In der heutigen, sich ständig wandelnden digitalen Landschaft wird die Implementierung der DORA-Verordnung (Digital Operational Resilience Act) zu einer Schlüsselherausforderung für Unternehmen im Finanzsektor. Diese, wie auch weitere Frameworks (NIST, ISO 27001 etc.), zielen darauf ab, die digitale Resilienz von Unternehmen zu stärken, indem sie einheitliche Standards für die IT-Sicherheit und das Risikomanagement einführt. Aber weshalb scheitern bedeutende Implementierungsprojekte trotz hoher Initialaufwände oftmals mit der Zeit? Was sind die Schlüsselfaktoren für das Erreichen gut miteinander abgestimmter Teamleistungen?

Sehr oft erhalten die Erfolgsfaktoren «Mitarbeitende» und «Unternehmenskultur» schon in der Planung nicht die nötige Aufmerksamkeit. Sei es, weil diese schlicht unterschätzt werden, oder weil gut gemeinte Massnahmen im Projekt- und Arbeitsalltag letztlich ersatzlos gestrichen werden.

Die Rolle der Unternehmenskultur im organisationalen Wandel

Eine erfolgreiche Implementierung von DORA erfordert weit mehr als nur technische Anpassungen. Sie muss in der Unternehmenskultur verankert sein. Dies lässt sich mit der Entwicklung einer Sportmannschaft vergleichen, bei der nicht nur Spieltechniken trainiert, sondern auch Teamgeist und eine gemeinsame Vision gefördert werden müssen. Organisationen müssen sicherstellen, dass ihre Mitarbeitenden die neuen Sicherheitsanforderungen nicht nur verstehen, sondern auch aktiv leben. Auch hier ist die Analogie zum Sport passend: Der Teamcoach spielt eine unterstützende Rolle auf dem Weg zum gemeinsamen Erfolg.

Unternehmen sollten spezifische Change-Management-Strategien entwickeln, um die Einführung von DORA reibungsloser zu gestalten. Benennung eines DORA-Implementierungsteams, Erstellung eines Projektplans, kontinuierliche Kommunikation mit Stakeholdern, regelmässige Schulungen, Awareness-Kampagnen und interaktive E-Learning-Module sind Instrumente, um ein tieferes Verständnis und eine breite Akzeptanz zu fördern.

Praktische Umsetzung, kontinuierliche Verbesserung und ­Erfolgsmessung

Organisationen, die bereits über etablierte Prozesse und Kontrollen verfügen, können diese durch die Implementierung von DORA erheblich stärken und optimieren. Unternehmen sollten umfassende Prozess-Reviews durchführen, bewährte Verfahren aus etablierten Frameworks wie COBIT und ISO 27001 integrieren und Automatisierungstools nutzen, um die Effizienz zu steigern.

Der Erfolg der DORA-Implementierung sollte, ähnlich wie die Leistung einer Sportmannschaft, durch Statistiken und Analysen bewertet werden. KPIs definieren, Dashboards implementieren und kontinuierlich Feedback sammeln, sodass der fortlaufende Verbesserungsprozess auch greift.

Fazit

Die Implementierung von DORA stellt eine bedeutende Herausforderung dar, die nur durch eine tiefgehende Verankerung in der Unternehmenskultur und eine ganzheitliche Transformationsstrategie erfolgreich bewältigt werden kann. Unternehmen, die diese Herausforderungen meistern, werden langfristig eine gesteigerte Wettbewerbsfähigkeit im digitalen Zeitalter erfahren. Wie im Sport erfordert dies eine kontinuierliche Anpassung der Strategien und Strukturen, um auf höchstem Niveau zu bestehen.

« Mitarbeitende müssen verstehen, ­warum die Veränderung notwendig ist »

Die DORA-Richtlinie ist eine EU-Vorgabe, die Finanzunternehmen dazu verpflichtet, ihre IT-Systeme gegen Cyberrisiken abzusichern. Inwiefern diese Regeln auch Schweizer Unternehmen tangieren und was hiesige KMUs bei der Umsetzung der Vorgabe beachten sollten, erklärt Joachim Görg, Managing Director von Glenfis. Interview: Joël Orizet

Inwiefern betrifft die DORA-Richtlinie der EU auch Schweizer Unternehmen?

Joachim Görg: Schweizer Unternehmen müssen die DORA-Richt­linie erfüllen, wenn sie Anbieter von ICT-Dienstleistungen sind und ihre Dienste Unternehmen zur Verfügung stellen, die im Finanzsektor in der Europäischen Union (EU) tätig sind. Ebenfalls tangiert sind Schweizer Unternehmen, die etwa unternehmens­interne ICT-Services an EU-Gruppenunternehmen erbringen.

Was sollten KMUs hierzulande bei der Umsetzung der ­DORA-Vorgaben beachten?

Betroffene KMUs sollten mit Fachspezialisten genau untersuchen, welcher Teil der DORA-Anforderungen umgesetzt werden muss. Es ist eine ganzheitliche Verordnung, die Aspekte enthält, die ein Schweizer Dienstleister nicht erfüllen muss. Als KMU sollte man eng mit den Kunden zusammenarbeiten, um gemeinsam pragmatische Lösungen für teilweise komplexe Anforderungen zu erarbeiten.

Welche Herausforderungen ergeben sich bei der Implementierung von DORA in die Unternehmenskultur?

Per se ist die Herausforderung, die erstrebte Verankerung in der Unternehmenskultur zu erlangen. Dies geht über reine Prozess­änderungen hinaus. Die Integration von DORA in eine unternehmensweite Transformationsstrategie ist daher der vielversprechende Weg und nicht die isolierte Umsetzung der Verordnung. Herausfordernd ist, den richtigen Mix an Massnahmen zu erarbeiten, sodass DORA auch ein Teil der Unternehmenskultur wird.

Wie können Unternehmen sicherstellen, dass ihre Mitarbeitenden die neuen Sicherheitsanforderungen verinnerlichen?

Ausgangspunkt ist sicherlich, dass die Mitarbeitenden verstehen, warum die Veränderung notwendig ist und welche Probleme gelöst werden. Diese Verinnerlichung kann nur durch ein mehrdimensionales, auf das jeweilige Unternehmen zugeschnittenes Massnahmenpaket erreicht werden. Angefangen bei regelmässigen Schulungen zu den allgemeinen Sicherheitsanforderungen für alle Mitarbeitenden, über Awareness-Kampagnen zur Sensibilisierung, inklusive E-Mail-Newsletter, Intranet-Updates, Workshops, CIO-Coffee etc. Ergänzende E-Learning-Module ermöglichen eine flexible Weiterbildung. Klassische Phishing-Simulationen gehören ohnehin zu den bekannten Massnahmen. Das kontinuierliche Einholen von Feedback der Mitarbeitenden zur Verbesserung der Trainingsprogramme ist ein weiterer wichtiger Faktor. Es ist entscheidend, miteinander im Dialog zu bleiben.

Wie lässt sich der Fortschritt einer Organisation bei der ­DORA-Umsetzung messen?

Der Erfolg der DORA-Implementierung sollte durch klare Metriken und regelmässige Überprüfungen gemessen werden, um kontinuierliche Verbesserungen zu gewährleisten. Der erste Schritt ist das Definieren spezifischer KPIs, um den Erfolg der DORA-Implementierung zu messen – etwa die Anzahl der Sicherheitsvorfälle, Compliance-Rate oder Reaktionszeit bei Vorfällen. Ein Dash­board hilft, die KPIs in Echtzeit zu überwachen. Erstellen regelmässiger Berichte für das Management, um den Fortschritt und die Effektivität der Implementierung zu dokumentieren, gehören genauso dazu wie das kontinuierliche Sammeln von Feedbacks von den beteiligten Teams und die entsprechende Anpassung der Metriken und Massnahmen.