DORA-konforme IKT-Risikobewertung

Validierung und Sicherstellung einer DORA-konformen Risikoklassifizierung ausgelagerter IKT-Dienstleistungen durch Prüfung und Stärkung der internen Bewertungskompetenz

Aufgabe

Inhalt des Projekts war die Prüfung und Validierung der bestehenden Einstufungen ausgelagerter IKT-Dienstleistungen im Rahmen der Anforderungen des Digital Operational Resilience Act (DORA). Dabei sollte eine DORA-konforme Risikoklassifizierung sichergestellt, fehlende Informationen nachgefordert und die interne Kompetenz zur eigenständigen Bewertung gestärkt werden. Zur Bewältigung des Projekts wurde ein eigens entwickeltes Modul eingesetzt: Mehr dazu -> plenum.unik.

Das plenum.unik Informationsregister setzt auf der bereits am Markt etablierten Software D-QUANTUM auf.

Die Kritikalitätseinstufungen der IKT-Dienstleistungen wurden systematisch anhand der DORA-Kriterien überprüft. Zur Vereinheitlichung wurden Bewertungslogiken erstellt bzw. bestehende überarbeitet, um eine nachvollziehbare und konsistente Einstufung zu gewährleisten. Im Zuge der Analyse wurden Handlungsbedarfe identifiziert, etwa in Form fehlender Dokumentationen oder unklarer Bewertungsgrundlagen. Die Erkenntnisse wurden mit den Bereichen Risikomanagement, Informationssicherheit und Auslagerungsmanagement abgestimmt und validiert. Abschließend wurden Empfehlungen zur Nachschärfung bestehender Methoden und Prozesse abgeleitet, um eine nachhaltige DORA-Compliance zu gewährleisten.

Die DORA-konforme Einstufung und Risikoanalyse aller relevanten IKT-Dienstleistungen konnte sichergestellt werden. Fehlende Informationen zur Erfüllung regulatorischer Anforderungen wurden fristgerecht nachgefordert und vollständig in die Bewertung integriert. Durch die validierten Risikoeinschätzungen konnten operationelle Risiken gezielt reduziert werden. Mitarbeitende wurden befähigt, künftige DORA-Anforderungen im Auslagerungsmanagement eigenständig und regelkonform umzusetzen.