Alexander Strauß, Senior Consultant, IT-Security, ADWEKO Consulting GmbH
In der heutigen digitalen Welt stehen Unternehmen vor einer zunehmenden Zahl von Herausforderungen im Bereich der Informationssicherheit. Der Schutz sensibler Daten, die Sicherstellung der Geschäftskontinuität und die Einhaltung gesetzlicher Vorschriften sind zu zentralen Themen geworden. Einer der bekanntesten Sicherheitsstandards, die ISO 27001, hilft Unternehmen, ein solides Informationssicherheitsmanagementsystem (ISMS) zu etablieren. Mit den neuen regulatorischen Anforderungen des Digital Operational Resilience Act (DORA), stehen Finanzunternehmen vor großen Aufgaben.
Die grundlegende Frage ist also: Wie gut ist mein Unternehmen auf die neuen Anforderungen vorbereitet?
Was ist die DORA-Verordnung?
Die DORA-Verordnung wurde von der Europäischen Union eingeführt, um die operationelle Resilienz des Finanzsektors zu stärken. Sie zielt darauf ab, die Widerstandsfähigkeit von Finanzinstituten und deren IKT-Dienstleistern gegen Cyber-Bedrohungen und Störungen im Betriebsablauf zu erhöhen. Die Verordnung legt klare Anforderungen fest, wie Unternehmen ihre Cybersicherheitsmaßnahmen härten, IT-Dienstleister bewerten und das Management operationeller Risiken verbessern müssen.
Wie hilft die ISO 27001-Zertifizierung bei der Einhaltung von DORA?
1. Informationssicherheitsmanagementsystem (ISMS)
Die Implementierung eines ISMS basiert mit dem PDCA-Zyklus auf kontinuierlicher Bewertung sowie Verbesserung. Unternehmen müssen Risiken identifizieren sowie Schutzmaßnahmen umsetzen und dabei sicherstellen, dass diese regelmäßig überprüft werden. Die risikobasierte Herangehensweise an die Informationssicherheit ist auch ein zentrales Element der DORA-Verordnung, welche von Finanzunternehmen voraussetzt, dass sie operationelle Risiken bewerten und managen.
2. Risikomanagement (IKT-Risiken)
Ein zentrales Ziel der DORA ist es, das Risikomanagement im Hinblick auf Cyber- und IT-Bedrohungen zu stärken. Der ISO 27001 Standard setzt bereits auf ein etabliertes Risikomanagementsystem, das Risiken bewertet, Schwachstellen identifiziert und geeignete Schutzmaßnahmen umsetzt. Unternehmen, die nach ISO 27001 zertifiziert sind, haben bereits Prozesse implementiert, die lediglich an die DORA-Anforderungen angepasst werden müssen.
3. Geschäftskontinuitätsplanung (BCP)
Der ISO 27001 Standard umfasst die Notwendigkeit, Pläne zur Geschäftskontinuität zu erstellen und zu testen, um sicherzustellen, dass Unternehmen auf mögliche Störungen vorbereitet sind. Auch DORA legt großen Wert auf die Sicherstellung der Resilienz und fordert Unternehmen dazu auf, Pläne zur Wiederherstellung des Geschäftsbetriebs nach Cyberangriffen oder IT-Störungen zu entwickeln. Unternehmen, die sich an der ISO 27001 orientiert haben, können mit dem ISO 22301 noch zusätzliche Aspekte aus dem BCM kompatibel mit einfließen lassen, um eine möglichst breite Abdeckung der DORA-Anforderungen zu erlangen.
4. Lieferantenmanagement
Ein wesentlicher Bestandteil der DORA-Verordnung ist das Management von Drittanbietern und IT-Dienstleistern. Unternehmen müssen sicherstellen, dass Dienstleister denselben strengen Sicherheitsstandards entsprechen. ISO 27001 schreibt ebenfalls vor, dass Organisationen Risiken durch externe Partner bewerten und geeignete vertragliche Maßnahmen ergreifen müssen, um die Informationssicherheit entlang der Lieferkette zu gewährleisten. Unternehmen mit einer ISO 27001-Zertifizierung haben demnach bereits Prozesse und Kontrollmechanismen zur Überprüfung ihrer Lieferanten implementiert, welche an die DORA-Anforderungen angepasst werden müssen.
5. Kontinuierliche Verbesserung und Audit
Ein weiteres zentrales Element der ISO 27001 ist der kontinuierliche Verbesserungsprozess. Unternehmen müssen regelmäßig interne Audits durchführen, um sicherzustellen, dass das ISMS effektiv ist und den aktuellen Bedrohungen gerecht wird. Auch DORA verlangt, dass Unternehmen kontinuierlich ihre Resilienz evaluieren und anpassen. Die bereits in ISO 27001 implementierten Audit- und Verbesserungsmechanismen sollten daher um die Anforderungen der DORA erweitert werden.
6. Penetrationstests (TLTP)
Ein neues und herausforderndes Element der DORA-Verordnung ist die Anforderung der Threat-Led Penetration Testing (TLTP). Diese Penetrationstests zielen darauf ab, die Widerstandsfähigkeit von Unternehmen gegen gezielte Cyberangriffe zu überprüfen und mögliche Schwachstellen zu identifizieren. Hierbei wird es für viele Unternehmen schwieriger, selbst wenn sie ISO 27001-zertifiziert sind, da TLTP-Tests in der Praxis oft komplexer und anspruchsvoller sind als die standardmäßigen Sicherheitsprüfungen, die im Rahmen von ISO 27001 durchgeführt werden.
PRAXISTIPPS
- Die DORA-Verordnung stellt neue und umfangreiche Anforderungen an den Finanzsektor, insbesondere in Bezug auf die Cybersicherheit und operationelle Resilienz. Unternehmen, die bereits über eine ISO 27001-Zertifizierung verfügen, haben eine gute Grundvoraussetzung, die DORA-Vorgaben zu erfüllen. Viele der Kernanforderungen der DORA-Verordnung – wie Risikomanagement, Geschäftskontinuitätsplanung und das Management von Drittanbietern – sind bereits zentrale Bestandteile der ISO 27001. Doch gerade die neuen Anforderungen wie beispielsweise TLTP erfordern zusätzliche Schritte und Ressourcen.
- Durch die Ergänzung bestehender Sicherheitsprozesse und die Anpassung an spezifische DORA-Anforderungen können Unternehmen sicherstellen, dass sie sowohl gesetzliche Vorgaben einhalten als auch das Risiko gegenüber Cyberbedrohungen und operative Störungen zu senken. Die ISO 27001-Zertifizierung stellt somit eine solide Grundlage dar, um auf die zukünftigen Herausforderungen im Bereich der digitalen Resilienz vorbereitet zu sein.
- Die ISO 27001 Zertifizierung selbst reicht aber nicht aus, dass alle DORA-Anforderungen erfüllt sind. Daher sollten die bestehenden Prozesse überprüft und an die neuen Anforderungen angepasst werden, damit sie sowohl die ISO 27001 Zertifizierung als auch die DORA-Compliance erfüllen.
Beitragsnummer: 22730