DORA | IKT-Risikomanagement
Die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor („DORA“) fordert von Finanzunternehmen die Einrichtung eines Risikomanagements für Informations- und Kommunikationstechnologien, ein so genanntes IKT-Risikomanagement. Doch was bedeutet dies konkret für das einzelne Unternehmen?
1. Was ist das IKT-Risikomanagement und welchen Zweck verfolgt es?
Bei der Weiterentwicklung der Vorschriften über das operationelle Risiko durch Rechtsakte der Europäischen Union wurde häufig ein traditioneller quantitativer Ansatz zur Bewältigung von Risiken (d. h. die Festlegung einer Kapitalvorgabe zur Absicherung gegen das IKT-Risiko) bevorzugt. Gezielte qualitative Vorschriften für den Schutz, die Erkennung, Eindämmung, Wiederherstellung und die Sanierungskapazitäten bei IKT-bezogenen Vorfällen oder für die Kapazitäten für Meldungen und Tests digitaler Technologie spielten hingegen eine untergeordnete Rolle.
Jetzt setzen DORA sowie die Entwürfe technischer Regulierungsstandards („RTS“) zum IKT-Risikomanagementrahmen und vereinfachten IKT-Risikomanagementrahmen („RTS-Risikomanagement“)[1] gezielt qualitative Vorschriften für ein IKT-Risikomanagement, damit Finanzunternehmen Cyberbedrohungen auch technisch gewachsen sind. Ein IKT-Risiko bezeichnet nach DORA jeden vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, der bei Eintritt durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld die Sicherheit der Netzwerk- und Informationssysteme, jeglicher technologieabhängiger Instrumente oder Prozesse, von Geschäften und Prozessen oder der Bereitstellung von Diensten, beeinträchtigen kann.
Der Rahmen für das Management solcher Risiken ist in Kapitel II der DORA sowie den RTS-Risikomanagement geregelt. Ein IKT-Risikomanagement besteht danach aus folgenden Teilbereichen:
- Governance und Organisation
- IKT-Risikomanagementrahmen
- IKT-Systeme, -Protokolle und -Tools
- Kontinuierliche Identifizierung aller Quellen für IKT-Risiken
- Schutz und Prävention
- Erkennung anomaler Aktivitäten
- Reaktion und Wiedererstellung
- Backup und Restoration
- Lernprozesse und Weiterentwicklung
- Kommunikation
- Vereinfachter IKT-Risikomanagementrahmen für bestimmte Finanzunternehmen
2. Individuelle Ausarbeitung des IKT-Risikomanagements
DORA und die RTS-Risikomanagement liefern keine fertige Checkliste, die wie eine Schablone zu jedem Unternehmen passt und anhand derer das unternehmensinterne IKT-Risikomanagement Stück für Stück abgehakt werden kann.
Zur Einrichtung eines DORA-konformen IKT-Risikomanagements ist vielmehr eine GAP-Analyse notwendig, die das bestehende (bzw. nicht bestehende) Risikomanagement dokumentiert und mit den Anforderungen der DORA abgleicht. Anhand der GAP-Analyse ist dann ein auf das jeweilige Unternehmen bezogenes individuelles IKT-Risikomanagement aufzubauen. Dies umfasst vor allem die Anfertigung bzw. Überarbeitung der internen Arbeitsanweisungen, die Organisation der IKT-Systeme, die Errichtung bzw. Neuordnung der IKT-Systeme selbst und eine Überprüfung der Geschäftsbeziehungen mit Drittparteien (vor allem bei Auslagerungen). Letzteres betrifft insbesondere die Prüfung der Geeignetheit der Drittparteien sowie der mit Ihnen geschlossenen (Auslagerungs-)Verträge.
3. Regulierte und nicht-regulierte Unternehmen
Inhaltlich baut DORA auf schon bestehenden Regelwerken wie der MaRisk, der BAIT, KAIT, ZAIT, VAIT. bzw. ihren europäischen Pendants auf.
Für Unternehmen, die bereits bankaufsichtliche Anforderungen an die IT und das Risikomanagement erfüllen müssen, ist die Einhaltung von DORA und die Einrichtung eines IKT-Risikomanagements damit keine grundsätzlich neue Herausforderung. Hier geht eher darum zu bestimmen, ob das bestehende Risikomanagement die DORA-Anforderungen erfüllt.
Anders sieht dies für bisher nicht regulierte Unternehmen aus. Hier ist das IKT-Risikomanagement völlig neu aufzusetzen.
4. Fazit
DORA und die RTS-Risikomanagement erfordern von Finanzunternehmen eine umfassende Auseinandersetzung mit dem Risikomanagement ihrer Informations- und Kommunikationstechnologie, ohne jedoch den konkreten Einzelfall zu regeln. Ein DORA-konformes IKT-Risikomanagement kann daher nur individuell und bezogen auf das jeweilige Unternehmen entwickelt werden.
Gerne beraten wir Sie hierbei und allen damit im Zusammenhang stehenden Fragen.
Werden Sie DORA-ready!