Mario Neubauer
Die Zeit läuft und die Frist für die Erfüllung der Anforderungen nach der Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) nähert sich. Stichtag ist der 17.1.2025! Wer denkt, nur die großen Banken sind betroffen, irrt sich. Gerade für kleinere, weniger komplexe Finanzinstitute ist es eine große Herausforderung, auch wenn „nur“ der vereinfachte Risikomanagementrahmen zu erfüllen ist. Die gesamte Breite rund um das Management der Informationssicherheit ist für viele noch nicht greifbar. Die Veröffentlichung des Entwurfs des nationalen DORA-Vollzugsgesetzes legt nahe, sofort mit den Vorbereitungsmaßnahmen zu starten! Die im Gesetzesentwurf formulierten Maßnahmen sind vielseitig und komplex. Zu erwähnen sei auch, dass bereits heuer, im Jahr 2024, die Prüfschwerpunkte der FMA im Bereich „Digitaler Wandel“ bei der Cybersicherheit und damit bei den Vorbereitungen hinsichtlich DORA lagen.
Der vereinfachte IKT-Risikomanagementrahmen (Artikel 16) sieht Erleichterungen für kleinere, weniger komplexe Finanzinstitute vor. Hier gibt es keine Ausnahmen.
In welchem Umfang sich kleine Finanzinstitute in der Praxis damit befassen müssen und welche Prioritäten zu diesem bereits fortgeschrittenen Zeitpunkt konkret für Ihr Unternehmen gesetzt werden sollten, können wir schnell und unverbindlich bei einem Online-Infogespräch zwischen Ihnen/Ihren Informationssicherheitsverantwortlichen und unseren BDO Expert:innen besprechen.
Mario Neubauer
Thomas Simon
Artikel 5 bis 15 gelten nicht für
Zur Sicherstellung Ihrer DORA-Compliance empfehlen wir Ihnen die Gründung einer eigenen „Informationssicherheits- oder DORA-Task-Force“ mit der notwendigen Entscheidungskompetenz und ausreichend Ressourcen. Auch die Einbindung des Topmanagements ist dabei essenziell. Gutes Management Commitment zeichnet sich durch die Bereitschaft des Vorstands aus, die notwendigen Mittel zur Verfügung zu stellen. Damit sind personelle, zeitliche und finanzielle Ressourcen gemeint. Management Commitment ist der erste Erfolgsfaktor und wesentlich für den gesamten IS-Bereich. Vernachlässigen Sie Management Commitment, müssen Sie mit Qualitätseinbußen, einer längeren Umsetzungsdauer und höheren Kosten rechnen.
Im Pool der DORA-Task-Force befinden sich neben dem Informationssicherheits- oder DORA-Leitungsausschuss (verantwortliche Vorstände und Führungskräfte) auch sämtliche internen sowie externen Expert:innen, die laufend informiert werden sollen. Fallbezogen werden sie bei Behandlung ihrer Fachthemen zu den regelmäßigen (wöchentlichen) Jour fixes zugezogen.
Diese gebündelten Kompetenzen, das Know-how aus den unterschiedlichen Abteilungen, Bereichen oder von Drittdienstleister:innen sowie die kurzen Wege bei notwendigen Entscheidungen sind wesentliche Erfolgsfaktoren. Durch die Gründung einer Task-Force und den damit verbundenen Kommunikationsmaßnahmen (u.a. Managementstatement mit persönlich verfasster Erklärung vom Vorstand, interner Newsletter mit den Zielen und möglichen Änderungen und den Aufruf an die Belegschaft „Cyber Security funktioniert nur miteinander“) entstehen viele neue Möglichkeiten. Zuständigkeiten, Rollen und Aufgaben können überdacht, Prozesse optimiert oder die IT-Infrastruktur erneuert/ausgelagert werden. Die nun wesentlich größere Bedeutung und Notwendigkeit von Informationssicherheit wird bald in der gesamten Belegschaft bekannt sein. Die Awareness der Belegschaft, also die Bereitschaft, die Entscheidungen und Maßnahmen der Task-Force mitzutragen, auch wenn es nicht immer einfacher wird, ist ein weiterer Erfolgsfaktor am Weg zur DORA-Compliance.
„IT-Sicherheit ist immer ein Prozess, kein Zustand. IT-Sicherheit ist Unternehmensziel und erfordert die Bereitschaft der gesamten Belegschaft, notwendige Maßnahmen gemeinsam umzusetzen.“ Das sollte die Message des Managementstatements in der Informationssicherheitsrichtlinie sein.
Viele Unternehmen sind bereits damit beschäftigt, ihre Prozesse rund um Informationssicherheit zu verbessern und inhaltliche Adaptierungen vorhandener Dokumente, Richtlinien oder Verträge nach DORA vorzunehmen. In dieser Phase kommen oft viele, teils unerwartete Themen und Herausforderungen ans Tageslicht. Dies könnten zum Beispiel sein:
Wird die Umsetzung der DORA-Vorgaben ernst genommen, entstehen in kurzer Zeit sehr viele zeitintensive Aufgaben, die oft zusätzliche interne Ressourcen, aber auch die Expertise und Best Practices von extern verlangen. Gerade dabei können Finanzunternehmen von dem durch langjährige Begleitung unterschiedlicher Finanzinstitute entstandenen Know-how sowie den Best Practices bei der Erfüllung anderer Informationssicherheitsnormative wie NIS 2, ISO/IEC27001, TISAX etc. enorm profitieren.
Die Effizienz hinsichtlich Kosten kann hier durch das Hinzuziehen von externen Expert:innen wesentlich gesteigert werden, während die Dauer bis zur Erfüllung der DORA-Anforderungen durch den Einsatz von qualitativ hochwertigen Vorlagen und Templates und das Auslagern von Aufgaben deutlich verkürzt werden kann.
Folgende Darstellung der BaFin (Deutsche Bundesbank Eurosystem) zeigt den Prozess vom IKT-Risikorahmenwerk nach DORA mit den wesentlichen thematischen Blöcken samt Verweis auf die Dora-Artikel §5 bis §15 und §16 „Vereinfachter IKT-Risikomanagementrahmen“.
Quelle: IKT-Risikorahmenwerk nach DORA, zuletzt besucht am 18.6.2024:
Je nach Ausprägung der Informationssicherheit im Unternehmen variieren die Herausforderungen stark. Natürlich spielen bereits vorhandene Richtlinien, dokumentierte Prozesse sowie kürzlich umgesetzte IT-Sicherheitsprüfungen auch eine große Rolle und entscheiden letztendlich über die Größe des Gesamtaufwands.
Für viele Finanzinstitute sind wesentliche Herausforderungen im IKT-Risikomanagementrahmen unter anderem die Folgenden:
|
Grundsätzlich ist die Finanzmarktaufsicht (FMA) die für Finanzunternehmen zuständige Behörde. Jedoch kümmert sich die Europäische Zentralbank (EZB) für als bedeutend eingestufte Kreditinstitute. Die FMA arbeitet dabei mit den europäischen Aufsichtsbehörden EBA (European Banking Authority), ESMA (Europäische Wertpapier- und Marktaufsichtsbehörde), EIOPA (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung) sowie mit zuständigen Behörden aus Drittstaaten zusammen. Diese spielen bei der Überwachung noch eine weitere Rolle und übernehmen künftig die direkte Aufsicht kritischer IKT-Drittdienstleister:innen.
Es existiert eine Vielzahl an möglichen Verstößen, die nicht nur zu beträchtlichen finanziellen Strafen, sondern auch zur Veröffentlichung auf Behördenwebsites führen könnten. Nichtmeldung von Vorfällen, kein Nachweis von regelmäßigen Tests, fehlende Inhalte in Richtlinien, die Nichteinhaltung von Fristen oder unzureichende Verträge mit IT-Dienstleister:innen sind nur wenige Beispiele, die zu Strafen führen können.
Bei den finanziellen Sanktionen wird zwischen natürlichen Personen (laut § 9 Verwaltungsstrafgesetz) und juristischen Personen unterschieden. Während bei natürlichen Personen Verwaltungsstrafen von bis zu EUR 150.000 vorgesehen sind, kann die Höhe für juristische Personen mit EUR 500.000 oder 1% des jährlichen Umsatzes (siehe §6/7 im Entwurf des DORA-Vollzugsgesetzes) weitaus höher ausfallen.