Ralf Kluge, Senior IT-Auditor/-Consultant, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft, Neu-Isenburg
I. Einführung
In diesem Beitrag werden spezifisch die operativen Aspekte von DORA konkretisiert. Im Besonderen liegt hier der Fokus auf IKT-Systemkonfiguration und IKT-Verbindungen sowie dem Umgang mit IKT-Vorfällen.
II. Information und Cybersicherheit
DORA verlangt von den Finanzunternehmen, dass sie alle IKT-bezogenen Geschäftsfunktionen, die diese Funktionen unterstützenden Informationsbestände sowie die IKT-Systemkonfigurationen und -Verbindungen mit internen und externen IKT-Systemen kontinuierlich identifizieren, klassifizieren und angemessen dokumentieren. Dementsprechend müssen die Finanzinstitute mindestens einmal jährlich (und bei Bedarf) die Angemessenheit der Klassifizierung der Informationsressourcen und aller relevanten Unterlagen überprüfen.
Eine weitere Vorschrift besagt, dass Finanzunternehmen bei jeder größeren Änderung der Netz- und Informationssysteminfrastruktur oder der Prozesse oder Verfahren, die sich auf ihre Funktionen, unterstützenden Prozesse oder Informationsbestände auswirken, eine Risikobewertung durchführen müssen.
Die Finanzunternehmen müssen außerdem die Funktionsweise der IKT-Systeme und -Werkzeuge kontinuierlich überwachen und kontrollieren sowie die Risikoauswirkungen durch den Einsatz geeigneter IKT-Sicherheits- und Ausfallsicherheitsinstrumente, -strategien und -verfahren minimieren.
Gemäß der vorgeschlagenen Verordnung müssen Strategien und Protokolle für starke Authentifizierungsmechanismen auf der Grundlage einschlägiger Normen und spezieller Kontrollsysteme implementiert werden, um den Zugang zu den kryptografischen Schlüsseln zu verhindern, wenn Daten auf Grundlage der Ergebnisse genehmigter Datenklassifizierungs- und Risikobewertungsverfahren verschlüsselt werden.
1. Erkennung, Reaktion und Wiederherstellung
DORA verlangt von den Finanzunternehmen, dass sie mehrere Kontrollebenen einrichten, Warnschwellen und -kriterien festlegen, um IKT-bezogene Vorfälle zu erkennen und darauf zu reagieren. Die Unternehmen müssen automatische Warnmechanismen für die Mitarbeiter einrichten, die für die Reaktion auf IKT-Vorfälle zuständig sind.
Finanzinstitute sind außerdem verpflichtet: [...]
Beitragsnummer: 21714