Fachwissen DORA - Interne und externe Berichterstattung

Die externe Berichterstattung und regelmäßige Auditierung stellen sicher, dass Unternehmen ihre regulatorischen Verpflichtungen erfüllen und das Vertrauen der Aufsichtsbehörden in ihre Sicherheitsstandards stärken. Unternehmen im Finanzsektor sind verpflichtet, regelmäßig Berichte über:

•     IT-Sicherheits- und Resilienzmaßnahmen
•     Identifizierte Risiken und deren Behandlung
•     Vorfallmeldungen bei sicherheitsrelevanten Zwischenfällen

an die zuständigen Aufsichtsbehörden zu übermitteln. Diese Transparenz hilft den Aufsichtsbehörden, den Reifegrad der Sicherheitsmaßnahmen zu bewerten und gegebenenfalls unterstützend einzugreifen.

Der jährliche IKT-Resilienzbericht ist eine detaillierte Dokumentation der Maßnahmen zur Sicherung der digitalen Resilienz und bewertet deren Wirksamkeit. Er dient sowohl als interne Aufzeichnung als auch als Nachweis für die Aufsichtsbehörden und bildet die Basis für die kontinuierliche Optimierung der Resilienzstrategie.

• Interne Berichterstattung an das Management
  Regelmäßige Updates und Berichte über den Status der Resilienzmaßnahmen und über erkannte Risiken.
  
  
• Externe Berichterstattung und Auditierung
  Anforderungen zur Berichterstattung an Aufsichtsbehörden sowie externe Prüfungs- und Zertifizierungsanforderungen.
  
  
• Erstellung eines IKT-Resilienzberichts
  Zusammenstellung eines jährlichen Resilienzberichts zur Dokumentation und Überprüfung der getroffenen Maßnahmen und deren Effektivität.

Eine strukturierte Berichterstattung unterstützt Unternehmen dabei, ihre digitale Resilienz aktiv zu stärken und die Anforderungen der digitalisierten Finanzwelt zu erfüllen. Ein ganzheitlicher Ansatz zur Berichterstattung fördert nicht nur die Einhaltung von Compliance-Vorgaben, sondern trägt auch zu einer nachhaltigen Sicherheitskultur bei und sichert die operationelle Resilienz langfristig.

Die interne Berichterstattung ist ein zentraler Prozess, um das Management regelmäßig über den Status der Resilienzmaßnahmen und über erkannte Risiken zu informieren. Durch kontinuierliche Kommunikation wird Transparenz geschaffen und das Management kann fundierte strategische Entscheidungen treffen, um die digitale Resilienz des Unternehmens zu stärken.

Die IT- und Risikomanagementabteilungen sollten regelmäßig Berichte über den aktuellen Stand der Resilienzmaßnahmen erstellen. Diese Berichte bieten einen umfassenden Überblick über:

• Implementierte Sicherheitsmaßnahmen
• Effektivität der bestehenden Maßnahmen
• Identifizierte Schwachstellen, die behoben werden müssen

Üblicherweise erfolgt diese Berichterstattung in Form von monatlichen oder vierteljährlichen Updates, um das Management stets auf dem Laufenden zu halten.

Neben dem Status der Resilienzmaßnahmen ist es entscheidend, dass das Management auch über aktuelle und potenzielle Risiken informiert wird. Diese Risikoberichte umfassen:

• Identifizierte Bedrohungen
• Analysierte Schwachstellen und ihre potenziellen Auswirkungen auf das Unternehmen

Regelmäßige interne Berichte liefern wertvolle Daten für die Überwachung und kontinuierliche Verbesserung der Sicherheitsmaßnahmen. Auf Basis dieser Daten kann das Management entscheiden, ob zusätzliche Ressourcen bereitgestellt werden sollten oder ob spezifische Maßnahmen verstärkt werden müssen, um die digitale Resilienz zu optimieren.

Die Berichterstattung sollte ein Eskalationsprotokoll beinhalten, das beschreibt, wie schwerwiegende Risiken und Sicherheitsvorfälle schnell an die richtigen Entscheidungsträger gemeldet werden. Zusätzlich sollten Risiken priorisiert werden, damit das Management die dringendsten Bedrohungen gezielt adressieren kann.

Der Digital Operational Resilience Act (DORA) verpflichtet Unternehmen im Finanzsektor dazu, ihre Resilienzmaßnahmen nicht nur intern, sondern auch gegenüber externen Aufsichtsbehörden transparent zu machen. Diese externe Berichterstattung und Auditierung ist entscheidend für die Einhaltung regulatorischer Anforderungen und stärkt das Vertrauen der Stakeholder in die Sicherheitsmaßnahmen des Unternehmens.

Unternehmen im Finanzsektor sind verpflichtet, mindestens einmal jährlich Berichte an die zuständigen Behörden zu übermitteln, die Informationen enthalten zu:

• Anzahl neuer Vereinbarungen über die Nutzung von IKT-Drittdienstleistungen
• Kategorien der IKT-Drittdienstleister
• Art der vertraglichen Vereinbarungen
• Bereitgestellten IKT-Dienstleistungen und Funktionen

Zusätzlich müssen Unternehmen die Aufsichtsbehörden zeitnah über jede geplante Vereinbarung zur Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen informieren. Ebenso ist die Behörde zu benachrichtigen, wenn eine Funktion als kritisch oder wichtig eingestuft wird.

DORA schreibt vor, dass Sicherheitsvorfälle, die kritische Funktionen betreffen, unverzüglich an die zuständigen Behörden gemeldet werden müssen. Eine Vorfallmeldung sollte umfassen:

• Eine klare Beschreibung des Vorfalls
• Die betroffenen Systeme
• Die ergriffenen Gegenmaßnahmen

Diese Informationen ermöglichen es den Aufsichtsbehörden, Risiken besser einzuschätzen und gegebenenfalls unterstützend einzugreifen.

Unternehmen müssen ein Informationsregister führen, das alle vertraglichen Vereinbarungen mit IKT-Drittanbietern dokumentiert, insbesondere solche, die kritische oder wichtige Funktionen unterstützen. Auf Anforderung stellen Unternehmen den Behörden das vollständige Informationsregister oder relevante Auszüge daraus zur Verfügung, ergänzt durch alle notwendigen Informationen für eine wirksame Aufsicht.

Der jährliche IKT-Resilienzbericht dokumentiert detailliert die Maßnahmen, die zur Sicherung der digitalen Resilienz ergriffen wurden, und bewertet deren Effektivität. Dieser Bericht dient als Nachweis für externe Prüfer und Aufsichtsbehörden und zeigt, wie das Unternehmen den Anforderungen von DORA gerecht wird.

Viele Unternehmen müssen sich regelmäßig externen Audits unterziehen, um die Einhaltung der Resilienzvorgaben zu bestätigen. Diese Audits werden von unabhängigen Prüfinstitutionen durchgeführt und umfassen:

•     Überprüfung der Sicherheitsstandards
•     Bewertung des Notfallmanagements
•     Compliance mit DORA

In bestimmten Fällen ist eine zusätzliche Zertifizierung durch Dritte erforderlich, die bestätigt, dass das Unternehmen alle regulatorischen Anforderungen erfüllt.

Zusätzlich zur jährlichen Berichterstattung können kontinuierliche Verbesserungsberichte vorgelegt werden, die die Weiterentwicklung der Sicherheits- und Resilienzmaßnahmen dokumentieren. Diese Berichte zeigen das Engagement des Unternehmens für IT-Sicherheit und Compliance und stärken das Vertrauen der Aufsichtsbehörden und Stakeholder.

Zur Übermittlung der Berichte und Vorfallmeldungen nutzen Unternehmen die von den Behörden definierten sicheren elektronischen Kanäle und Formate. Voraussetzung für die Übermittlung ist eine gültige und aktive Rechtspersonenkennung (LEI) des Unternehmens.

Das Informationsregister spielt eine zentrale Rolle im IKT-Risikomanagementrahmen von Finanzunternehmen. Die Nutzung dieses Registers unterstützt die Aufsichtsbehörden dabei, Risiken zu identifizieren und die digitale Resilienz der Finanzinstitute zu gewährleisten. Folgende Anforderungen und Ziele werden dabei verfolgt:

1. Vertragsdokumentation für IKT-Dienstleistungen
   Finanzunternehmen müssen ein Informationsregister führen, das alle vertraglichen Vereinbarungen mit IKT-Dienstleistern dokumentiert, die zur Unterstützung ihrer operationellen Funktionen beitragen. Diese Dokumentation ist verpflichtend im Rahmen des IKT-Risikomanagements und umfasst sowohl interne als auch externe Dienstleister.
   
   
2. Meldepflicht bei geplanten IKT-Vereinbarungen
   Jede neue geplante vertragliche Vereinbarung zur Nutzung von IKT-Dienstleistungen, insbesondere wenn diese kritische oder wichtige Funktionen unterstützen, muss vorab an die Aufsicht gemeldet werden. So bleibt die Aufsicht stets über die aktuelle IKT-Landschaft und potenzielle Risiken informiert.
   
   
3. Transparente Bereitstellung des Registers auf Anfrage
   Auf Verlangen der Aufsichtsbehörden sind Finanzunternehmen verpflichtet, das vollständige Informationsregister oder ausgewählte Teile davon zur Verfügung zu stellen. Diese Transparenz ermöglicht eine gezielte Überwachung und Analyse der eingesetzten IKT-Ressourcen.

Das Informationsregister gemäß DORA stellt eine zentrale Grundlage für die Verwaltung und Überwachung der digitalen Resilienz in Finanzunternehmen dar. Jedes Feld im Register repräsentiert eine spezifische Vorlage zur Erfassung wesentlicher Informationen über IKT-Dienste und -Anbieter. Das Informationsregister erfasst dabei nicht nur interne Daten der Finanzinstitute selbst, sondern auch detaillierte Angaben zu IKT-Drittanbietern und deren Unterauftragnehmern.

• Entitätsverwaltung
  Die Felder RT.01.01 bis RT.01.03 erfassen grundlegende Informationen über die verwaltenden Entitäten, die im Register enthaltenen Einheiten sowie deren Niederlassungen.
  
  
• Vertragsmanagement
  In den Feldern RT.02.01 bis RT.02.03 werden Informationen zu allgemeinen vertraglichen Vereinbarungen, spezifischen Details und konzerninternen Arrangements gespeichert.
  
  
• Drittanbieter-Management
  Felder wie RT.03.01 bis RT.03.03 sind auf die Erfassung von Vertragsinformationen mit Drittanbietern und deren Serviceleistungen an andere Einheiten ausgerichtet.
  
  
• Funktion und Kritikalität
  Die Felder RT.06.01 und RT.07.01 dienen der Identifikation kritischer oder wichtiger Funktionen sowie der Bewertung der IKT-Dienste, die diese Funktionen unterstützen.
  
  
• Daten- und Serviceanforderungen
  Spezielle Felder wie RT.05.01 und RT.05.02 fokussieren sich auf die Angaben zu Drittanbietern und Lieferketten innerhalb der IKT-Dienstleistungen.

• Umfassende Datenanforderungen
  Finanzinstitute sind verpflichtet, umfangreiche Informationen über interne und externe IKT-Dienstleister zu sammeln und zu pflegen, um eine vollständige Transparenz im Hinblick auf alle kritischen und unterstützenden Systeme sicherzustellen.
  
  
• Strenge Formatvorgaben
  Das Informationsregister unterliegt strikten Vorgaben bezüglich Format und Inhalt der zu erfassenden Daten. Dies umfasst unter anderem die Identifikatoren für vertragliche Vereinbarungen, Funktions-IDs sowie eindeutige Referenzen für IKT-Dienstleister.

• Erkennung von Konzentrationsrisiken auf Unternehmensebene
  Die Aufsichtsbehörden nutzen das Informationsregister, um mögliche Konzentrationsrisiken durch eine Abhängigkeit von bestimmten IKT-Dienstleistern innerhalb eines Unternehmens zu identifizieren und zu minimieren.
  
  
• Erkennung von Risiken auf Finanzmarktebene
  Durch eine umfassende Analyse der Informationsregister verschiedener Unternehmen können systemische Risiken im Finanzmarkt erkannt werden, die durch die Abhängigkeit von zentralen IKT-Dienstleistern entstehen könnten.

Der Resilienzbericht sollte eine Übersicht aller relevanten IT-Sicherheitsvorfälle enthalten, die im Berichtsjahr aufgetreten sind, sowie eine Beschreibung der ergriffenen Gegenmaßnahmen. Diese Dokumentation hilft dem Unternehmen, Muster und Schwachstellen zu identifizieren und gezielt an Verbesserungen zu arbeiten.

Der Bericht sollte nicht nur eine Rückschau enthalten, sondern auch einen Ausblick auf geplante Maßnahmen und Zielsetzungen für das kommende Jahr geben. Diese Planung zeigt auf, wie das Unternehmen seine Resilienzstrategie weiterentwickeln möchte, und schafft eine klare Roadmap für zukünftige Verbesserungen.

Der IKT-Resilienzbericht kann als Grundlage für die interne und externe Kommunikation genutzt werden. Intern wird der Bericht an das Management und die relevanten Abteilungen verteilt, um Transparenz und Verantwortungsbewusstsein zu fördern. Extern kann der Bericht den Aufsichtsbehörden und ggf. anderen Stakeholdern vorgelegt werden, um die Einhaltung von DORA nachzuweisen.