Digital Operational Resilience Act (DORA)

Was Finanzunternehmen jetzt beachten müssen

Ihr Experte für Fragen

Philipp Schulz
Director, DORA Lead bei PwC Deutschland
E-Mail

Harmonisierung der Sicherheit im gesamten EU-Finanzsektor

Mit der DORA-Verordnung (Digital Operational Resilience Act) verfolgt die Europäische Kommission das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Dabei wird der Schwerpunkt von der Gewährleistung der finanziellen Widerstandsfähigkeit von Finanzunternehmen verlagert: auf die Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit des Netzes und der Informationssysteme gefährden könnte.

Durch steigende Cyberangriffe ist es für Finanzunternehmen notwendiger denn je, sich auf Vorfälle vorzubereiten und Maßnahmen zur Stärkung der Cyber-Resilienz einzuführen. Es ist mit Anpassungen und Mehraufwänden zu rechnen, jedoch sehen wir DORA gleichzeitig als große Chance für Finanzunternehmen, durch eine gestärkte Resilienz und einen konsistenten Reifegrad in Sachen Cybersicherheit zu einem signifikant höheren Sicherheitsniveau aufzusteigen.

Video

Länderübergreifender Support für Ihre DORA-Transformation

In einer sich schnell entwickelnden digitalen Landschaft stehen Unternehmen vor der Herausforderung, ihre betriebliche Widerstandsfähigkeit sicherzustellen. Das EMEA DORA Team von PwC führt Sie durch den Digital Operational Resilience Act (DORA) und unterstützt Sie bei Ihrer Transformation bis Januar 2025 und darüber hinaus.

0:05:13
More tools
  • Closed captions
  • Transcript
  • Full screen
  • Share
  • Closed captions

Playback of this video is not currently available

Transcript

Die wichtigsten Fakten zu DORA

Warum DORA?

Durch die Einführung eines einheitlichen, kohärenten Aufsichtsansatzes für alle relevanten Sektoren, gewährleistet DORA die Harmonisierung der Sicherheits- und Resilienzpraktiken in der EU. Dabei wird der Schwerpunkt von der Gewährleistung der finanziellen Widerstandsfähigkeit von Finanzunternehmen verlagert: auf die Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit des Netzes und der Informationssysteme gefährden könnte.

Was beinhaltet DORA?

DORA führt einen ganzheitlichen Rahmen für ein effektives Risikomanagement, IKT- und Cybersicherheitsfunktionen, die Behandlung und Meldung von Störungen sowie für das Management von Drittanbietern ein und gewährleistet so eine konsistente Bereitstellung von Dienstleistungen über die gesamte Wertschöpfungskette hinweg. Fünf Kernthemen spielen eine besondere Rolle: IKT Risikomanagement, Management von IKT-Vorfällen, Digital Operational Resilience Testing, Management von Drittparteien und Informationsaustausch.

Ab wann müssen Unternehmen die Anforderungen aus DORA umsetzen?

Bis wann muss Compliance erreicht werden/ Was sind die Fristen/ Warum sollten Unternehmen jetzt handeln?

Für die Implementierung der DORA-Verordnung, die am 16.01.2023 in Kraft getreten ist, ist eine Frist von zwei Jahren vorgesehen. Trotz Umsetzungsfrist bis Januar 2025 sehen wir bereits jetzt starken Druck bei Finanzunternehmen, ihre Handlungsbedarfe aus DORA-Anforderungen zu identifizieren und umzusetzen. Dabei sehen wir momentan besonderen Fokus auf der Einführung eines umfassenden IKT-Risikomanagements. 

1. Halbjahr 2024: Veröffentlichung der ersten Reihe von RTS / ITS u.a. zum ICT Risk Management Framework, Operative Sicherheit, Klassifizierung von ICT-Vorfällen und ICT-Drittparteirisikomanagement

2. Halbjahr 2024: Veröffentlichung der zweiten Reihe von RTS / ITS u.a. zur Meldung von ICT Vorfällen, Kriterien, Methodologien und Anforderungen an das Testen der digital operational Resilience und Vorgaben zu der Gestaltung von Sub-outsourcing Arrangements

2025: Die DORA-Anforderungen sind 24 Monate nach Inkrafttreten durchsetzbar. Daher wird erwartet, dass die Finanzunternehmen die DORA-Anforderungen bis Anfang 2025 erfüllen.

DORA Asset Library

Webcastaufzeichnungen, Whitepaper und Handlungempfehlungen entlang der DORA-Pillars – das gibt's hier zum Download. Registrieren Sie sich einmalig für den Zugang zu all unseren DORA-Assets und sichern Sie sich alle relevanten Insights.

Zu den Assets

Sie haben weitere Fragen?

Unsere Sicht auf DORA für deutsche Unternehmen

Wir sehen DORA gleichzeitig als Herausforderung und Chance für Finanzunternehmen. Die EU-weit einheitlichen Anforderungen von DORA bedeuten, dass Finanzunternehmen einen konsistenten Reifegrad in Sachen Cybersicherheit und operativer Widerstandsfähigkeit über ihre gesamten Tätigkeiten in der EU sicherstellen müssen.

Bei einer „Vorbereitungszeit“ von zwei Jahren gibt es jedoch eine Menge zu bedenken, umzusetzen und nachzuweisen. Schon jetzt sollten Finanzinstitute umfassende GAP-Analysen durchführen, um ihren jeweiligen Reifegrad in Bezug auf DORA zu bewerten und rechtzeitig Bereiche zu ermitteln, die weitere Investitionen und angemessene Prioritätensetzung erfordern. Dies wird Ihr Unternehmen in eine bessere Position versetzen, um komplexere Anforderungen wie Third Party Risk Management, Threat Intelligence und fortgeschrittene Sicherheitstests zu erfüllen und sich somit proaktiv gegen mögliche Ausfälle zu schützen.

In Anbetracht des breiten Anwendungsbereichs von DORA ist es wahrscheinlich, dass die Verordnung viele Themen anspricht, die bereits durch bestehende Vorschriften in Deutschland berücksichtigt wurden. Dennoch sind bestimmte Themen wie Threat Intelligence und Threat-led Penetration Tests neuartig und bedürfen daher erhöhter Aufmerksamkeit. Eine weitere Herausforderung sehen wir in der Fähigkeit, eine übergreifende Kontrolle und ein Verständnis für alle wichtigen Abhängigkeiten zwischen Ihrem Unternehmen und Ihren Dienstleistern zu entwickeln. Angesichts des starken Fokus auf dem Third Party Risk Management wird von den Unternehmen erwartet, dass sie sich von der Widerstandsfähigkeit ihrer Dienstleister überzeugen. Dies erfordert eine enge Interaktion und gemeinsame Anstrengungen mit den jeweiligen IKT-Drittanbietern – insbesondere wenn diese die Erbringung kritischer oder wichtiger Geschäftsdienstleistungen unterstützen.

Unsere Empfehlung für alle betroffenen Unternehmen lautet daher: Unabhängig davon, wo Sie sich in Bezug auf den Reifegrad ihrer digitalen und betrieblichen Widerstandsfähigkeit befinden, sollte DORA der Auslöser für den Beginn oder die Verbesserung Ihrer Widerstandsfähigkeit sein. Eine erste Gap-Analyse und Reifegradbewertung dienen als guter Ausgangspunkt. Im Allgemeinen sind Unternehmen, die die aktuellen regulatorischen Anforderungen im Einklang mit den aktuellen Prüfungspraktiken anwenden, möglicherweise besser in der Lage, die meisten DORA-Anforderungen umzusetzen. Gleichwohl zeigt unsere Erfahrung aus der Unterstützung zahlreicher Kunden bei ihren Cyber Security- und Resilience-Bemühungen deutlich: „zu widerstandsfähig“ oder „zu sicher“ gibt es nicht. Denken Sie daran: Je widerstandsfähiger Sie im Vergleich zu Ihren Wettbewerbern sind, desto größer werden Ihre Wettbewerbsvorteile.

DORA wird den regulatorischen Schwerpunkt auf fünf wichtige Säulen legen

Operational Resilience und Risikomanagement

Finanzunternehmen sind verpflichtet, ein umfassendes IKT-Risikomanagement einzurichten, einschließlich 

  • Einrichtung und Pflege belastbarer IKT-Systeme und -Werkzeuge, die die Auswirkungen von IKT-Risiken minimieren,
  • Schlüsselelemente wie Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen,
  • Kontinuierliche Überwachung aller Quellen von IKT-Risiken, um Schutz- und Präventionsmaßnahmen einzurichten,
  • Sofortige Erkennung von anomalen Aktivitäten,
  • Einführung spezieller und umfassender Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne, einschließlich jährlicher Tests der Pläne, die alle unterstützenden Funktionen abdecken,
  • Einrichtung von Mechanismen, um sowohl aus externen Ereignissen als auch aus eigenen IKT-Vorfällen zu lernen und sich weiterzuentwickeln.

Management von IKT-Vorfällen und Cyber Security

Finanzunternehmen sind verpflichtet:

  • ein bewährtes Verfahren zu entwickeln, um alle IKT-Vorfälle zu protokollieren/zu klassifizieren und schwerwiegende Vorfälle gemäß den in der Verordnung aufgeführten und von den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) weiter spezifizierten Kriterien zu bestimmen,
  • einen Anfangs-, Zwischen- und Abschlussbericht über IKT-bezogene Vorfälle vorzulegen,
  • die Berichterstattung über IKT-bezogene Vorfälle anhand der von den ESAs entwickelten Standardvorlagen zu harmonisieren.

Digital Operational Resilience Testing

Die Verordnung verpflichtet alle Einrichtungen, dass sie:

  • jährlich grundlegende Tests von IKT-Werkzeugen und -Systemen durchführen,
  • Schwachstellen, Mängel oder Lücken identifizieren, abmildern und umgehend beseitigen, indem sie Gegenmaßnahmen ergreifen,
  • regelmäßig fortgeschrittene bedrohungsgesteuerte Penetrationstests (TLPT) für IKT-Dienste durchführen, die sich auf kritische Funktionen auswirken. Drittanbieter von IKT-Dienstleistungen sind verpflichtet, an den Tests teilzunehmen und vollständig zu kooperieren.

Governance und Management von Drittparteien

Die Finanzunternehmen sind verpflichtet: 

  • eine solide Überwachung der Risiken zu gewährleisten, die sich aus der Inanspruchnahme von IKT-Drittanbietern ergeben,
  • ein vollständiges Verzeichnis aller ausgelagerten Tätigkeiten, einschließlich gruppeninterner Dienstleistungen und aller Änderungen bei der Auslagerung kritischer Dienstleistungen an IKT-Drittanbieter, zu melden,
  • das IT-Konzentrationsrisiko und die Risiken, die sich aus Sub-Outsourcing-Aktivitäten ergeben, zu berücksichtigen,
  • Schlüsselelemente der Dienstleistung und der Beziehung zu IKT-Drittanbietern zu harmonisieren, um eine „vollständige“ Überwachung zu ermöglichen,
  • sicherzustellen, dass die Verträge mit den IKT-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten, wie z. B. eine vollständige Beschreibung des Leistungsumfangs, die Angabe der Standorte, an denen die Daten verarbeitet werden, usw.,
  • Kritische IKT-Drittdienstleister werden einem EU-Aufsichtsrahmen unterliegen, der Empfehlungen zur Minderung festgestellter IKT-Risiken aussprechen kann. Finanzunternehmen müssen die IKT-Drittrisiken ihres Dienstleisters berücksichtigen, wenn dieser die festgelegten Empfehlungen nicht befolgt. 

Informationsaustausch

  • Die Verordnung erlaubt es Finanzunternehmen, untereinander Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zu treffen.
  • Die Aufsichtsbehörde wird den Finanzunternehmen relevante anonymisierte Informationen und Erkenntnisse über Cyber-Bedrohungen zur Verfügung stellen. Daher sollten die Unternehmen Mechanismen einrichten, um die von den Behörden weitergegebenen Informationen zu überprüfen und entsprechende Maßnahmen zu ergreifen.

Wie kann PwC Ihr Unternehmen unterstützen?

PwC kann Ihr Unternehmen auf dem gesamten Weg zur Einhaltung der DORA-Vorschriften unterstützen, von der Bewertung Ihrer aktuellen Bereitschaft bis hin zur Unterstützung bei der Umsetzung von Maßnahmen zur Erfüllung der gesetzlichen Anforderungen und deren Verankerung in Ihrem Risiko-, Sicherheits-, Resilienz- und Compliance-Management.

Nach der Verabschiedung von DORA müssen die Finanzinstitute die Umsetzung der Verordnung ernsthaft planen.

Die Digitalisierung hat die Verflechtungen und Abhängigkeiten innerhalb des Finanzsektors und mit Infrastruktur- und Dienstleistern vertieft.

< Back

< Back
[+] Read More
Follow us

Contact us

Philipp Schulz

Philipp Schulz

Director, DORA Lead, PwC Germany

Grant Waterfall

Grant Waterfall

Partner, Cyber Security & Privacy Leader, PwC Germany

Rüdiger Giebichenstein

Rüdiger Giebichenstein

Partner, Financial Services, Technology & Process Risk­, PwC Germany

Tel.: +49 175 7954901

Hide