Im Jänner 2023 wurde der Digital Operational Resilience Act (DORA) als Teil des digitalen Finanzpakets der EU-Kommission eingeführt, um die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu stärken. Diese neue EU-Verordnung hat das Ziel, sicherzustellen, dass Unternehmen im Finanzsektor auch bei Vorfällen im Bereich der Informations- und Kommunikationstechnologie (IKT) weiterhin sicher und zuverlässig arbeiten können.
Für betroffene Unternehmen gibt es eine Übergangsfrist bis Jänner 2025, um die erforderlichen Maßnahmen vollständig umzusetzen. Die neuen Anforderungen betreffen die Sicherheit der IKT, die operative Widerstandsfähigkeit sowie Meldepflichten für Ereignisse wie Cyberangriffe und andere IKT-Vorfälle.
Um den Anforderungen von DORA gerecht zu werden, müssen Unternehmen angemessene Sicherheitsvorkehrungen treffen, um ihre Systeme vor Bedrohungen zu schützen. Dazu gehören die Implementierung von robusten Sicherheitsmaßnahmen, die regelmäßige Überprüfung und Aktualisierung der IT-Infrastruktur sowie die Schulung der Mitarbeitenden im Umgang mit potenziellen Risiken. Es ist wichtig, dass Unternehmen frühzeitig mit der Umsetzung der erforderlichen Maßnahmen beginnen, um die Einhaltung von DORA innerhalb der vorgegebenen Frist zu gewährleisten. Die Umsetzung dieser Verordnung ist nicht nur eine rechtliche Verpflichtung, sondern auch eine Chance, die Widerstandsfähigkeit und Sicherheit des Unternehmens zu stärken. Durch die Umsetzung der erforderlichen Maßnahmen können Unternehmen das Vertrauen ihrer Kund:innen und Partner gewinnen und gleichzeitig ihr Unternehmen vor potenziellen Risiken schützen.
DORA betont die Gesamtverantwortung des Leitungsorgans für die digitale Betriebsstabilität. Das Management ist dafür verantwortlich, sicherzustellen, dass das Unternehmen ausreichend vor IKT-Störungen und Cyberangriffen geschützt ist.
DORA fordert die Implementierung eines ganzheitlichen IKT-Risikomanagement-Rahmenwerks, das als Grundlage für die Schaffung widerstandsfähiger Finanzunternehmen dient. Dieses Rahmenwerk ermöglicht es, IKT-Risiken zu identifizieren, zu bewerten, zu steuern und zu überwachen.
Ein konkretes Beispiel für die Umsetzung der DORA-Anforderungen ist die Einführung widerstandsfähiger IKT-Systeme im gesamteuropäischen Wirtschaftsraum. Dies bedeutet, dass Unternehmen robuste und sichere IKT-Infrastrukturen etablieren, um ihre Systeme vor Bedrohungen zu schützen und die Betriebsstabilität aufrechtzuerhalten.
Weiters fordert DORA, die Meldepflichten für schwerwiegende IKT-Vorfälle in der gesamten europäischen Finanzindustrie zu standardisieren. Dadurch soll die Reaktion auf solche Vorfälle verbessert werden und zudem eine effiziente Koordination zwischen den nationalen und europäischen Behörden bestehen.
Eine Maßnahme, die für die Umsetzung dieser Anforderung getroffen werden kann, ist die Einführung einheitlicher Verfahren zur Überwachung, Klassifizierung und dem Bericht von IKT-Vorfällen an die zuständigen Behörden.
Für Finanzunternehmen, die auf Dienstleistungen von IKT-Drittanbietern für ihre IT-Systeme und -Prozesse angewiesen sind, ermöglicht DORA eine effektive Überwachung der mit den Drittanbietern im Zusammenhang stehenden Risiken.
Eine Maßnahme, die für die Umsetzung dieser Anforderung getroffen werden kann, ist Strafzahlungen und neue Optionen für die sichere Vertragsbeendigung für IKT-Drittanbieter einzuführen, falls diese die Anforderungen von DORA nicht erfüllen. Dadurch ist es Finanzunternehmen möglich, sicherzustellen, dass das Risiko durch IKT-Drittanbieter effektiv überwacht wird.
Finanzunternehmen müssen sicherstellen, dass ihre IT-Systeme und -Prozesse potenzielle Bedrohungen schnell und effektiv erkennen und angemessen darauf reagieren können. DORA hat spezifische Anforderungen an Prozesse und Systeme, um die Reaktionsfähigkeit durch umgehende Erkennung und Abwehr potenzieller Gefährdungen zu erhöhen.
Eine Maßnahme, die für die Umsetzung dieser Anforderung getroffen werden kann, ist die automatisierte Netzwerkisolierung bei Cyberangriffen. Diese Maßnahme ermöglicht die Minimierung des Risikos von Datenverlusten oder Systemausfällen und erleichtert die Wiederherstellung des normalen Betriebs.
Um den fließenden Betrieb von Finanzunternehmen zu gewährleisten, überprüfen diese regelmäßig ihre digitale Betriebsstabilität und die Sicherheit von kritischen IT-Systemen. Die Verwendung eines risikobasierten Ansatzes bei diesen Tests ermöglicht, dass eventuelle IKT-Störungen erkannt und berichtigt werden.
Eine Maßnahme, die für die Umsetzung dieser Anforderung getroffen werden kann, ist mindestens alle drei Jahre Penetrationstests an Live-Produktionssystemen durchzuführen. Penetrationstests unterstützen dabei, mögliche Angriffspunkte zu identifizieren und geeignete Gegenmaßnahmen zu treffen, indem sie bewusst nach Sicherheitslücken im System suchen.
Die Umsetzung der DORA-Verordnung kann für Finanzinstitute diverse Herausforderungen darstellen, da diese womöglich nicht ausreichend vorbereitet sind, um die neuen Anforderungen einzuhalten.
Um den Anforderungen gerecht zu werden und die Geschäftstätigkeit weiterhin angemessen und erfolgreich auszuüben, sind Aktualisierungen für IKT-Systeme, Optimierungen der Prozesse und Schulungen für Mitarbeitende notwendig.
So unterstützt Sie KPMG
- KPMG verfügt über ein umfassendes fachliches Repertoire bezüglich aller relevanten Disziplinen im Bereich der DORA-Verordnung, einschließlich Managementberatung, ISM (Information Security Management), IRM (Information Risk Management), BCM (Business Continuity Management), Outsourcing und Cloud-Lösungen. Wir sind darauf spezialisiert, unsere Kund:innen in allen Belangen dieser Disziplinen zu beraten und zu unterstützen.
- Wir verfügen über ein tiefes Verständnis für Prozesse, Risiken und Kontrollen sowie Governance-Strukturen. Unsere Expertise und unser Know-how ermöglichen es uns, unsere Kund:innen bei der Implementierung von effektiven Kontrollmechanismen und Risikomanagement-Strategien zu unterstützen.
- Unsere umfangreiche Projekterfahrung mit Unternehmen der Branche hat uns wertvolle Einblicke und Erkenntnisse verschafft, die uns helfen, Herausforderungen und Anforderungen unserer Kund:innen besser zu verstehen. Mit unserem bewährten Vorgehensmodell setzen wir diese Erkenntnisse gezielt ein und entwickeln maßgeschneiderte Lösungen, optimal zugeschnitten auf die individuellen Bedürfnisse unserer Kund:innen.
- Wir profitieren von einem direkten Zugang zu weltweiter Expertise und Erfahrung durch unser Unternehmensnetzwerk. Wir arbeiten eng mit unseren internationalen Teams zusammen und können auf ein breites Spektrum an Erfahrung und Fachwissen zugreifen, das speziell auf den Finanzsektor zugeschnitten ist.
- Neben unserer fachlichen und methodischen Expertise bieten wir außerdem Know-how für die Umsetzung von Tools. Wir unterstützen unsere Kund:innen bei der Implementierung von marktüblichen GRC-Tools, um Risiken und Kontrollen effizient zu managen und zu steuern. Darüber hinaus bieten wir Tools für das effektive Management von Drittanbietern und deren Verträgen im Bereich Informations- und Kommunikationstechnologie (IKT).