vertragliche Vereinbarungen und zu den Arten von Informationen, die in das Informationsregister der IKT-Dienste der TPPs aufzunehmen sind.
Die zweite Charge der L2 RTS wurde am 10. Dezember 2023 veröffentlicht und steht bis 04. März 2024 zur Konsultation offen.
Weitere relevante Gesetze und Richtlinien
Im aktuellen Zusammenhang der relevanten Gesetze und Richtlinien für die Informationssicherheit dürfen wir auch auf den CIS Artikel „Bedeutende rechtliche Fortschritte für die Cyber-Security 2024 verweisen, der eine Übersicht zu maßgeblichen Regelwerken wie die NIS 2 (Netz- und Informationssicherheitsrichtlinie 2), den Cyber Resilience Act (CRA), den Articifical Inteligence (AI) Act, TISAX (Trusted Information Security Assessment Exchange) und DORA (Digital Operational Resilience Act) gibt.
Ansprechpartnerinnen
Margit Mann, MSc.
Als Managerin des Bereiches Business Resilience, BCM eines großen Versicherungsunternehmens in Österreich kennt sie die Wichtigkeit des Zusammenspiels der Managementsysteme, der Schnittstellenthemen zur ISO 22301 und der Adaption neuer Richtlinien und Themen. Ihr persönliches Motto: Laufende Verbesserung als Weg zum Erfolg.
Lea Grösser, MA
BCM Officerin und Teil des Projektteams zur Umsetzung von DORA bei der Bank Gutmann AG. Als Absolventin des Studiums Integriertes Risikomanagement ist sie seit 2020 im Risikomanagement tätig der Bank Gutmann AG tätig.