DORA-Compliance - Teil 1: IKT-Risikomanagement
Ab dem 17. Januar 2025 wird der Digital Operational Resilience Act (DORA) in der Europäischen Union (EU) verbindlich. Die Verordnung setzt neue Maßstäbe für die digitale Sicherheit im Finanzsektor und verpflichtet Unternehmen zu umfangreichen Sicherheitsmaßnahmen. Einer der fünf Kernbereiche adressiert die Einrichtung eines Risikomanagements für Informations- und Kommunikationstechnologien (IKT-Risikomanagement).
Was ist IKT-Risikomanagement?
Das IKT-Risikomanagement ist eine von fünf wesentlichen Säulen digitaler operativer Resilienz und wird in Kapitel II, Artikel 6 der Verordnung definiert. Es umfasst alle Maßnahmen, die darauf abzielen, die Stabilität und Sicherheit von IT-Systemen sicherzustellen. Vereinfacht gesprochen geht es darum, Cyberbedrohungen technisch gewachsen zu sein. Da der Finanzsektor zu den Industrien zählt, in denen sensible Daten und digitale Transaktionen eine Schlüsselrolle spielen, ist ein systematisches Risikomanagement essenziell.
Teilbereiche des IKT-Risikomanagements
Die Anforderungen von DORA an das IKT-Risikomanagement gehen weit über das hinaus, was viele Unternehmen bislang umgesetzt haben. Sie betreffen z. B. Strategien, Verfahren, IKT-Protokolle und Instrumente und damit Software ebenso wie Hardware sowie alle relevanten physischen Komponenten und Infrastrukturen wie Räumlichkeiten und Rechenzentren. In folgende Bereiche lässt sich das IKT-Risikomanagement unterteilen:
- Governance und Organisation
- IKT-Risikomanagementrahmen
- IKT-Systeme, -Protokolle und -Tools
- Kontinuierliche Identifizierung aller Quellen für IKT-Risiken
- Schutz und Prävention
- Erkennung anomaler Aktivitäten
- Reaktion und Wiedererstellung
- Backup und Wiederherstellung (Restoration)
- Lernprozesse und Weiterentwicklung
- Kommunikation
- Vereinfachter IKT-Risikomanagementrahmen für bestimmte Finanzunternehmen
Welche Pflichten gelten für Unternehmen?
Einer der größten Unterschiede zu den bislang umgesetzten Maßnahmen besteht darin, nicht nur auf akute Risiken reagieren zu können, sondern noch stärker als zuvor aktiv auf potenzielle Bedrohungen vorbereitet zu sein. Die DORA-Vorgaben im Bereich des IKT-Risikomanagements sind klar definiert.
Zu den wichtigsten Anforderungen zählen:
- Identifikation von Risiken
Unternehmen müssen alle potenziellen Bedrohungen und Schwachstellen in ihren IT-Systemen regelmäßig analysieren und dokumentieren.
- Bewertung der Risiken
Finanzinstitute sind gefordert, jedes Risiko nach seiner Wahrscheinlichkeit und seinem potenziellen Schaden zu bewerten. Auf dieser Basis sind Prioritäten für Gegenmaßnahmen zu bestimmen.
- Umsetzung von Schutzmaßnahmen
Die Unternehmen sind dazu verpflichtet, Risiken durch technische und organisatorische Maßnahmen wie Firewalls, Zugangskontrollen oder Backups zu minimieren.
- Kontinuierliche Überwachung
Akteure im Finanzsektor müssen alle IT-Systeme und Schutzmaßnahmen laufend überwachen, um neue Risiken schnell zu erkennen.
- Notfallpläne und Reaktionsstrategien
DORA schreibt die Entwicklung von Notfallplänen vor, die Unternehmen dazu befähigen, schnell und nach den geltenden Standards auf Vorfälle reagieren und Schäden minimieren zu können.
Wie lassen sich die Pflichten umsetzen?
DORA liefert für die Realisierung des IKT-Risikomanagements keine vollständige Checkliste, die von Unternehmen wie eine Schablone verwendet werden könnte. Ausgangspunkt muss vielmehr eine GAP-Analyse sein, welche das vorhandene Risikomanagement mit Anforderungen der Verordnung abgleicht und daraus die notwendigen Schritte ableitet.
Langfristige Vorteile durch IKT-Risikomanagement
Die Umsetzung eines umfassenden IKT-Risikomanagements ist ein fester Bestandteil der digitalen Resilienzstrategie. Die damit verbundenen Maßnahmen schützen Unternehmen vor Cyberangriffen, gewährleisten Geschäftskontinuität auch im Falle eines IT-Ausfalls und stärken das Vertrauen von Kunden und Geschäftspartnern.
Erfahren Sie mehr darüber, wie Tresorit Finanzunternehmen dabei unterstützt, ihre Daten sicher und DORA-konform zu verwalten.
