DORA-Compliance Teil 3: Tests zur digitalen operationellen Resilienz

Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 verbindlich und soll Finanzunternehmen widerstandsfähig machen für die mit der Digitalisierung und Vernetzung verbunden Risiken. Eine der fünf zentralen Säulen der Verordnung ist die Einführung und Beschreibung verpflichtender, regelmäßiger Tests zur digitalen operationellen Resilienz.

Widerstandfähigkeit auf Herz und Nieren prüfen

Die digitale operationelle Resilienz beschreibt die Fähigkeit eines Unternehmens, den Betrieb trotz technologischer Störungen oder Cyberangriffen aufrechtzuerhalten. Der strategische Aufbau und die kontinuierliche Überprüfung dieser digitalen Widerstandsfähigkeit soll Risiken minimieren, Schwachstellen identifizieren und nicht zuletzt sicherstellen, dass zentrale Dienste auch unter extremen Bedingungen verfügbar bleiben. Ein wesentliches Werkzeug hierfür ist die verbindliche Durchführung von Tests, mit denen die Unternehmen ihre IT-Strukturen und -Systeme regelmäßig auf Herz und Nieren prüfen.

Welche Tests schreibt DORA vor?

Alle Finanzunternehmen, die DORA unterliegen, müssen nach Kapitel IV, Artikel 24 bis 27 Sicherheitstests durchführen. Die Tests decken ein breites Spektrum ab und reichen von Penetrationstests (Pentests) über Krisensimulationen bis hin zu Tests zur Wiederherstellungsfähigkeit von Daten. Sie befähigen Unternehmen dazu, auf dem aktuellen Stand der Technik regelmäßig und gezielt Schwachstellen in der operationellen Widerstandsfähigkeit zu ermitteln und auf dieser Basis passende Korrekturmaßnahmen zu ergreifen.

DORA unterscheidet zwischen zwei primären Testformen:

• Sicherheitstests

Sie sind für alle IKT-Systeme und -Anwendungen durchzuführen, die kritische oder wichtige Funktionen unterstützen. Sie sind von einer unabhängigen Partei durchzuführen. Das kann ein externer Dienstleister oder eine interne Abteilung sein – vorausgesetzt, es bestehen keine Interessenskonflikte, und es sind genügend Ressourcen vorhanden.

• Threat-Led-Penetration Tests (TLPT)

Diese Testpflicht gilt für ausgewählte große Unternehmen der Branche. TLPT simulieren unterschiedliche Bedrohungsszenarien und -techniken und unterliegen strengen Auflagen. Sie sind deutlich anspruchsvoller als bereits bekannte Pentests. Finanzunternehmen, die als bedeutend eingestuft werden (DORA Art. 6), dürfen TLPT ausschließlich durch externe Dienstleister durchführen.

Welche weiteren Pflichten gelten?

Unternehmen müssen Testpläne entwickeln, die auf den spezifischen Risiken ihrer Organisation basieren. Je nach Unternehmensgröße und Risikoprofil sind die Tests in einer bestimmten Häufigkeit durchzuführen, aber mindestens einmal jährlich. Die Unternehmen sind dazu verpflichtet, die Testergebnisse an zuständige Behörden zu melden, für Audits zu dokumentieren und die Erkenntnisse direkt in die operative und strategische Risikoplanung miteinfließen zu lassen.

DORA-Compliance: Checkliste DORA-Tests

• Haben Sie eine umfassende IKT-Risikoanalyse durchgeführt?
• Verfügen Sie über einen aktuellen Testplan?
• Sind Ihre Systeme auf die Durchführung von Penetrationstests vorbereitet
• Haben Sie klare Prozesse für die Krisensimulation implementiert?
• Sind Ihre Backup-Systeme getestet und einsatzbereit?
• Beziehen Sie Ihre Dienstleister in die Tests ein?
• Ist eine klare Dokumentation aller Tests sichergestellt?
• Haben Sie die Berichterstattung an die Behörden vorbereitet?

Risiken einen Schritt voraus

DORA ist ein wichtiger Schritt, um die IT-Sicherheit und Resilienz von Unternehmen der Europäischen Union und damit ihre Wettbewerbsfähigkeit im globalen Finanzmarkt zu stärken. Die verpflichtenden Tests stellen sicher, dass regelmäßig gezielt Schwachstellen gesucht, frühzeitig erkannt und behoben werden können.

Erfahren Sie mehr darüber, wie Tresorit Finanzunternehmen dabei unterstützt, ihre Daten sicher und DORA-konform zu verwalten.