Donnerstag, 19. September 2024

Anforderungen aus DORA an das Fachwissen des „Management Body“

Notwendigkeit der Qualifizierung auf allen Entscheidungs- und Überwachungsebnen des Kreditinstitutes

Marcus Michel, Vorstand FCH AG


Die Digital Operational Resilience Act (DORA) der EU legt einen besonderen Fokus auf die Stärkung der digitalen Widerstandsfähigkeit von Finanzinstituten und stellt auch spezifische Anforderungen an das Management, insbesondere den „Management Body“. Dies bezieht sich auf das Leitungsgremium des Finanzinstituts, das verantwortlich für die Überwachung und Steuerung der unternehmerischen Aktivitäten ist.

Im Kontext von DORA gibt es klare Vorgaben, welches Fachwissen das Management in Bezug auf das IKT-Risikomanagement (Informations- und Kommunikationstechnologien) besitzen muss, um die Risiken der digitalen Welt effizient bewältigen zu können. Die wichtigsten Anforderungen sind:


Verständnis von IKT-Risiken

Das Management Body muss über ein tiefgehendes Verständnis der spezifischen Risiken verfügen, die durch den Einsatz von Informations- und Kommunikationstechnologien entstehen. Dies schließt ein:


Technologische Bedrohungen
Das Management muss über Wissen in den Bereichen Cyberangriffe, IT-Ausfälle, Datenverlust, und andere operative Risiken verfügen, die durch die Nutzung von IKT-Systemen entstehen können.


Regulierungsanforderungen

Es ist erforderlich, dass die Führungskräfte über die regulatorischen Vorgaben in Bezug auf Cybersicherheit und digitale Resilienz informiert sind, einschließlich der Vorgaben der DORA selbst und anderer relevanter Gesetze (wie der DSGVO).


Strategische Verantwortung und Governance

Das Leitungsgremium muss sicherstellen, dass eine wirksame Governance-Struktur für das IKT-Risikomanagement etabliert ist. Dies bedeutet, dass das Management die grundlegenden Prinzipien und Mechanismen verstehen muss, um:

  • Die IKT-Risiken innerhalb der Organisation richtig zu bewerten und entsprechende Kontrollen zu implementieren.
  • Eine strategische Ausrichtung zu entwickeln, die digitale Resilienz und Cybersicherheit in die Unternehmensstrategie integriert.
  • Die Umsetzung der DORA-Vorgaben durch geeignete Ressourcenallokation zu unterstützen.

 

Überwachung und Steuerung von IKT-Risiken

Das Management Body muss die Fähigkeit besitzen, die wirksame Implementierung und Überwachung der Maßnahmen zum IKT-Risikomanagement zu überwachen. Dies erfordert:

  • Wissen über interne Kontrollsysteme und Überwachungsprozesse, um sicherzustellen, dass IKT-Risiken regelmäßig überwacht und gemeldet werden.
  • Die Fähigkeit zur Risikobewertung, einschließlich der Durchführung von Stresstests und Penetrationstests, um die Widerstandsfähigkeit der Systeme gegen Bedrohungen zu überprüfen.
  • Kenntnisse über den Umgang mit IKT-Vorfällen, wie z. B. Cyberangriffen, und die Implementierung von Maßnahmenplänen, um schnell und effizient auf Bedrohungen reagieren zu können.


IKT-bezogenes Wissen bei der Zusammenarbeit mit Drittanbietern

Da viele Finanzinstitute IKT-Dienste auslagern, fordert DORA vom Management, dass es über ein fundiertes Wissen über die Risiken im Zusammenhang mit Outsourcing und der Zusammenarbeit mit Drittanbietern verfügt. Dazu gehört:

  • Das Management muss in der Lage sein, Risikobewertungen für Drittanbieter vorzunehmen, insbesondere in Bezug auf die Einhaltung der DORA-Vorgaben durch diese Dienstleister.
  • Das Verständnis der Vertragsanforderungen mit Drittanbietern, insbesondere im Hinblick auf Notfallpläne und Kontinuitätsstrategien, die erforderlich sind, um den Betrieb auch bei Ausfällen von externen Diensten sicherzustellen.


IKT-Schulungen und Weiterbildung

DORA fordert, dass das Management Body regelmäßig in Bezug auf die neuesten Entwicklungen im Bereich der digitalen Resilienz und der Cybersicherheit geschult wird. Dies bedeutet:

  • Die Mitglieder des Managements müssen an regelmäßigen Weiterbildungen teilnehmen, um ihr Wissen über technologische Entwicklungen, neue Bedrohungen und Best Practices im Bereich des IKT-Risikomanagements auf dem neuesten Stand zu halten.
  • Es muss ein übergreifendes Verständnis entwickelt werden, um nicht nur die technischen Risiken, sondern auch die geschäftlichen Auswirkungen von IKT-Risiken zu verstehen.

 

Verantwortung für die digitale Resilienz

Ein zentraler Aspekt der DORA-Vorgaben ist, dass die Verantwortung für die digitale Widerstandsfähigkeit auf der Management-Ebene liegt. Das bedeutet, dass das Leitungsgremium:

  • Strategische Entscheidungen treffen muss, die sicherstellen, dass die digitale Widerstandsfähigkeit in allen Geschäftsbereichen berücksichtigt wird.
  • Investitionen in Technologien und Personal unterstützt, um die Anforderungen an Cybersicherheit und digitale Resilienz zu erfüllen.
  • Die Umsetzung und Einhaltung der DORA-Vorgaben überwacht und sicherstellt, dass die operative Widerstandsfähigkeit im Finanzinstitut kontinuierlich verbessert wird.

 

PRAXISTIPPS

  • Die DORA-Verordnung verlangt von den Mitgliedern des Management Body eines Finanzinstituts fundiertes technisches, regulatorisches und strategisches Wissen im Bereich des IKT-Risikomanagements.
  • Diese Anforderung gilt für alle Leitungs- und Überwachungsfunktionen auch für die Mitglieder des Aufsichtsrates/Verwaltungsrates.
  • Es wird nicht ausreichen, nur ein grundlegendes Verständnis der digitalen Risiken zu haben, sondern es werden insbesondere Kenntnisse zu Governance-Strukturen gefordert, mit denen das Risiko von Cyberbedrohungen überwacht wird und wirksame Notfall- und Resilienzstrategien implementiert werden.
  • Schulungen und kontinuierliche Weiterbildung sind zentrale Elemente, um sicherzustellen, dass das Management den dynamischen Anforderungen der digitalen Welt gerecht wird und im Sinne der neuen regulatorischen Anforderungen handelt.

Beitragsnummer: 22732

Beitrag teilen:

Produkte zum Thema:

Produkticon
Fachtagung IT-Regulatorik 2024 – Fokusthema DORA

1.500,00 € exkl. 19 %

09.10.2024 - 10.10.2024

Produkticon
Zertifikat: Fachkunde DORA/ IKT-Risiken für die Interne Revision (FCH)

1.796,00 € exkl. 19 %

19.02.2025 - 25.02.2025

Beiträge zum Thema:

Beitragsicon
Auslagerungsmanagement - DORA konform & digital implementieren

Finanzunternehmen müssen umfangreiche Compliance- und Berichtspflichten erfüllen. Ein einheitliches, digitales Auslagerungsmanagement ist dafür unerlässlich.

16.09.2024

Beitragsicon
Dreijahreslösung im Bankrecht

Die höchstrichterliche Drei-Jahres-Lösung aus dem Energieversorgungsbereich soll gemäß LG Dresden auch auf Bank-Entgeltrückforderungsfälle übertragbar sein.

23.09.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.