Marcus Michel, Vorstand FCH AG
Die Digital Operational Resilience Act (DORA) der EU legt einen besonderen Fokus auf die Stärkung der digitalen Widerstandsfähigkeit von Finanzinstituten und stellt auch spezifische Anforderungen an das Management, insbesondere den „Management Body“. Dies bezieht sich auf das Leitungsgremium des Finanzinstituts, das verantwortlich für die Überwachung und Steuerung der unternehmerischen Aktivitäten ist.
Im Kontext von DORA gibt es klare Vorgaben, welches Fachwissen das Management in Bezug auf das IKT-Risikomanagement (Informations- und Kommunikationstechnologien) besitzen muss, um die Risiken der digitalen Welt effizient bewältigen zu können. Die wichtigsten Anforderungen sind:
Verständnis von IKT-Risiken
Das Management Body muss über ein tiefgehendes Verständnis der spezifischen Risiken verfügen, die durch den Einsatz von Informations- und Kommunikationstechnologien entstehen. Dies schließt ein:
Technologische Bedrohungen
Das Management muss über Wissen in den Bereichen Cyberangriffe, IT-Ausfälle, Datenverlust, und andere operative Risiken verfügen, die durch die Nutzung von IKT-Systemen entstehen können.
Regulierungsanforderungen
Es ist erforderlich, dass die Führungskräfte über die regulatorischen Vorgaben in Bezug auf Cybersicherheit und digitale Resilienz informiert sind, einschließlich der Vorgaben der DORA selbst und anderer relevanter Gesetze (wie der DSGVO).
Strategische Verantwortung und Governance
Das Leitungsgremium muss sicherstellen, dass eine wirksame Governance-Struktur für das IKT-Risikomanagement etabliert ist. Dies bedeutet, dass das Management die grundlegenden Prinzipien und Mechanismen verstehen muss, um:
- Die IKT-Risiken innerhalb der Organisation richtig zu bewerten und entsprechende Kontrollen zu implementieren.
- Eine strategische Ausrichtung zu entwickeln, die digitale Resilienz und Cybersicherheit in die Unternehmensstrategie integriert.
- Die Umsetzung der DORA-Vorgaben durch geeignete Ressourcenallokation zu unterstützen.
Überwachung und Steuerung von IKT-Risiken
Das Management Body muss die Fähigkeit besitzen, die wirksame Implementierung und Überwachung der Maßnahmen zum IKT-Risikomanagement zu überwachen. Dies erfordert:
- Wissen über interne Kontrollsysteme und Überwachungsprozesse, um sicherzustellen, dass IKT-Risiken regelmäßig überwacht und gemeldet werden.
- Die Fähigkeit zur Risikobewertung, einschließlich der Durchführung von Stresstests und Penetrationstests, um die Widerstandsfähigkeit der Systeme gegen Bedrohungen zu überprüfen.
- Kenntnisse über den Umgang mit IKT-Vorfällen, wie z. B. Cyberangriffen, und die Implementierung von Maßnahmenplänen, um schnell und effizient auf Bedrohungen reagieren zu können.
IKT-bezogenes Wissen bei der Zusammenarbeit mit Drittanbietern
Da viele Finanzinstitute IKT-Dienste auslagern, fordert DORA vom Management, dass es über ein fundiertes Wissen über die Risiken im Zusammenhang mit Outsourcing und der Zusammenarbeit mit Drittanbietern verfügt. Dazu gehört:
- Das Management muss in der Lage sein, Risikobewertungen für Drittanbieter vorzunehmen, insbesondere in Bezug auf die Einhaltung der DORA-Vorgaben durch diese Dienstleister.
- Das Verständnis der Vertragsanforderungen mit Drittanbietern, insbesondere im Hinblick auf Notfallpläne und Kontinuitätsstrategien, die erforderlich sind, um den Betrieb auch bei Ausfällen von externen Diensten sicherzustellen.
IKT-Schulungen und Weiterbildung
DORA fordert, dass das Management Body regelmäßig in Bezug auf die neuesten Entwicklungen im Bereich der digitalen Resilienz und der Cybersicherheit geschult wird. Dies bedeutet:
- Die Mitglieder des Managements müssen an regelmäßigen Weiterbildungen teilnehmen, um ihr Wissen über technologische Entwicklungen, neue Bedrohungen und Best Practices im Bereich des IKT-Risikomanagements auf dem neuesten Stand zu halten.
- Es muss ein übergreifendes Verständnis entwickelt werden, um nicht nur die technischen Risiken, sondern auch die geschäftlichen Auswirkungen von IKT-Risiken zu verstehen.
Verantwortung für die digitale Resilienz
Ein zentraler Aspekt der DORA-Vorgaben ist, dass die Verantwortung für die digitale Widerstandsfähigkeit auf der Management-Ebene liegt. Das bedeutet, dass das Leitungsgremium:
- Strategische Entscheidungen treffen muss, die sicherstellen, dass die digitale Widerstandsfähigkeit in allen Geschäftsbereichen berücksichtigt wird.
- Investitionen in Technologien und Personal unterstützt, um die Anforderungen an Cybersicherheit und digitale Resilienz zu erfüllen.
- Die Umsetzung und Einhaltung der DORA-Vorgaben überwacht und sicherstellt, dass die operative Widerstandsfähigkeit im Finanzinstitut kontinuierlich verbessert wird.
PRAXISTIPPS
- Die DORA-Verordnung verlangt von den Mitgliedern des Management Body eines Finanzinstituts fundiertes technisches, regulatorisches und strategisches Wissen im Bereich des IKT-Risikomanagements.
- Diese Anforderung gilt für alle Leitungs- und Überwachungsfunktionen auch für die Mitglieder des Aufsichtsrates/Verwaltungsrates.
- Es wird nicht ausreichen, nur ein grundlegendes Verständnis der digitalen Risiken zu haben, sondern es werden insbesondere Kenntnisse zu Governance-Strukturen gefordert, mit denen das Risiko von Cyberbedrohungen überwacht wird und wirksame Notfall- und Resilienzstrategien implementiert werden.
- Schulungen und kontinuierliche Weiterbildung sind zentrale Elemente, um sicherzustellen, dass das Management den dynamischen Anforderungen der digitalen Welt gerecht wird und im Sinne der neuen regulatorischen Anforderungen handelt.
Beitragsnummer: 22732