Montag, 26. Februar 2024

DORA-Umsetzung: Hilfe zur Selbsthilfe

Ein Vorgehensmodell zur Implementierung der DORA aus der Praxis

Pia Streicher, Managing Consultant & Topic Lead, IT-Security, ADWEKO Consulting GmbH

 

Bei der DORA-Umsetzung ist der Endspurt zwar noch nicht gestartet, jedoch ist die Jahresmarke bereits geknackt – bis zum 17.01.2025 vergehen keine zwölf Monate mehr. In vielen Finanzunternehmen läuft die Implementierung dementsprechend bereits auf Hochtouren, zugleich stehen aber oft noch ungeklärte Fragen im Raum.

In Projekten empfiehlt sich unserer Meinung nach ein unkomplizierter, aber ganzheitlicher Ansatz für eine erfolgreiche Umsetzung.

 

Der ganzheitliche Ansatz

Bei der Umsetzung des Rechtsakts empfehlen wir den Einstieg mit einer Gap-Analyse eigener Vorgaben und der schriftlich fixierten Ordnung (im Folgenden: sfO) gegenüber den regulatorischen Anforderungen im IT-Bereich. Hier machen feste Abstimmungsrunden mit den einzelnen Fachexpertinnen und Fachexperten Sinn, um ein umfassendes Bild zu gewinnen.

Die erfolgte Analyse kann dann in einem oder mehreren Workshops nachgehalten werden, um Fragestellungen zu klären, detaillierte Analysen anzustoßen und erste Handlungsmöglichkeiten zu erörtern. Sinnvollerweise werden dabei risikobasierte Prioritäten für die Umsetzung ermittelt und mögliche Quick Wins identifiziert. 

Durch die Gesamtbetrachtung aller Anforderungen im IT-Bereich können auch andere bestehende Lücken erkannt und sinnvoll mit neuer Regulatorik im Blick geschlossen werden. Gerade im Finanzbereich bauen die regulatorischen Anforderungen oft aufeinander auf, sodass sich eine vereinzelte Betrachtung negativ auf die Gesamtstruktur, die Fähigkeit Risiken zu managen und damit die Effizienz auswirken kann.

 

Inhaltliche Schwerpunkte

Während im DORA-Kontext vor allem das Management von IKT-Risiken und IKT-Dienstleisterrisiken, der Umgang mit IKT-Vorfällen und der Test der digitalen operationalen Resilienz im Vordergrund stehen, umfassen andere Anforderungen deutlich mehr.

Betrachtet man bspw. die MaRisk und die BAIT oder die MaGo und die VAIT, etc. zeichnet sich ein breiteres Bild, das die DORA-Anforderungen miteinschließt:

  • IT-Strategie, inkl. digitaler operationaler Resilienz
  • IT-Governance, inkl. der geforderten Funktionen
  • Informationssicherheits- und Informationsrisikomanagement, inkl. Tests der IT
  • Operative Informationssicherheit
  • Identitäts- und Berechtigungsmanagement
  • IT-Projekt- und -Portfoliomanagement
  • Individuelle Datenverarbeitung und Softwareentwicklung, inkl. deren Test
  • IT-Betrieb, inkl. des Tests von Änderungen
  • Outsourcing und I(K)T-Dienstleistermanagement, inkl. Dienstleisterrisiken
  • IT und Business Notfallmanagement, inkl. I(K)T-Vorfällen und Tests der Widerstandsfähigkeit

Entlang dieser Themengebiete kann die Gap-Analyse durchgeführt und eine Planung zur Schließung erkannter Lücken aufgesetzt werden.

 

PRAXISTIPPS

  • Verlieren Sie das große Ganze nicht aus dem Blick. Die Umsetzung der DORA bietet Gelegenheit, die gesamte IT-Compliance zu betrachten und Lücken gesamthaft zu schließen.
  • Suchen Sie sich kompetente Unterstützung. Ob interne oder externe Expertinnen/Experten, wichtig ist ein übergreifendes Verständnis der IT-Regulatorik, um eine risikobewusste, effiziente und sinnvolle Umsetzung sicherzustellen.
  • Weniger ist mehr. Im Markt zeigt sich zum Teil ein Vorgehensmodell, dass große Arbeitsgruppen mit verschiedensten Perspektiven und maximalem Overhead gegründet werden. Wir empfehlen Expertenrunden mit maximal drei Teilnehmern, die nach kurzer Vorbereitung direkt die sfO anpacken und die Gap-Analyse direkt als Veränderungsvorschlag einfügen.
  • Die Gap-Analyse muss nicht teuer sein. Wenn Sie sich für externe Unterstützung entscheiden, kann eine solche Gap-Analyse inkl. der Ergänzung der sfO für unter 40.000 € in weniger als acht Wochen erfolgen. Danach können Sie direkt in die operative Umsetzung starten.
  • Seien Sie mutig. Stand heute kann nicht final bewertet werden, welche Interpretation und Umsetzung aufsichtlich „richtig“ ist. Dokumentieren und begründen Sie Ihre Entscheidungen und lassen Sie sich nicht übermäßig von Unsicherheiten bremsen.

Beitragsnummer: 22518

Beitrag teilen:

Produkte zum Thema:

Produkticon
NEUE BAIT – Neuerungen aufsichtskonform umsetzen

89,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
Anforderungen aus DORA an das Fachwissen des „Management Body“

IT Fachwissen für das Leitungsgremium des Finanzinstituts, das verantwortlich für die Überwachung und Steuerung der unternehmerischen Aktivitäten ist.

19.09.2024

Beitragsicon
ISO/IEC 27001-Zertifizierung als Grundlage für die DORA-Verordnung

Mit den neuen regulatorischen Anforderungen des Digital Operational Resilience Act (DORA), stehen Finanzunternehmen vor großen Aufgaben.

12.09.2024

Beitragsicon
Kunden haften bei mangelhafter Prüfung im Online-Banking

Das Kammergericht Berlin hat sich mit unterlassenen Prüfpflichten des Kunden einer Zahlungsdienstleisterin bei einer Überweisung auseinandergesetzt.

18.07.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.