PARTNER-POST Dossier in Kooperation mit Glenfis

Umsetzung der DORA-Verordnung – Schülerfussballturnier oder Profiliga

Uhr
von Joachim Görg, Deputy Managing Director, Glenfis

Die Umsetzung der EU-Verordnung zur Vereinheitlichung der IT-Sicherheit im Finanzsektor (DORA) stellt die Unternehmen vor organisatorische Herausforderungen. Sie sollten ihre organisationsspezifische Situation stark berücksichtigen und DORA als weiteren Transformationsschritt der unternehmens­eigenen Digital Operational Resilience verstehen.

Joachim Görg, Deputy Managing Director, Glenfis. (Source: zVg)
Joachim Görg, Deputy Managing Director, Glenfis. (Source: zVg)

Jeden Sommer gibt es die beliebten Schulfussballturniere, und gerade bei den ganz jungen Kickerinnen und Kickern der ersten Klassen bietet sich dem Zuschauer oft folgendes, sehr amüsante Bild: Die beiden Mannschaften sind eine wuselige Menschentraube, und der Ball ist nicht zu sehen, er ist irgendwo in dieser aufgeregten Menschentraube vergraben. Und der Spieler, der die grossen, offenen Lücken auf dem Spielfeld schon in jungen Jahren zu nutzen weiss, schiesst die ersehnten Tore. 

Dieses sommerliche Bild erinnert mich an DORA (Digital Operational Resilience Act). Die ganze Mannschaft scheint sich auf DORA zu stürzen, als gäbe es keine Strategie, keine Taktik und keine Verteidigung. Je nach Reifegrad der bisher eingeführten (oder auch nicht eingeführten) Kontrollen und Prozesse ist die Einführung der DORA-Regulierungselemente eine nicht zu unterschätzende Aufgabe. Zweifellos gibt es auch neue Elemente im Zusammenhang mit mehr Transparenz und Nachvollziehbarkeit bei ICT-bezogenen Vorfällen sowie dem ICT-Drittparteien-Risikomanagement. Darüber hinaus bedeutet jede Anforderung, formalisierter zu arbeiten und damit Nachweise für Audits zu generieren, zusätzliche Arbeit. 

Viele Elemente werden in der Grundform schon länger gelebt, wenn z.B. Governance nach COBIT, Information Security nach ISO27001 und Prozesse nach ISO20000-1 schon länger umgesetzt werden und über die Jahre kontinuierlich an Reife gewonnen haben. Zudem arbeiten Versicherungen und Banken bereits an verschiedenen FINMA-Rundschreiben, die spezifische Aspekte der DORA vorschreiben, wie etwa die Banken an FINMA-RS 23/1 «Operationelle Risiken und Resilienz - Banken», das im Januar 2024 in Kraft treten wird.   

DORA-Einführung

Die Einführung von DORA als ganzheitlicher Transformationsprozess.


Die Kunst wird darin bestehen, die DORA-Anforderungen ernsthaft anzugehen, aber nicht als isoliertes Projekt, sondern als weiteren Transformationsschritt der unternehmenseigenen Digital Operational Resilience. Auch wenn, wie bei vielen anderen Regulierungen, die gesamte Organisation betroffen sein sollte, ist es sehr unternehmensspezifisch, wie viel Arbeit in den nächsten 18 Monaten noch zu leisten ist, um den verschiedenen in DORA adressierten Themenbereichen gerecht zu werden.

Die Einführung sollte gelingen, wenn sie auf den bestehenden Kontrollen und Prozessen aufbaut und einen klaren Geschäftsfokus hat. Insbesondere Organisationen, die bereits eine Grundsubstanz an ICT-Governance und ICT-Prozessen aufgebaut haben, sollten den eingeschlagenen Weg zielgerichtet und kontinuierlich weiterverfolgen.

Die eigene, langfristige ICT-Strategie vor Augen, operativ stark am Ball, die bestehende ICT-Abwehr nicht vernachlässigend, stark im Zusammenspiel mit Drittdienstleister-Teams und trotz aller Compliance-Anforderungen weiterhin Business-Tore schiessend. Für Organisationen, die schon länger in der Profiliga spielen, sollte die Einführung von DORA ein machbarer Schritt im kontinuierlichen Transformationsprozess sein.


"DORA bezieht sich explizit auf ICT-Risiken"


Seit Januar 2023 ist der europäische Digital Operational Resilience Act (DORA) in Kraft. Was die digitale operationale Resilienz für Finanzinstitute bedeutet und weshalb sich auch Schweizer Unternehmen damit auseinandersetzen sollten, erklärt Joachim Görg, Deputy Managing Director von Glenfis.  Interview: Tanja Mettauer

Was genau ist der Digital Operational Resilience Act (DORA)?

Joachim Görg: Der Digital Operational Resilience Act (EU-Verordnung 2022/2554) löst ein wichtiges Problem in der EU-Finanzregulierung. Vor DORA steuerten Finanzinstitute die Hauptkategorien des operationellen Risikos hauptsächlich durch die Zuweisung von Kapital, aber sie steuerten nicht alle Komponenten der operationellen Widerstandsfähigkeit. Nach DORA müssen sie auch Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Reparatur von ICT-bezogenen Vorfällen einhalten. 

Welche ICT-spezifischen Themen werden in DORA geregelt, ­beziehungsweise definiert, die für die betroffenen Unternehmen eine wesentliche Veränderung darstellen? 

DORA bezieht sich explizit auf ICT-Risiken und legt Regeln für das ICT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der operationellen Widerstandsfähigkeit und die Überwachung von ICT-Risiken durch Dritte fest. Die Verordnung erkennt an, dass ICT-Vorfälle und mangelnde operationelle Widerstandsfähigkeit die Solidität des gesamten Finanzsystems gefährden können, selbst wenn für die traditionellen Risikokategorien «angemessenes» Kapital vorhanden ist.

Welche Unternehmen müssen die DORA-Verordnung umsetzen? 

Die Verordnung richtet sich an ein breites Spektrum von Unternehmen, die im Finanzsektor tätig sind. Dazu zählen Finanzunternehmen wie Banken, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen (vgl. Art. 2 Abs. 2 DORA), aber auch ICT-Dienstleister (Art. 2 Abs. 1 DORA). Es wird geschätzt, dass bis zum 17. Januar 2025 mehr als 20 000 Unternehmen in Europa die DORA-Vorschriften einhalten müssen. Hinzu kommen alle ICT-­Dienstleister, die potenziell spezifische DORA-Anforderungen erfüllen müssen.   

Warum sollten sich Unternehmen mit Sitz in der Schweiz mit DORA auseinandersetzen? 

Alle Unternehmen, die interne IT-Dienstleistungen für EU-Tochter- oder Schwestergesellschaften erbringen oder IT-Dienstleister für in der EU ansässige Unternehmen sind, sollten sich intensiv mit den DORA-Anforderungen auseinandersetzen. Insbesondere um mit den internen oder externen Kunden aus dem sehr breit definierten Finanzsektor über die zukünftige Ausgestaltung der Services zu sprechen und Lösungen zu finden.  

Gibt es spezielle Themen oder Trends, die für Sie besonders ­erwähnenswert sind?

Erwähnenswert ist für mich die Tatsache, dass bestimmte «klassisch» interne Massnahmen zur Stärkung der Digital Operational Resilience, wie etwa in Auftrag gegebene Penetration Tests, nicht mehr nur wie bis dato üblich unternehmensintern, sondern langfristig auch von nationalen Aufsichtsbehörden organisiert werden sollen. Ich halte dies für eine bemerkenswerte Entwicklung hin zu mehr Transparenz, die mit der Zeit auch weitere Unternehmensbranchen erfassen könnte.

Gibt es spezielle Einführungsprozesse oder Hilfestellungen für die betroffenen Unternehmen? 

Wie im Fachbeitrag beschrieben und in der Grafik dargestellt, ist es wichtig, zu erkennen, dass ein grosser Teil der DORA-Anforderungen bereits in den verschiedenen ISO-Standards oder Frameworks vorhanden sind und somit als Grundlage dienen sollten, um den notwendigen Transformationsprozess zu gestalten. Ein grosser Fehler wäre es, den aktuellen Reifegrad der eigenen Digital Operational Resilience nicht in die Projektplanung einzubeziehen und die Anforderungen als reines IT-internes Projekt zu betrachten.

Webcode
zeHa7PwU