der digital operational resilience act (DORA) - stand und erste erfahrungen

stand der DORA-Vorgaben

Seit der Veröffentlichung des Digital Operational Resilience Act (DORA) im Amtsblatt der EU am 27.12.2022 haben auch zugehörige Regulatory Technical Standards (RTS), Implementing Technical Standards (ITS) und Guidelines den Konsultationsprozess durchlaufen oder sind in diesem fortgeschritten. Damit nimmt die inhaltliche Stabilität der die DORA flankierenden, konkretisierenden Vorgaben weiter zu

veröffentlichte vorgaben im überblick

Ein Teil der Deligierte Verordnungen sind bereits im Juni 2024 im Amtsblatt der EU veröffentlicht worden:

  • Kriterien für die Klassifizierung von IKT- bezogenen Vorfällen und Cyberbedrohungen, Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender IKT-Vorfälle
  • Detaillierte Inhalte der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden
  • Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und den vereinfachten IKT-Risikomanagementrahmen                                                                                                                                                                                                                                                                                                                              

weitere vorgaben im laufenden prozess

Weitere RTS, ITS sowie Guidelines liegen seit spätestens Juli 2024 im Final-Draft-Status, d.h. mit Entgegnungen aus den Konsultationen, vor:

  • Register of information in relation to all contractual arrangements on the use of ICT services provided by ICT third-party service providers
  • Joint Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents
  • Content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents und Standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat (in einem Dokument)
  • Specification of the elements which a financial entity needs to determine and assess when subcontracting ICT services supporting critical or important functions
  • Specification of the elements related to threat led penetration tests (TLPT)                                                                                                                                                                                           

                                                                                                                                                                                                          Ein Abgleich zwischen den Final-Drafts und der im Amtsblatt veröffentlichten Versionen der “1. Tranche” ergab keine materiellen, sondern lediglich strukturelle Änderungen (z.B. Nummerierungen und Verschiebungen von Inhalten). Dies ist daher auch für die sich noch im Prozess befindlichen Vorgaben zu erwarten, so dass diese bereits als Grundlage für Analysen und Umsetzungen genutzt werden können.

erste erfahrungen aus der projektarbeit

In den vergangenen Monaten haben wir zahlreiche Kunden der Finanzindustrie in DORA-Analyseprojekten und Umsetzungsprojekten beraten und unterstützt. Hierzu gehören Banken, Versicherungen und Bausparkassen in verschiedenen Größen, mit und ohne Konzernzugehörigkeit sowie unterschiedlichen Reifegraden in ihrer individuellen BAIT-/VAIT-Compliance.

lessons learned

DORA und die flankierenden Dokumente sind nun bekannt und größtenteils veröffentlicht, in der Umsetzungs-Praxis aber unverändert neu. Im Rahmen unserer Projekte haben wir zusammen mit unseren Kunden neue Erfahrungen gesammelt. Diese gingen direkt und kurzfristig durch Anpassungen in die laufenden Projekte ein und bildeten, als Blueprint, jeweils den Rahmen für die nachfolgenden Mandat.

erfolgsfaktor strukturierung der analyse

Der ursprüngliche Ansatz, die DORA-, RTS-Inhalte etc. anhand ihrer Gliederungsstrukturen mit dem Istzustand der Kunden zu vergleichen, hat sich als sehr sperrig erwiesen. Die Inhalte stellten sich als zu verwoben (Querverweise) und zu weit entfernt von den bestehenden Organisationsstrukturen und Themenzuordnungen in den Häusern heraus. Stattdessen hat sich eine Strukturierung in zehn Themenkomplexe bewährt, denen die jeweiligen Vorgaben der DORA, RTS/ITS und Guidelines lückenlos zugeordnet sind.                                                                                                                                                                                                                                                                             

 

erfolgsfaktor priorisierungsansatz der maßnahmen

Sind die DORA-Gaps im Haus ermittelt, die erforderlichen Maßnahmen definiert sowie mit einer Aufwandsschätzung versehen, stellt sich die Frage nach der adäquaten Umsetzungsreihenfolge. Dabei hat sich in der Praxis die Beachtung von vier Priorisierungs-Faktoren bewährt:

  • „Sichtbarkeit“ (zum 17.01.2025) - z.B. aktive Meldung schwerwiegender IKT-Vorfälle oder Übersendung des Informationsregister auf Anforderung
  • Basisarbeiten“ – z.B. Definition/Identifikation der kritischen oder wichtigen Funktionen als wiederkehrendes Element in vielen Themenkomplexen
  • Erwartete Dauer einer Umsetzung – z.B. früher Start der „Langläufer“ mit hohem Aufwand oder erforderlicher technischer Unterlegung
  • Erforderlicher Abstimmungsbedarf in Konzernstrukturen mit der Mutter/den Töchtern – z.B. früher Start dort, wo ein hoher Standardisierungsgrad opportun oder zu erwarten ist

Dabei sind fachlich, inhaltlichen Schnittstellen und Abhängigkeiten jeweils zu berücksichtigen.

analyseergebnisse aus der praxis

Als Ergebnis der Gap-Analyse ermittelt plenum, zusammen mit seinen Kunden, das qualitative Ausmaß des Deltas, die notwendigen Maßnahmen zur Schließung und die damit verbundenen Aufwände. Gefolgt von einem planerischen Entwurf der Umsetzung auf Basis abgestimmter Priorisierungs-Kriterien.

qualitative deltas und umsetzungsaufwand

Übergreifend über die Finanzinstitute zeichnen sich typische Themenkomplexe ab, welche ein vergleichsweise hohes qualitatives Delta zu den DORA-Vorgaben aufweisen. Dies liegt vornehmlich in der darin enthaltenen Regelungstiefe und dem Detaillierungsgrad begründet. Der zugehörige Umsetzungsaufwand korreliert nicht zwangsläufig mit dem qualitativen Delta des Themenkomplexes. Einzelne Themen in den qualitativen Gaps können hohe Umsetzungsaufwände nach sich ziehen.

beispiel mittelständisches Finanzinstitut in konzernstrukturen                                                                                                                    

 

unser fazit und angebot - der DORA delta-check

Die bisherigen Erfahrungen unserer Abgleiche von DORA mit dem Status Quo in den Finanzinstituten zeigen, dass die richtige Vorgehensweise, Analysetiefe und Bewertungs-/Planungsansätze wichtige Voraussetzungen für eine erfolgreiche operative Umsetzung sind. Dabei sind im Ergebnis die ermittelten Umsetzungsaufwände durchgängig recht hoch. Dies ist zwar immer abhängig von der Compliance mit bestehenden Regularien, aber auch in der Detaillierung und Regelungstiefe von DORA begründet.

plenum führt seit vielen Jahren sehr erfolgreich regulatorische Projekte für die IT von Finanzunternehmen durch. Diese Erfahrung und Kenntnisse der Prüfungspraxis der Aufsicht kombinieren wir für Sie zu einem „DORA delta-check“, welcher Ihnen Ihre individuellen Handlungsbedarfe aufzeigt. Diesen führen wir wahlweise unter Annahme der Compliance mit z.B. BAIT/VAIT oder als „DORA Fully“ mit Ihnen durch. Als Partner der IT betrachten wir die IT und ihre Risiken hierbei „end-to-end“ entlang der Leistungsprozesse und gehen den Risikoursachen sorgfältig auf den Grund. Denn unser Auftrag endet nicht damit, die IT „durchzuprüfen”, sondern beginnt damit erst. Mit einem in der Praxis vielfach bewährtem Vorgehen bieten wir Ihnen eine Standortbestimmung. Neben den Schwachstellen Ihrer IT aus Sicht der DORA-Vorgaben zeigen wir Ihnen auf, mit welchen Maßnahmen Sie Ihre Compliance steigern und komplettieren können. Der wichtigste Mehrwert in unserem Vorgehen liegt jedoch darin, dass wir auf Basis unserer mehr als 25 Jahre Erfahrung mit Ihnen zukunftsorientierte Maßnahmen erarbeiten, die für eine angemessene & nachhaltige Compliance sorgen – damit Sie sich wieder voll auf Ihr Kerngeschäft konzentrieren können