Die Digitalisierung des Finanzsektors schreitet voran, und mit ihr steigen die Anforderungen an die digitale Resilienz. Unsere Benchmark beleuchtet die Auswirkungen der im Januar 2023 in Kraft getretenen "Digital Operational Resilience Act" (DORA)-Verordnung und zeigt, wie Finanzinstitute ihre Wettbewerbsfähigkeit und Innovationskraft stärken können.
Übergreifende Erkenntnisse
Bestehende IT-Governance, -Rahmenwerke, -Kontrollen und -Richtlinien sollten eine solide Grundlage bilden, die DORA-Compliance zu erreichen. Ein integrierter Ansatz über alle DORA-Disziplinen hinweg ist jedoch unerlässlich. Besonders im Bereich der IKT-bezogenen Vorfälle, Testen der digitalen operationalen Resilienz (DOR) und dem Management des IKT-Drittparteienrisiko, besteht ein erheblicher Verbesserungsbedarf, um die DORA-Compliance zu erreichen.
Risiken durch Informations- und Kommunikationstechnologien (IKT)
Entscheidend für den vorausschauenden Umgang mit IKT-Risiken ist eine umfassende Dokumentation des Informationsverbunds inklusive der Prozesse und Richtlinien. Die Umfrage zeigt, wie Mitarbeiterinnen und Mitarbeiter sowie das Management in die Lage versetzt werden können, die Prozesse innerhalb des IKT-Risikomanagementrahmens erfolgreich umzusetzen und aufrechtzuerhalten.
Vaike Metzger
Partnerin, Financial Services, Head of IT Compliance Solution, DORA EMA Lead
KPMG AG Wirtschaftsprüfungsgesellschaft
Business Continuity Management (BCM) und IT Service Continuity Management (ITSCM)
Ziel des Notfallmanagements ist es, resiliente Prozesse kontinuierlich zu gewährleisten - auch in einer Notfallsituation. Zentrale Maßnahmen hierfür sind bestehende Vorlagen für IKT-Geschäftsfortführungspläne und IKT-Reaktions- und Wiederherstellungspläne fortlaufend anzupassen sowie regelmäßige Tests durchzuführen. Unsere Expertinnen und Experten betonen die Notwendigkeit, die bestehende Infrastruktur kritisch zu prüfen und zu verbessern, um die Anforderungen an Verfügbarkeit, Kontinuität und Backup zu erfüllen
IKT-bezogene Vorfälle
Ein toolbasierter Datenbestand ermöglicht eine rasche Klassifizierung von IKT-bezogenen Vorfällen, Einleitung von Reaktionsmaßnahmen und die ordnungsgemäßen Meldungen der Vorfälle. Wichtig sind zudem ausreichende Frühwarnindikatoren (u.a. Anomalie-Erkennung) in den ganzheitlichen IKT-bezogene Vorfallmanagementprozesse zu implementieren, um eine ausreichende Sicherheitsüberwachung, Frühwarnung und Benachrichtigung von relevanten Funktionen im Unternehmen zu ermöglichen. Zusätzlich zur umfangreichen Prozessimplementierung sind auch die in unserer Umfrage beschriebenen notwendigen Ressourcen aufzubauen.
Testen der digitalen operationalen Resilienz
Ein bedrohungsorientierter, mehrjähriger Testplan, der alle IKT-Assets abdeckt, bildet die Grundlage für ein umfassendes Testen der digitalen operationalen Resilienz. Die Umfrage zeigt, wie sich erforderliche Testmethoden in den Lebenszyklus der Softwareentwicklung integrieren lassen und wie das Testpersonal dazu beitragen kann, den Testplan mit ausreichender Kapazität zu operationalisieren.
Management des IKT-Drittparteienrisikos
Für das Management des IKT-Drittparteienrisikos gilt es, alle Verträge als Teil des Informationsregisters zu erfassen, zu bewerten und zu dokumentieren sowie die Verträge hinsichtlich Standardklauseln anzupassen. Unsere Expertinnen und Experten erläutern, wie Sie mit den richtigen Prozessen und Governance das laufende Drittparteienmanagement unterstützen und DORA-konform aufbauen können.
Risikobasierte Umsetzung & KPMG-Blueprint für DORA-Methodik
Unsere Benchmark empfiehlt eine risikobasierte Priorisierung entlang der kritischen oder wichtigen Funktionen des Unternehmens. Damit wird die digitale operationale Resilienz dieser „Kronjuwelen“ des Unternehmens in der DORA-Umsetzung fokussiert und es wird eine solide Basis für die Einhaltung von DORA geschaffen.