Fachwissen DORA - Governance und Verantwortlichkeiten

1. Strukturierte Entscheidungsprozesse
   Klare Hierarchien und Zuständigkeiten ermöglichen schnelle, fundierte Entscheidungen bei IT-Risiken. Effiziente Prozesse steigern die Reaktionsfähigkeit des Unternehmens.
   
   
2. Risikobewusstsein in der Organisation
   Eine starke Governance-Kultur fördert das Bewusstsein für digitale Risiken auf allen Ebenen. Mitarbeiter verstehen ihre Rolle bei der Gewährleistung der IT-Sicherheit besser.
   
   
3. Compliance-Sicherstellung
   Definierte Verantwortlichkeiten erleichtern die Einhaltung regulatorischer Vorgaben. Regelmäßige Überprüfungen und Anpassungen gewährleisten die kontinuierliche DORA-Konformität.

Durch eine sorgfältige Governance und die gezielte Zuweisung von Verantwortlichkeiten kann das Unternehmen seine digitale Widerstandsfähigkeit nachhaltig stärken. Ein strukturierter Governance-Rahmen gewährleistet nicht nur die Einhaltung regulatorischer Anforderungen, sondern unterstützt auch den Aufbau einer umfassenden Sicherheitskultur. Diese Kultur fördert die proaktive Identifikation und Behandlung relevanter Risiken und trägt so zur langfristigen Stabilität des Geschäftsbetriebs bei, indem sie das Unternehmen effektiv vor potenziellen Bedrohungen schützt.

• Festlegung von Verantwortlichkeiten
  Rollen und Verantwortlichkeiten im Unternehmen, insbesondere die der Geschäftsführung und der IT-Abteilung.
  
  
• Einrichtung einer Digital Operational Resilience-Funktion
  Einführung einer dedizierten Funktion oder Einheit zur Überwachung und Durchsetzung der DORA-Vorgaben.
  
  
• Regelungen zur Risikoüberwachung und -berichterstattung
  Implementierung von Prozessen zur kontinuierlichen Risikobewertung und internen Berichterstattung.

Eine klare Festlegung von Rollen und Verantwortlichkeiten ist entscheidend, um sicherzustellen, dass alle relevanten Aufgaben und Entscheidungsprozesse im Zusammenhang mit der digitalen Resilienz eindeutig zugewiesen und nachvollziehbar sind. DORA fordert Unternehmen dazu auf, die Verantwortlichkeiten innerhalb des Unternehmens klar zu definieren und zu dokumentieren, insbesondere in Bezug auf die Geschäftsführung und die IT-Abteilung.

Die Geschäftsführung trägt die oberste Verantwortung für die Einhaltung der DORA-Vorgaben und die Sicherstellung der digitalen Resilienz. Zu den Aufgaben der Geschäftsführung gehört es, die strategische Ausrichtung des IKT-Risikomanagements zu bestimmen, notwendige Ressourcen bereitzustellen und sicherzustellen, dass alle relevanten Vorgaben und Best Practices im Unternehmen umgesetzt werden. Die Geschäftsführung ist außerdem verantwortlich für die regelmäßige Überprüfung und Bewertung der Resilienzmaßnahmen sowie die Risikokommunikation gegenüber internen und externen Stakeholdern.

• Strategische Ausrichtung
  Der Vorstand legt die Leitlinien für die digitale Resilienz fest. Er definiert Risikoappetit und Sicherheitsziele des Unternehmens.
  
  
• Ressourcenbereitstellung
  Ausreichende finanzielle und personelle Mittel werden zugewiesen. Der Vorstand stellt sicher, dass alle DORA-Anforderungen erfüllt werden können.
  
  
• Regelmäßige Überwachung
  Der Fortschritt der DORA-Implementierung wird kontinuierlich überprüft. Bei Bedarf werden Anpassungen der Strategie vorgenommen.
  
  
• Förderung der Sicherheitskultur
  Der Vorstand geht mit gutem Beispiel voran. Er kommuniziert die Bedeutung der digitalen Resilienz im gesamten Unternehmen.

Die IT-Abteilung ist in erster Linie für die technische Umsetzung der Resilienzmaßnahmen verantwortlich. Dazu gehört die Implementierung und Überwachung von Sicherheitsstandards, das Schwachstellen- und Patch-Management sowie die Durchführung regelmäßiger Sicherheitsanalysen und Audits. Die IT-Abteilung arbeitet eng mit anderen Abteilungen zusammen, um sicherzustellen, dass alle IKT-Systeme und Daten den Sicherheitsanforderungen entsprechen und dass potenzielle Risiken frühzeitig erkannt und adressiert werden.

• Technische Umsetzung
  Implementierung von Sicherheitsmaßnahmen und Kontrollsystemen. Konfiguration und Wartung der IT-Infrastruktur gemäß DORA-Vorgaben.
  
  
• Risikomanagement
  Durchführung regelmäßiger Risikoanalysen und Schwachstellenscans. Entwicklung und Umsetzung von Maßnahmen zur Risikominderung.
  
  
• Incident Response
  Erstellung und Pflege von Notfallplänen. Koordination der Reaktion auf IT-Sicherheitsvorfälle und Cyberangriffe.

Neben der Geschäftsführung und der IT-Abteilung sollten weitere spezifische Rollen für das IKT-Risikomanagement definiert werden, etwa für die Bereiche Risikoanalyse, Compliance und Notfallmanagement. Diese Rollen stellen sicher, dass das Risikomanagement auf breiter Basis im Unternehmen verankert ist und dass alle relevanten Prozesse und Maßnahmen zur digitalen Resilienz konsequent verfolgt werden.

Compliance-Verantwortlichkeiten

1. Überwachung der DORA-Konformität
   
   • Regelmäßige Überprüfung aller relevanten Prozesse und Systeme.
   • Sicherstellung der Einhaltung aller DORA-Vorgaben im Unternehmen.
2. Schulungen und Sensibilisierung
   
   • Durchführung von Mitarbeiterschulungen zu DORA-Anforderungen.
   • Förderung eines Bewusstseins für digitale Resilienz in der gesamten Organisation.
3. Dokumentation und Nachweisführung
   
   • Erstellung und Pflege aller erforderlichen Compliance-Dokumente.
   • Vorbereitung auf mögliche Audits durch Aufsichtsbehörden.

Rolle der internen Revision

1. Unabhängige Prüfung
   
   • Regelmäßige Audits zur Überprüfung der DORA-Konformität.
   • Bewertung der Wirksamkeit implementierter Kontrollen und Maßnahmen.
2. Schwachstellenanalyse
   
   • Identifikation von Verbesserungspotenzialen in den DORA-Prozessen.
   • Aufdecken möglicher Lücken in der Umsetzung der regulatorischen Anforderungen.
3. Berichterstattung an Vorstand
   
   • Erstellung detaillierter Prüfberichte mit Handlungsempfehlungen.
   • Information des Vorstands über kritische Feststellungen und notwendige Maßnahmen.

Verantwortlichkeiten im Notfallmanagement

1. Krisenstab
   
   • Zusammensetzung aus Vertretern aller relevanten Abteilungen.
   • Koordination der Notfallmaßnahmen und Entscheidungsfindung in Krisensituationen.
2. IT-Notfallteam
   
   • Spezialisierte Gruppe für die Bewältigung von IT-Störungen.
   • Durchführung technischer Maßnahmen zur Wiederherstellung der Systeme.
3. Kommunikationsteam
   
   • Verantwortlich für interne und externe Krisenkommunikation.
   • Sicherstellung transparenter Information aller Stakeholder im Notfall.

Datenschutzbeauftragter und DORA

1. Beratung zur Datensicherheit
   
   • Unterstützung bei der Implementierung von Datenschutzmaßnahmen.
   • Sicherstellung der Konformität mit DSGVO und DORA-Anforderungen.
2. Risikoanalyse
   
   • Durchführung von Datenschutz-Folgenabschätzungen.
   • Identifikation potenzieller Risiken für personenbezogene Daten.
3. Schulungen
   
   • Organisation von Mitarbeiterschulungen zum Datenschutz.
   • Sensibilisierung für den sicheren Umgang mit sensiblen Informationen.
4. Meldepflichten
   
   • Unterstützung bei der Erfüllung von Meldepflichten.
   • Koordination mit Aufsichtsbehörden bei Datenschutzvorfällen.

Verantwortlichkeiten in der Softwareentwicklung

1. Sichere Entwicklungspraktiken
   
   • Implementierung von Security-by-Design-Prinzipien.
   • Durchführung regelmäßiger Code-Reviews und Sicherheitstests.
2. Patch-Management
   
   • Zeitnahe Entwicklung und Verteilung von Sicherheitsupdates.
   • Sicherstellung der Kompatibilität von Patches mit bestehenden Systemen.
3. Vulnerability Management
   
   • Kontinuierliche Überwachung und Behebung von Schwachstellen.
   • Priorisierung von Sicherheitslücken basierend auf Risikobewertungen.
4. Dokumentation
   
   • Erstellung umfassender technischer Dokumentation.
   • Nachvollziehbare Aufzeichnung aller Entwicklungs- und Änderungsprozesse.

Rolle des Information Security Officers

1. Sicherheitsstrategie
   
   • Entwicklung und Umsetzung der Informationssicherheitsstrategie.
   • Abstimmung der Sicherheitsmaßnahmen mit den DORA-Anforderungen.
2. Sicherheitskontrollen
   
   • Implementierung und Überwachung von Sicherheitskontrollen.
   • Regelmäßige Überprüfung der Wirksamkeit der Schutzmaßnahmen.
3. Incident Response
   
   • Leitung des Incident-Response-Teams bei Sicherheitsvorfällen.
   • Koordination der Maßnahmen zur Schadensbegrenzung und Wiederherstellung.
4. Awareness
   
   • Förderung des Sicherheitsbewusstseins im Unternehmen.
   • Durchführung von Schulungen und Sensibilisierungskampagnen.

Rolle der Personalabteilung bei DORA

1. Schulungsmanagement
   
   • Organisation von DORA-bezogenen Schulungen für alle Mitarbeiter.
   • Sicherstellung der regelmäßigen Teilnahme an Sicherheitstrainings.
2. Sicherheitsüberprüfungen
   
   • Durchführung von Background-Checks bei der Einstellung neuer Mitarbeiter.
   • Regelmäßige Überprüfung von Zugriffsrechten und Berechtigungen.
3. Richtlinien und Prozesse
   
   • Entwicklung und Kommunikation von Sicherheitsrichtlinien für Mitarbeiter.
   • Integration von DORA-Anforderungen in Arbeitsverträge und Stellenbeschreibungen.
4. Sensibilisierung
   
   • Durchführung von Awareness-Kampagnen zur digitalen Resilienz.
   • Förderung einer Sicherheitskultur im gesamten Unternehmen.

Rolle der Rechtsabteilung bei DORA

1. Rechtsanalyse
   
   • Prüfung und Interpretation der DORA-Vorgaben für das Unternehmen.
   • Beratung zur rechtssicheren Umsetzung der Anforderungen.
2. Vertragsgestaltung
   
   • Integration von DORA-konformen Klauseln in Verträge mit Dienstleistern.
   • Sicherstellung der Einhaltung regulatorischer Vorgaben in Vereinbarungen.
3. Meldepflichten
   
   • Unterstützung bei der Erfüllung gesetzlicher Meldepflichten.
   • Koordination mit Aufsichtsbehörden bei rechtlichen Fragestellungen.
4. Haftungsfragen
   
   • Beratung zu Haftungsrisiken im Kontext von DORA.
   • Entwicklung von Strategien zur Risikominimierung.

DORA sieht die Einrichtung einer dedizierten Funktion oder Einheit für die digitale Resilienz vor, die sich ausschließlich mit der Überwachung, Durchsetzung und Weiterentwicklung der Resilienzanforderungen befasst. Diese sogenannte „Digital Operational Resilience-Funktion“ (DORF) ist verantwortlich für die Koordination und Steuerung aller Maßnahmen im Bereich der IT-Sicherheit und Resilienz.

• Zentrale Koordination
  Eine dedizierte DORA-Funktion bündelt alle Aktivitäten zur digitalen Resilienz. Sie dient als zentrale Anlaufstelle für DORA-bezogene Fragen und Maßnahmen.
  
  
• Fachliche Expertise
  Die DORA-Funktion verfügt über spezialisiertes Know-how. Sie berät andere Abteilungen bei der Umsetzung der regulatorischen Anforderungen.
  
  
• Berichterstattung
  Regelmäßige Reports an Vorstand und Aufsichtsgremien werden erstellt. Die DORA-Funktion informiert über Fortschritte und identifizierte Risiken.
  
  
• Kontakt zu Aufsichtsbehörden
  Die DORA-Funktion fungiert als Schnittstelle zu den Regulierungsbehörden. Sie stellt die fristgerechte Erfüllung aller Meldepflichten sicher.

Die DORF ist eine spezialisierte Einheit, die für die strategische und operative Umsetzung der DORA-Vorgaben zuständig ist. Zu den Aufgaben dieser Funktion gehört die Entwicklung und Implementierung von Resilienzstrategien, die Überwachung von IT-Risiken und die Durchführung regelmäßiger Audits zur Sicherstellung der Compliance. Die DORF arbeitet eng mit der IT-Abteilung und dem Management zusammen, um eine konsistente und koordinierte Umsetzung der Resilienzmaßnahmen zu gewährleisten.

Eine effektive DORF erfordert spezifische Ressourcen und Kompetenzen. Unternehmen müssen sicherstellen, dass diese Funktion mit ausreichend personellen und finanziellen Mitteln ausgestattet ist, um ihre Aufgaben wirksam zu erfüllen. Außerdem sollten die Mitarbeiter der DORF über fundierte Kenntnisse in den Bereichen IT-Sicherheit, Risikomanagement und Compliance verfügen, um die Anforderungen von DORA vollständig abzudecken.

Die DORF sollte regelmäßig Berichte an das Management und gegebenenfalls an die Geschäftsführung erstellen, um über den aktuellen Stand der Resilienzmaßnahmen und identifizierte Risiken zu informieren. Diese Berichterstattung ermöglicht es dem Management, fundierte Entscheidungen zu treffen und die strategische Ausrichtung der Resilienzmaßnahmen bei Bedarf anzupassen.

Die kontinuierliche Überwachung und regelmäßige Berichterstattung über die IKT-Risiken ist ein wesentlicher Bestandteil des Governance-Rahmens unter DORA. Unternehmen müssen Prozesse implementieren, die eine laufende Bewertung der Risikolage ermöglichen und sicherstellen, dass die relevanten Informationen transparent und nachvollziehbar an das Management kommuniziert werden.

Unternehmen sollten Prozesse einführen, die eine kontinuierliche Überwachung der IKT-Risiken ermöglichen. Dies umfasst die regelmäßige Durchführung von Risikoanalysen, Bedrohungsbewertungen und Schwachstellenprüfungen. Die Risikoüberwachung hilft dabei, potenzielle Bedrohungen frühzeitig zu identifizieren und entsprechende Gegenmaßnahmen einzuleiten.

DORA fordert eine regelmäßige Berichterstattung über den Status der IKT-Risiken und der Resilienzmaßnahmen an das Management. Diese Berichte sollten einen Überblick über die aktuellen Risiken, die Wirksamkeit der umgesetzten Maßnahmen und etwaige Verbesserungspotenziale geben. Durch die interne Berichterstattung bleibt das Management informiert und kann bei Bedarf notwendige Anpassungen vornehmen.

Alle identifizierten Risiken und die entsprechenden Maßnahmen sollten sorgfältig dokumentiert werden. Eine umfassende Dokumentation gewährleistet die Nachvollziehbarkeit der getroffenen Entscheidungen und erleichtert zukünftige Audits und Prüfungen. Darüber hinaus ermöglicht sie eine transparente Kommunikation gegenüber externen Stakeholdern, wie etwa Aufsichtsbehörden, die die Einhaltung der DORA-Vorgaben überprüfen.

Die Prozesse zur Risikoüberwachung und Berichterstattung sollten regelmäßig überprüft und optimiert werden, um sicherzustellen, dass sie den aktuellen Anforderungen entsprechen und auf Veränderungen in der Bedrohungslandschaft reagieren können. Dies trägt zur kontinuierlichen Verbesserung der Governance-Strukturen und zur Steigerung der Resilienz bei.