Digital Operational Resilience Act (DORA)

Jul 19, 2024 von Dominique Meier, Lukas Koslowski

In einer zunehmend digitalisierten Welt spielt die Gewährleistung der Betriebssicherheit eine entscheidende Rolle für die Finanzbranche. Der Digital Operational Resilience Act (DORA) stellt einen rechtlichen Rahmen dar, der darauf abzielt, die Widerstandsfähigkeit europäischer Finanzinstitute gegen Cyberangriffe zu stärken. Vom IKT-Risikomanagement bis hin zur Meldung an Behörden – wir werfen einen Blick auf die Schlüsselaspekte von DORA und wie dessen Umsetzung den schweizerischen Finanzmarkt beeinflussen könnte. Erfahren Sie, mit welchen Anforderungen Sie sich vertraut machen sollten und wie unsere Fachleute Sie bei der Implementierung der DORA-Verordnung unterstützen können.


Was ist DORA?

Um den Herausforderungen der Cybersicherheit und des operativen Betriebs gerecht zu werden, wurde mit dem Digital Operational Resilience Act (DORA) auf europäischer Ebene hein rechtlicher Rahmen geschaffen. DORA ist eine Verordnung, welche darauf abzielt, die Widerstandsfähigkeit digitaler Services und Infrastrukturen im gesamten europäischen Raum zu stärken und Risiken im Zusammenhang mit der Cybersicherheit und dem operativen Betrieb zu minimieren. Durch diese Verordnung werden Institute des europäischen Finanzsektors dazu verpflichtet, geeignete Massnahmen zur Gewährleistung der Betriebssicherheit zu ergreifen und ihre Fähigkeit zur Bewältigung von Störungen und Cyberangriffen zu verbessern.

Für die Umsetzung der DORA-Vorgaben haben die drei European Security Authorities (EBA, EIOPA und ESMA) zudem erste technische Regulierungs- (RTS) und Implementierungsstandards (ITS) erarbeitet.

Welche Unternehmen sollten sich jetzt schon mit den Anforderungen vertraut machen?

  • Schweizer Finanzunternehmen, welche mit EU-Finanzunternehmen und -Kunden Geschäfte abwickeln
  • Schweizer IT-Unternehmen, welche IT-Dienstleistungen für Finanzunternehmen mit Sitz innerhalb der EU erbringen
  • Konzerne, welche interne IT-Dienstleistungen für ihre EU-Tochter- oder Schwestergesellschaften erbringen (konzerninterne Auslagerungen)


DORA Timeline


DORA-Timeline: Vergangene, aktuelle und nächste Schritte


Was gilt es zu tun?

DORA definiert fünf primäre Handlungsfelder, welche nachfolgend beschrieben werden.

IKT-Risikomanagement

Finanzunternehmen sind verpflichtet, ein IKT-Risikomanagement zu etablieren. Dies umfasst die regelmässige Überprüfung von Risiken und Sicherheitsmassnahmen, Dokumentation und Verbesserung, um die Widerstandsfähigkeit zu gewährleisten. Zudem betont DORA, die Notwendigkeit, robuste IT-Infrastrukturen zu betreiben, die in der Lage sind, auch unter herausfordernden Bedingungen wie Turbulenzen im Finanzmarkt oder unvorhergesehenen Ereignissen eine zuverlässige und präzise Datenverarbeitung sicherzustellen. Darüber hinaus wird die Verantwortung des Leitungsorgans konkretisiert, durch eine Zuweisung von angemessenen Budgets und verpflichtenden Schulungen für Mitglieder der Geschäftsleitung.

Daraus resultieren folgende Action Items:

  • Einrichtung und Wartung belastbarer IKT-Systeme und -Tools, die die Auswirkungen von IKT-Risiken minimieren.
  • Identifizierung, Klassifizierung und Dokumentation kritischer oder wichtiger Funktionen und Assets.
  • Kontinuierliche Überwachung aller Quellen von IKT-Risiken, um Schutz- und Präventionsmassnahmen zu etablieren.
  • Umgehende Erkennung anomaler Aktivitäten.
  • Einrichtung dedizierter und umfassender Business Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne, einschliesslich jährlicher Tests der Pläne, die alle unterstützenden Funktionen abdecken.
  • Etablierung von Mechanismen, um sowohl aus externen Ereignissen als auch aus den eigenen IKT-Vorfällen der Einrichtung zu lernen und sich weiterzuentwickeln.


Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Die Berichterstattung zu IKT-bezogenen Vorfällen spielt bei DORA eine wesentliche Rolle. Hierbei geht es nicht nur um die Einrichtung von Mechanismen zur Überwachung und Verwaltung von IKT-Risiken, sondern auch um die genaue Dokumentation und Meldung jeglicher Vorfälle im IKT-Bereich. Die Vorschriften legen fest, dass Finanzunternehmen klare Protokolle und Prozesse zur Meldung und Aufzeichnung von IKT-Vorfällen einführen müssen. Das Ziel ist es, sämtliche Ereignisse, sei es ein Sicherheitsvorfall oder eine Störung im System, genau zu dokumentieren. Zudem sollen diese Informationen zeitnah und transparent an die relevanten Behörden gemeldet werden, um eine angemessene Reaktion und Lösung zu gewährleisten. Diese Berichterstattungs-Mechanismen sollen nicht nur die tatsächlichen Vorfälle erfassen, sondern auch präventive Massnahmen einschliessen, um potenzielle Risiken frühzeitig zu identifizieren und zu bewerten. Das Kapitel betont somit die Bedeutung notwendiger Prozesse zur Behandlung von Sicherheitsvorfällen inkl. einer umfassenden Dokumentation und definierten Kommunikation im Falle von IKT-bezogenen Vorfällen. Das Ziel ist es, ein schnelles Eingreifen und eine verbesserte Reaktion auf Sicherheitsvorfälle zu ermöglichen.

Daraus resultieren folgende Action Items:

  • Entwicklung eines optimierten Prozess zur Protokollierung/Klassifizierung aller IKT-Vorfälle und zur Bestimmung von Grossvorfällen gemäss den in der Verordnung festgelegten Kriterien und den weiteren Spezifizierungen durch die europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA).
  • Einreichen von initialen, Zwischen- und einen Abschlussberichten über IKT-bezogene Vorfälle.
  • Harmonisieren der Berichterstattung über IKT-bezogene Vorfälle durch standardisierte Vorlagen.


Testen der digitalen operationalen Resilienz

DORA hebt auch die Bedeutung des Testens der digitalen operativen Widerstandsfähigkeit in Finanzunternehmen hervor. Es legt den Schwerpunkt darauf, dass Unternehmen verpflichtet sind, angemessene Mechanismen einzurichten, um die Wirksamkeit ihrer IKT-Risikomanagement-Massnahmen regelmässig zu prüfen. Das Kapitel erläutert die Notwendigkeit, Tests und Überprüfungen durchzuführen, um sicherzustellen, dass die implementierten Schutzmassnahmen unter realen Bedingungen funktionieren. Diese Tests sollen nicht nur theoretische Szenarien abdecken, sondern auch reale Situationen simulieren, um die Reaktion des Unternehmens auf mögliche IKT-bezogene Vorfälle zu evaluieren. Dabei wird besonders hervorgehoben, dass diese Tests in einem angemessenen Zeitrahmen durchgeführt werden, um sicherzustellen, dass das Unternehmen auf aktuelle Bedrohungen vorbereitet ist und seine digitale operative Resilienz kontinuierlich verbessert.

Daraus resultieren folgende Action Items:

  • Führen Sie jährlich grundlegende IKT-Tests der IKT-Tools und -Systeme durch.
  • Identifizieren, mindern und beseitigen Sie unverzüglich Schwachstellen, Mängel oder Lücken durch die Implementierung von Gegenmassnahmen.
  • Führen Sie regelmässig fortgeschrittene, bedrohungsgesteuerte Penetrationstests (TLPT) für IKT-Dienste durch, die kritische Funktionen betreffen.


Management des IKT-Drittparteien-Risikos

Das Management von Risiken, die durch den Einsatz von Dritten (IKT-Drittparteien) im Bereich der IKT entstehen, steht ebenfalls im Fokus von DORA. Hierbei werden Finanzunternehmen dazu aufgefordert, angemessene Massnahmen zu implementieren, um potenzielle Risiken, die durch die jeweilige Zusammenarbeit mit IKT-Drittanbietern resultieren könnten, zu identifizieren, zu bewerten und zu managen. Es legt den Fokus auf die Einrichtung geeigneter Kontrollen und Überwachungsmechanismen, um sicherzustellen, dass die IKT-Drittparteien die erforderlichen Standards für Sicherheit und Betrieb einhalten. Zusätzlich werden Finanzunternehmen aufgefordert, klare Protokolle für die Kommunikation und das Management von Risiken, die mit IKT-Drittparteien verbunden sind, zu etablieren, um eine umfassende Kontrolle und Transparenz über diese Beziehungen zu gewährleisten

Daraus resultieren folgende Action Items:

  • Sicherstellen einer soliden Überwachung von Risiken, die aus der Abhängigkeit von IKT-Drittanbietern entstehen.
  • Berücksichtigen der Risiken, die sich aus Unterauslagerungsaktivitäten ergeben.
  • Sicherstelllen, dass alle Verträge mit IKT-Drittanbietern die von DORA festgelegten obligatorischen Klauseln enthalten. Solche Klauseln müssen alle notwendigen Überwachungs- und Zugänglichkeitsdetails enthalten.


Vereinbarungen über den Austausch von Informationen

DORA legt fest, dass die zuständigen Behörden und Aufsichtsbehörden Informationen austauschen dürfen, um ihre jeweiligen Aufgaben im Zusammenhang mit der digitalen operativen Widerstandsfähigkeit und der Überwachung der Finanzunternehmen zu erfüllen. Hierbei wird betont, dass dieser Informationsaustausch auf eine kooperative und effektive Zusammenarbeit abzielt, um sicherzustellen, dass die Behörden die notwendigen Daten erhalten, um ihre Überwachungs- und Kontrollfunktionen in Bezug auf die digitale operative Resilienz der Finanzunternehmen auszuüben. Das Kapitel legt Wert darauf, dass der Informationsaustausch auf transparente und angemessene Weise erfolgen soll, um eine effiziente Aufsicht und Unterstützung der Finanzbranche zu gewährleisten.

Daraus resultieren folgende Action Items:

  • Die Verordnung ermöglicht es Finanzinstituten, untereinander Vereinbarungen zu treffen, um Informationen und Erkenntnisse über Cyberbedrohungen auszutauschen.
  • Die Aufsichtsbehörde wird relevante anonymisierte Informationen und Erkenntnisse über Cyberbedrohungen an Finanzinstitute weitergeben. Daher sollten die Institute Mechanismen implementieren, um die von den Behörden geteilten Informationen zu überprüfen und darauf zu reagieren.


Fazit

DORA verpflichtet in der EU ansässige Finanzinstitute oder in Verbindung stehende ausländische Leistungserbringer Massnahmen zur Stärkung der digitalen Resilienz zu ergreifen, um die Risiken der Digitalisierung in der Finanzbranche zu adressieren. Unsere Fachpersonen beraten und begleiten Sie gerne bei der Umsetzung des neuen DORA-Standards:

  • Gap-Analyse zur individuellen Standortbestimmung
  • Priorisierung der identifizierten Handlungsfelder
  • Aufstellung einer ganzheitlichen Umsetzungsplanung
  • Durchführung von Threat-Led Penetration Testing
  • Methodische und inhaltliche Unterstützung in den verschiedenen Handlungsfeldern zur effektiven Umsetzung der Massnahmen
  • Personelle Unterstützung zur effizienten Bearbeitung der Massnahmenplanung


Wir begleiten zahlreiche Kunden in der Finanzbranche und freuen uns auf Ihre Anfrage. Lassen Sie sich jetzt unverbindlich beraten.



< zurück