Dienstag, 2. Januar 2024

DORA: Von der Theorie zur Praxis

Die Regulierungs- und Implementierungsstandards nehmen Fahrt auf

Pia Streicher, Senior Consultant & Topic Lead, IT-Security, ADWEKO Consulting GmbH

Viele Diskussionen drehen sich bei der DORA-Umsetzung um die Detailtiefe, die durch die technischen Regulierungsstandards (RTS) und technischen Implementierungsstandards (ITS), sog. Level 2-Rechtsakte, hergestellt werden soll. Nachdem die erste Welle im Juni 2023 veröffentlicht wurde, sind am 08.12.2023 auch die Konsultationspapiere zur zweiten Welle publiziert worden.

Dabei stehen vier Themen im Fokus der RTS & ITS: IKT-Risikomanagement, Incident Management, Dienstleister und Penetrationstests. Hierbei werden die bisherigen Erkenntnisse aus der ersten Welle sowohl inhaltlich als auch bspw. mit Templates ergänzt – ein Überblick:

1) IKT-Risikomanagement: Resilienz von A bis Z

Als Schlüsselelement des DORA greifen die RTS zum Risikomanagement (Art. 15, 16 Abs. 3 DORA)[1] diverse Themen auf. Damit erweitern sie auch das Verständnis der notwendigen ganzheitlichen Integration des Risikomanagement als prozessintegrierte, intermediäre Disziplin zwischen erreichter IKT-Sicherheit (IST-Zustand) im Verhältnis zum regulatorischen Regelungsniveau (SOLL-Zustand):

Governance: Vorgaben, Prozesse, Protokolle und Tools
IKT-Risikomanagement: Mindestanforderungen an Vorgaben und Prozesse
IKT Asset Management: Korrekte Identifikation und Klassifikation der IKT-Assets
Verschlüsselung und Kryptografie: Reduktion der Risiken von Breaches und Datenmanipulationen
Operative IKT-Sicherheit: Effektives Management der IKT-Assets und Reduktion unberechtigter Zugriffe, unberechtigten Eindringens und Datenmissbrauchs
Netzwerksicherheit: Vermeidung unberechtigter Zugriffe, Informationsschutz und sichere Datentransfers
IKT-Projekt- und Change Management: Maximierung des Projektnutzens
Physische und Umgebungssicherheit
IKT- und Informationssicherheits-Awareness und Trainings

Darüber hinaus geht der Regulierungsstandard auf das Berechtigungsmanagement, das IKT-Incident Management, die Business Continuity sowie Meldungen zum IKT-Risikomanagementrahmen ein.

2) Bedeutende IKT-Incidents: Vereinheitlichung und Effizienzsteigerung

Eines der Ziele des DORA ist die Harmonisierung und Verbesserung des Meldewesens für IKT-bezogene Incidents. Zu diesem Zweck befasst sich der mit der ersten Welle veröffentlichte RTS (Art. 18 Abs. 3 DORA)[2] mit ihrer Klassifikation im Kontext IKT und Zahlungsverkehr sowie der Kriterien zur expliziten Bestimmung bedeutender Incidents und Bedrohungen.

Im Dezember 2023 haben die ESAs (European Supervisory Authorities) in der zweiten Welle weitere Bausteine hinzugefügt: Die Meldung in Form von RTS und ITS (Art. 20 lit. a), b) DORA)[3], sowie die Berechnung aggregierter Kosten und Verluste bei bedeutenden IKT-Incidents in Form einer Leitlinie (Art. 11 Abs. 1 DORA)[4].

Die RTS definieren dabei den Meldungsinhalt für IKT-Vorfälle und Cyberbedrohungen sowie die einzuhaltenden Fristen. Im ITS finden sich Vorlagen und Formate, die für die Meldung benötigt werden. Die Leitlinie zur Berechnung der vorzulegenden Kosten und Verluste für die Meldung im Kontext bedeutender IKT-Vorfälle sieht vor, Bruttokosten und -verluste, finanzielle Rückflüsse und Nettokosten und -verluste heranzuziehen. Die ESAs schlagen weiterführend vor, den Bezugszeitraum für die Aggregation auf ein Geschäftsjahr zu konzentrieren.

3) IKT-Drittdienstleister: Den Überblick behalten

Mit DORA sollen gerade auch die steigenden komplexen und vernetzten Strukturen mit IKT-Drittdienstleistern angegangen werden. In der ersten Welle standen das Informationsregister sowie der Dienstleistungsbezug im Kontext kritischer oder wichtiger Funktionen im Fokus, in der zweiten Welle geht es um die Weiterverlagerung solcher Funktionen.

Die Implementierungsstandards zum Informationsregister (Art. 28 Abs. 9 DORA)[5] zeigen auf, welche Informationen zu melden sind und geben den Finanzunternehmen Templates für die verschiedenen Register an die Hand. Unter anderem werden Informationen zum Finanzunternehmen selbst, dem Vertrag, dem Dienstleister und der Dienstleistungskette, Alternativszenarien und der unterstützten Funktion benötigt. Zum jetzigen Informationsstand wird dieses Register neben dem EBA-Register existieren, das auch non-IT Auslagerungen umfasst.

Die RTS der ersten Welle befassen sich mit den institutseigenen Vorgaben zum Bezug von Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (Art. 28 Abs. 10 DORA)[6] und gelten auch für Dienstleistungsbezüge innerhalb einer Gruppe. Finanzunternehmen sollten die Governance zum Umgang mit solchen Bezügen, das Risikomanagement und die Integration ins Interne Kontrollsystem regeln.

In der zweiten Welle befassen sich die ESAs mit der Dienstleistungskette (Art. 30 Abs. 5 DORA)[7] und zeigen auf, wann bei der Unterstützung kritischer oder wichtiger Funktionen Weiterverlagerungen zulässig sind und welche Bedingungen ggf. gelten. Insbesondere dürfen Finanzunternehmen die Steuerungsfähigkeit entlang der gesamten Kette nicht verlieren und müssen Weiterverlagerungen daher vorab auf Risiken untersuchen.

4) Bedrohungsorientierte Penetrationstests: Eintauchen in die Detailtiefe

Mittels bedrohungsorientierter Penetrationstests (TLPT) zielt DORA auf die regelmäßige Überprüfung und Verbesserung der Widerstandsfähigkeit von Finanzunternehmen ab.

Der RTS vom Dezember 2023 spezifiziert die Kriterien, anhand derer Finanzunternehmen ermitteln, ob sie einen TLPT durchführen müssen (Art. 26 Abs. 1 DORA)[8]. Er befasst sich darüber hinaus mit den Details rund um TLPT: Standards für den Einsatz interner Tester, die Festlegung des Scopes der Tests, die Testmethodologie, Details zu den einzelnen Testphasen sowie die Zusammenarbeit mit den Aufsichtsbehörden vor, während und nach den Tests werden entsprechend adressiert.

PRAXISTIPPS

Überprüfen Sie, ob überhaupt die Voraussetzungen für eine erfolgreiche DORA-Einführung gegeben sind: Beispielsweise ein ganzheitlicher, stets aktueller und möglichst tool-gestützter Informationsverbund.
Warten Sie nicht auf die Finalisierung der Level 2-Rechtsakte, sondern starten Sie schon jetzt in die Umsetzung.
Gehen Sie bei der Interpretation der Vorgaben risikoorientiert vor und behalten Sie die übergreifende Zielsetzung von DORA im Hinterkopf.
Final belastbare Aussagen werden sich erst mit der Prüfungspraxis ergeben, dokumentieren Sie also gründlich, warum Sie sich für welche Umsetzungsvariante entschieden haben.

[1] Veröffentlichung der ESAs; https://www.eba.europa.eu/sites/default/files/document_library/Publications/Consultations/2023/Consultation%20Papers%20on%20DORA/1056510/CP%20-%20Draft%20RTSs%20ICT%20risk%20management%20tools%20methods%20processes%20and%20policies.pdf

[2] Veröffentlichung der ESAs; https://www.eba.europa.eu/sites/default/files/document_library/Publications/Consultations/2023/Consultation%20Papers%20on%20DORA/1056508/CP%20-%20Draft%20RTS%20on%20classification%20of%20ICT%20incidents.pdf

[3] Veröffentlichung der ESAs; https://www.esma.europa.eu/sites/default/files/2023-12/JC_2023_70_-_CP_on_draft_RTS_and_ITS_on_major_incident_reporting_under_DORA.pdf

[4] Veröffentlichung der ESAs; https://www.esma.europa.eu/sites/default/files/2023-12/JC_2023_68_-_CP_on_draft_GL_on_costs_and_losses.pdf

[5] Veröffentlichung der ESAs; https://www.eba.europa.eu/sites/default/files/document_library/Publications/Consultations/2023/Consultation%20Papers%20on%20DORA/1056507/CP%20-%20Draft%20ITS%20on%20register%20of%20information.pdf

[6] Veröffentlichung der ESAs; https://www.eba.europa.eu/sites/default/files/document_library/Publications/Consultations/2023/Consultation%20Papers%20on%20DORA/1056509/CP%20-%20Draft%20RTS%20on%20policy%20on%20the%20use%20of%20ICT%20services%20regarding%20CI%20functions.pdf

[7] Veröffentlichung der ESAs; https://www.esma.europa.eu/sites/default/files/2023-12/JC_2023_67_-_CP_on_draft_RTS_subcontracting.pdf

[8] Veröffentlichung der ESAs; https://www.esma.europa.eu/sites/default/files/2023-12/JC_2023_72_-_CP_on_draft_RTS_on_TLPT.pdf

Beitragsnummer: 22419

Ein eigenes MeinFCH-Konto ist zwingend Voraussetzung, wenn Sie über unseren Online-Shop eine Bestellung auslösen möchten. Das Konto benötigen Sie, wenn Sie selbst ein Online-Seminar live verfolgen oder Ihre Seminardokumentation bzw. Ihre personalisierte Teilnahmebestätigung herunterladen möchten. Bitte geben Sie Ihre MeinFCH-Login-Daten niemals an dritte Personen weiter. Wir empfehlen Ihnen die Nutzung dieser Browser: Google Chrome, Mozilla Firefox oder Microsoft Edge. Bitte erlauben Sie außerdem Pop-Ups auf unserer Seite.

Anmelden

Bitte melden Sie sich an, um folgende Seite nutzen zu können.

E-Mail-Adresse

Passwort

Angemeldet bleiben

🔒 Sichere SSL-Verschlüsselung

Passwort vergessen?

Neu bei MeinFCH?
Jetzt registrieren!

E-Mail-Adresse

Passwort eingeben

Passwort bestätigen

Passwortlänge: 0 Zeichen

Gültigkeit: -

Sicherheit: -

Ihr sicheres Passwort muss folgende Merkmale besitzen:

Groß- und Kleinschreibung

Zahlen

Sonderzeichen (!$%&#)

mindestens 8 Zeichen

Ja, ich möchte ein Kundenkonto eröffnen und akzeptiere die Datenschutzerklärung.

🔒Sichere SSL-Verschlüsselung

Loggen Sie sich ein, um unsere Favoritenfunktion zu nutzen:

Beitrag teilen:

Produkte zum Thema:

NEUE BAIT – Neuerungen aufsichtskonform umsetzen

89,00 € inkl. 7 %

Beiträge zum Thema:

DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

26.02.2024

Die Bank als Hauptangriffsziel von Cyberkriminellen

Die Angriffsvektoren, die Cyberkriminelle vor allem im Hinblick auf Banken nutzen, sind vielfältig - Ein Überblick

20.03.2024

Handbuch Wirtschaftsstrafrecht

01.02.2024

Entgeltfortzahlung im Krankheitsfall

Im Krankheitsfall gilt grundsätzlich die Entgeltfortzahlung, bei der Arbeitsgeber u.a. auf den Grundsatz der Einheit des Verhinderungsfalls zu achten hat.

05.04.2024

8. MaRisk Novelle – Herausforderungen für Finanzinstitute

Die BaFin hat eine Neufassung der MaRisk vorgestellt, die insb. die Umsetzung der EBA-Leitlinien zu IRRBB und CSRBB in deutsches Aufsichtsrecht überführt.

01.03.2024