Nutzen Sie die DORA-Regulatorik für Ihre Digitalisierungsvorhaben!

Nutzen Sie die DORA-Regulatorik für Ihre Digitalisierungsvorhaben!

Vaike Metzger, Solution Lead IT Compliance & Cyber Security bei KPMG Deutschland, hat zu diesem Blog beigetragen.

Am 16. Januar 2023 hat die EU-Kommission den „Digital Operational Resilience Act” (DORA) in Kraft gesetzt. DORA ist Teil des digitalen Finanzpakets der EU-Kommission vom September 2020 mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen und richtet sich an alle Finanzdienstleister innerhalb der EU.
Ziel ist es, Cyberbedrohungen auf dem Finanzmarkt frühzeitig zu identifizieren und Angriffsflächen abzusichern. Für die von DORA betroffenen Unternehmen gibt es eine Übergangsfrist bis zum 17. Januar 2025, um die Verordnung vollständig umzusetzen.

Zur Konkretisierung der Anforderungen veröffentlichen die Europäischen Aufsichtsbehörden technische Regulierungsstandards; die ersten Entwürfe dafür liegen seit dem 19. Juni vor.

DORA erweitert bestehende Regulatorik wie beispielsweise MaGo/MaRisk, oder VAIT/BAIT, indem die Verordnung einen konsequent von dem IKT-Risikomanagement gedachten Ansatz fordert, der in der Organisation und ihren Prozessen verankert werden muss. Dieser Ansatz wird als Basis für ein widerstandsfähiges Finanzunternehmen gesehen, um seine operationale Resilienz zu stärken.

Ein zentrales Dashboard

DORA legt großen Wert auf die Gesamtverantwortung des Leitungsorgans für die digitale Betriebsstabilität. Das Management muss dafür sorgen, dass das Unternehmen ausreichend vor Informations- und Kommunikationstechnologie (IKT)-Störungen und Cyberangriffen geschützt ist.

Zu einem ganzheitlichen IKT-Risikomanagement-Rahmenwerk gehören beispielsweise eine effektive Überwachung der Risiken durch IKT-Drittanbieter sowie ein umfassendes Testprogramm.

Um DORA bis 2025 effektiv umzusetzen und dazu beizutragen, das Unternehmen gegen potenzielle Gefährdungen zu schützen, ist es notwendig die einzelnen Disziplinen zu harmonisieren. Hierzu sollten vorhandene Tools genutzt oder ein zentrales Tool implementiert werden, um Risiken und Kontrollen effizient zu managen und zu steuern.

Ein zentrales Dashboard bietet – auch bei Verwendung unterschiedlicher Tools – die Möglichkeit, die Risikoexposition des Unternehmens auf einen Blick darzustellen. Gleichzeitig bietet es aber auch die Möglichkeit, nach den verschiedenen Disziplinen zu filtern, die im Rahmen von DORA betrachtet werden, wie beispielsweise das IKT Incident Reporting oder das Management von IKT-Drittparteienrisiken.

Für diese Abbildung hat ServiceNow eine flexible Plattform entwickelt. Modulare Bausteine innerhalb dieser Plattform helfen, die regulatorischen Anforderungen zeitnah und adäquat umzusetzen.

Fünf Schritte zur DORA-Compliance

Ergänzend hat ServiceNow vor kurzem ein E-Book, Technologierisiken im Banking bewältigen, veröffentlicht, das Finanzdienstleistern die folgenden Massnahmen empfiehlt:

  1. Das Erstellen eines zentralen Rahmens für das unternehmensweite Risikomanagement;
  2. Die Fähigkeit, Zwischenfälle (Incidents) in Echtzeit zu melden;
  3. Ein proaktives Management der Risiken, die von Drittanbietern und Partnern ausgehen;
  4. Regelmäßige Tests der digitalen operationellen Widerstandsfähigkeit, um die Effektivität der Maßnahmen zur Verbesserung der operativen Belastbarkeit zu bewerten;
  5. Einen guten Informationsaustausch zwischen den kritischen Funktionen des Unternehmens, die für die Erbringung der Finanzdienstleistungen zuständig sind.

Für alle fünf Punkte gilt, dass digitale Abläufe in Ihrem Unternehmen proaktive Strategien zur Schadensbegrenzung überhaupt erst ermöglichen. Entsprechend kann DORA als ein willkommener Impuls verstanden werden, die Prozessdigitalisierung und -automatisierung im Hinblick auf die bestehende Deadline entschieden voranzutreiben.

Analyse der bestehenden IT-Landschaft

Als ersten Schritt in Richtung DORA-Compliance empfehlen wir eine Aufnahme des Ist-Standes, wobei die Experten von KPMG das bestehende Rahmenwerk auf Basis von Dokumenten und Gesprächen evaluieren und gemeinsam mit ServiceNow eine Analyse der bestehenden Tool-Landschaft durchgeführt werden kann.

Für die Ableitung von Gaps und die Entwicklung der Maßnahmen werden relevante Compliance- oder Cyber Projekte berücksichtigt, um zu einer nachhaltigen und effizienten Umsetzung beitragen zu können.

Bei vielen Themenbereichen und insbesondere der Verbindung der einzelnen Disziplinen sind Tool-Lösungen und eine integrierte Resilienz-Sichtweise unumgänglich. Hier bietet die Plattform von ServiceNow eine hervorragende Lösung. Gemeinsam mit den KPMG-Experten kann diese individuell und flexibel etabliert bzw. implementiert werden.

DORA ist sowohl für KPMG als auch für ServiceNow ein Schlüsselthema, bei dem wir auf unserer kombinierten regulatorischen und technologischen Expertise aufbauen. Aus diesem Grund bündeln wir unsere Kräfte, um Finanzdienstleister auf ihrem Weg zur DORA-Compliance zu begleiten.

Das DORA-Factsheet von KPMG Deutschland fasst die DORA-Anforderungen an Finanzdienstleister übersichtlich zusammen, während eine aktuelle ServiceNow-Broschüre erörtert, wie die verschiedenen internen Stakeholder - CIO, CISO, Facility Manager, Personalmanager und Manager von Drittanbietern - an der Entwicklung der betrieblichen Ausfallsicherheit in Ihrem Unternehmen teilnehmen können.

Verbessern Sie Ihr betriebliches Resilienzmanagement.