Fachwissen DORA - IKT-Risikomanagement

FATCA Abgeltungssteuer Berater Profil Projekt Experte Bank Versicherung Freiberufler Freelancer www.hettwer-beratung.de

IKT-Risikomanagement gemäß DORA: Anforderungen, Strategien und Umsetzung

Das IKT-Risikomanagement gemäß DORA (Digital Operational Resilience Act) legt die zentralen Grundpfeiler für eine robuste digitale Resilienz im Finanzsektor fest.

 

Es bildet die Grundlage dafür, dass Finanzunternehmen in der EU ihre IKT-bezogenen Risiken (Informations- und Kommunikationstechnologie) effektiv steuern und widerstandsfähig gegen Störungen und Angriffe werden.

 

Diese Anforderungen, die durch die BaFin in einer Aufsichtsmitteilung erläutert und durch Artikel 5 bis 16 sowie Artikel 24 bis 30 in DORA definiert sind, gelten für alle beaufsichtigten Finanzinstitute und umfassen ein umfassendes Risikomanagement, Drittparteienkontrolle und Präventivmaßnahmen zur Risikominderung.


Neue Strategieanforderungen: Die DOR-Strategie

DORA verlangt, dass Finanzunternehmen ihre bisherige IT-Strategie um eine spezifische Strategie für digitale operationale Resilienz (DOR-Strategie) erweitern, wie in Artikel 6, Absatz 8 festgelegt. Diese DOR-Strategie soll sicherstellen, dass das Unternehmen auf digitale Störungen vorbereitet ist und seine Betriebsprozesse auch während und nach Krisensituationen aufrechterhalten kann. Dabei geht es um mehr als nur die Sicherheit einzelner Systeme; vielmehr wird die Gesamtresilienz des Unternehmens zum Ziel. Diese DOR-Strategie muss nahtlos mit der bestehenden IT-Strategie integriert werden, was eine sorgfältige Analyse und Anpassung der Governance- und Managementprozesse erfordert.

Der IKT-Risikomanagementrahmen: Aufbau und Elemente

DORA definiert klare Strukturen und Anforderungen an das IKT-Risikomanagement, die den gesamten Lebenszyklus eines Vorfalls abdecken – von der Identifikation bis zur Wiederherstellung. Der Rahmen umfasst die folgenden Elemente:

  • Identifizierung
    Systematische Erfassung und Bewertung der IKT-Risiken, um alle potenziellen Gefahrenquellen zu erfassen.

  • Schutz und Prävention
    Maßnahmen zur Risikominderung und Vorbeugung gegen Vorfälle.

  • Erkennung
    Frühwarnsysteme und Technologien zur schnellen Identifikation von Sicherheitsvorfällen.

  • Gegenmaßnahmen und Wiederherstellung
    Notfallpläne und Maßnahmen zur Eindämmung und Schadensbegrenzung bei IKT-Vorfällen.

  • Lernen
    Analyse und Ableitung von Lehren aus vergangenen Vorfällen, um zukünftige Ereignisse zu verhindern.

  • Weiterentwicklung und Kommunikation
    Kontinuierliche Anpassung und Verbesserung der IKT-Risikomanagementprozesse sowie Berichterstattung an das Management.


Die Orientierung an internationalen und branchenspezifischen Best Practices und Standards gibt Unternehmen dabei die Flexibilität, diese Anforderungen proportional zur Größe und Kritikalität der IKT-Systeme umzusetzen, was im Grundsatz der Verhältnismäßigkeit gemäß Artikel 4 DORA festgelegt ist.

Governance und Organisation: Die Rolle des Leitungsorgans

DORA hebt die Rolle des Leitungsorgans in der Governance des IKT-Risikomanagements hervor. Das Leitungsorgan ist letztverantwortlich für die Implementierung und Überwachung des IKT-Risikomanagements und der DOR-Strategie. Es ist auch für die Bereitstellung angemessener Budgetmittel und Ressourcen verantwortlich und muss sicherstellen, dass die Mitglieder über aktuelles Wissen und Fähigkeiten verfügen, um ihre Verantwortung wahrzunehmen. Die zentralen Aufgaben umfassen:

  • Festlegung der DOR-Strategie
    Das Leitungsorgan genehmigt und verantwortet die digitale Resilienzstrategie.

  • Budgetzuweisung
    Bereitstellung finanzieller und personeller Ressourcen für das IKT-Risikomanagement.

  • Fortbildung
    Sicherstellen, dass die Mitglieder des Leitungsorgans stets über aktuelle Kenntnisse zu IKT-Risiken verfügen

Diese Anforderung an das Leitungsorgan ist umfassender als die vergleichbare Rolle des Informationssicherheitsbeauftragten nach den Vorgaben der xAIT. Während der Informationssicherheitsbeauftragte in erster Linie für die Sicherheitsvorkehrungen in der Informationsinfrastruktur zuständig ist, übernimmt das Leitungsorgan im IKT-Risikomanagement die Gesamtverantwortung für alle IKT-bezogenen Risiken und ihre strategische Steuerung.

Proaktives Management des IKT-Drittparteienrisikos

DORA erkennt an, dass Drittparteien, die IKT-Dienstleistungen für Finanzinstitute erbringen, ein potenzielles Risiko darstellen. Kapitel II, Artikel 28 bis 30 verlangen daher, dass Finanzunternehmen ihre IKT-Drittparteienbeziehungen aktiv überwachen und sicherstellen, dass diese in der Lage sind, ein vergleichbares Resilienzniveau zu gewährleisten. Hierzu gehören unter anderem:

  • Verträge mit Mindestanforderungen
    Verträge mit Drittanbietern müssen Mindestanforderungen an die Sicherheit und Resilienz erfüllen.

  • Überprüfung und Überwachung
    Regelmäßige Überprüfung der Sicherheitsvorkehrungen und Notfallpläne von Drittanbietern.

  • Notfallpläne
    Vorgaben für den Umgang mit möglichen Ausfällen von Drittparteien, um sicherzustellen, dass der Geschäftsbetrieb des Finanzunternehmens nicht unterbrochen wird.

Überwachung und Änderungsmanagement

DORA stellt hohe Anforderungen an die kontinuierliche Überwachung und das Änderungsmanagement der IKT-Systeme. Finanzunternehmen müssen sicherstellen, dass Änderungen an IKT-Systemen – von Software-Updates bis hin zu Hardware-Erneuerungen – systematisch erfasst, getestet, genehmigt und dokumentiert werden. Der Verzicht auf eine Wesentlichkeitsgrenze erfordert eine umfassende Dokumentation aller Änderungen, um die Kontrolle über die IKT-Infrastruktur jederzeit aufrechtzuerhalten und die Konformität mit DORA sicherzustellen.

Proportionalität und Erleichterungen für bestimmte Finanzinstitute

DORA berücksichtigt die Heterogenität der Finanzinstitute und sieht in Artikel 16 vereinfachte Anforderungen für kleinere Unternehmen vor. Diese proportionalen Anforderungen ermöglichen es kleineren Finanzinstituten, ihre Ressourcen effizienter auf risikorelevante Aufgaben zu konzentrieren, ohne dass der Grundsatz der Resilienz beeinträchtigt wird. Die BaFin gibt in ihrer Aufsichtsmitteilung zudem Hinweise, wie diese Anforderungen umgesetzt und in bestehende Strukturen integriert werden können.

BaFin und ihre Rolle als Aufsichtsbehörde

Die BaFin unterstützt die Umsetzung von DORA durch Leitlinien und zusätzliche Anforderungen, die den Finanzinstituten als Orientierung dienen. Die Aufsichtsmitteilung der BaFin enthält nicht nur eine Erläuterung der Anforderungen an das IKT-Risikomanagement (Art. 5-15 DORA), sondern auch detaillierte Umsetzungshinweise zum Management des IKT-Drittparteienrisikos (Art. 28-30 DORA). Sie bezieht sich dabei auf die Richtlinien der BAIT und VAIT, die häufig ähnliche Anforderungen wie DORA an die Governance, Risikobewertung und Sicherheitsstandards stellen. Diese Umsetzungsunterstützung ermöglicht es Finanzunternehmen, den neuen regulatorischen Anforderungen strukturiert zu begegnen und die DOR-Strategie effektiv in ihre bestehenden IT- und Sicherheitsstrategien zu integrieren.

Strategische Weiterentwicklung durch regelmäßige Risikoüberprüfung

Eine der zentralen Anforderungen von DORA ist die regelmäßige Überprüfung und Aktualisierung des IKT-Risikomanagements. Finanzinstitute müssen kontinuierlich sicherstellen, dass ihre IKT-Infrastrukturen und Sicherheitsvorkehrungen auf aktuelle Bedrohungen reagieren können. Dies erfordert die Implementierung eines dynamischen Systems, das proaktiv auf Bedrohungen reagiert und kontinuierlich durch Tests und Audits überwacht wird. Unternehmen sollen durch diese Praxis nicht nur auf Krisenfälle vorbereitet sein, sondern auch Schwachstellen erkennen und die IKT-Sicherheit kontinuierlich stärken.

Kernaspekte des IKT-Risikomanagements

  • Identifikation und Bewertung von Risiken
    Systematische Verfahren zur Identifikation und Klassifikation von Risiken, die sich aus der Nutzung von Informations- und Kommunikationstechnologie ergeben.

  • Verhältnismäßigkeitsprinzip
    Anwendung des Grundsatzes der Verhältnismäßigkeit bei der Risikobewertung, abgestimmt auf die Größe und Kritikalität der IKT-Systeme.

  • Präventions- und Minderungsstrategien
    Entwicklung von Strategien zur Prävention und Minderung identifizierter Risiken.

Aufgaben des Risikomanagements

  • Risikoidientifikation
    • Systematische Erfassung aller potenziellen IT- und Cyberrisiken.
    • Regelmäßige Aktualisierung des Risikoinventars unter Berücksichtigung neuer Bedrohungen.
  • Risikobewertung
    • Analyse der Eintrittswahrscheinlichkeit und möglicher Auswirkungen von Risiken.
    • Priorisierung der Risiken nach ihrer Bedeutung für das Unternehmen.
  • Risikosteuerung
    • Entwicklung von Maßnahmen zur Risikominderung oder -vermeidung.
    • Implementierung und Überwachung der beschlossenen Maßnahmen.
  • Risikoberichterstattung
    • Erstellung regelmäßiger Risikoberichte für das Management.
    • Aufzeigen von Handlungsbedarf und Empfehlungen zur Risikominimierung.

Identifikation und Bewertung von Risiken

Ein effektives IKT-Risikomanagement beginnt mit der systematischen Identifikation und Bewertung der Risiken, die sich aus der Nutzung von IKT ergeben. Unternehmen müssen potenzielle Risiken frühzeitig erkennen, bewerten und entsprechend priorisieren, um angemessene Maßnahmen zur Risikominderung zu ergreifen.

Verfahren zur Identifikation von IKT-Risiken

Unternehmen sollten strukturierte Verfahren zur Identifikation von Risiken etablieren, die alle IKT-Systeme und -Prozesse umfassen. Zu den Methoden gehören regelmäßige Risikoanalysen, Bedrohungsmodelle und Penetrationstests, die es ermöglichen, Schwachstellen und potenzielle Gefahrenquellen zu identifizieren. Es ist wichtig, alle internen und externen Bedrohungen, die sich auf die IT-Systeme und Daten auswirken könnten, zu erfassen.

Klassifikation und Priorisierung von Risiken

Sobald die Risiken identifiziert sind, ist eine Klassifikation und Priorisierung erforderlich. Diese erfolgt in der Regel anhand von Faktoren wie der Eintrittswahrscheinlichkeit und den potenziellen Auswirkungen auf das Unternehmen. Risiken mit hohen potenziellen Auswirkungen auf den Geschäftsbetrieb oder die Datensicherheit sollten vorrangig behandelt werden. Durch eine klare Klassifikation kann das Unternehmen Ressourcen gezielt einsetzen und sich auf die relevantesten Risiken konzentrieren.

Regelmäßige Aktualisierung und Überwachung der Risiken

Da sich die Bedrohungslandschaft ständig weiterentwickelt, ist es wichtig, dass Unternehmen ihre Risikobewertungen regelmäßig aktualisieren. Neue Bedrohungen und Schwachstellen müssen kontinuierlich überwacht und bewertet werden. Die regelmäßige Überprüfung der identifizierten Risiken und ihrer Klassifikation stellt sicher, dass das Unternehmen auf aktuelle Bedrohungen vorbereitet ist und entsprechende Gegenmaßnahmen planen kann.

Verhältnismäßigkeitsprinzip

Das Verhältnismäßigkeitsprinzip ist ein wesentlicher Aspekt des IKT-Risikomanagements im Rahmen von DORA. Es fordert, dass die Maßnahmen zur Risikobewältigung in einem angemessenen Verhältnis zur Größe, Komplexität und Kritikalität der betroffenen IKT-Systeme und Prozesse stehen. Dieses Prinzip trägt dazu bei, dass Ressourcen effizient genutzt und angemessene Sicherheitsmaßnahmen ergriffen werden.

Anwendung des Verhältnismäßigkeitsprinzips bei der Risikobewertung

Die Bewertung von Risiken sollte stets im Kontext der Unternehmensgröße und der Kritikalität der betroffenen IKT-Systeme erfolgen. Für kleinere Unternehmen oder weniger kritische Systeme sind möglicherweise geringere Sicherheitsmaßnahmen erforderlich als für größere Unternehmen oder geschäftskritische Systeme. Das Verhältnismäßigkeitsprinzip ermöglicht es, die Risikobewältigung an die spezifischen Gegebenheiten des Unternehmens anzupassen.

Ressourcenschonender Einsatz von Sicherheitsmaßnahmen

Durch das Verhältnismäßigkeitsprinzip können Unternehmen sicherstellen, dass ihre Ressourcen effizient genutzt werden und die Sicherheitsmaßnahmen nicht überdimensioniert sind. Beispielsweise könnte für ein nicht-geschäftskritisches System eine Basisabsicherung ausreichend sein, während für Systeme mit hohem Schutzbedarf umfassende Sicherheitsvorkehrungen erforderlich sind. Dies gewährleistet einen ressourcenschonenden Einsatz der finanziellen und personellen Mittel.

Flexibilität und Skalierbarkeit der Sicherheitsmaßnahmen

Das Verhältnismäßigkeitsprinzip bietet Unternehmen die Möglichkeit, ihre Sicherheitsmaßnahmen flexibel und skalierbar zu gestalten. Je nach Bedrohungslage und Systemkritikalität können die Maßnahmen angepasst und bei Bedarf erweitert werden. Diese Flexibilität ermöglicht es, auf veränderte Rahmenbedingungen oder neue Risiken angemessen zu reagieren, ohne unnötige Sicherheitsaufwände zu erzeugen.

Präventions- und Minderungsstrategien

Die Entwicklung und Implementierung von Präventions- und Minderungsstrategien ist ein zentraler Bestandteil des IKT-Risikomanagements. Diese Strategien zielen darauf ab, identifizierte Risiken zu minimieren und die Auswirkungen potenzieller Vorfälle zu begrenzen. DORA verlangt von Unternehmen, dass sie proaktive und reaktive Maßnahmen zur Risikominderung einführen.

Proaktive Präventionsstrategien

Proaktive Strategien zur Risikoprävention beinhalten Maßnahmen, die das Risiko von Sicherheitsvorfällen im Voraus reduzieren. Dazu gehören die Implementierung von Firewalls, Intrusion-Prevention-Systemen (IPS), die regelmäßige Schulung der Mitarbeiter in IT-Sicherheit sowie die Einführung von Sicherheitsrichtlinien und -verfahren.

 

Durch diese präventiven Maßnahmen können Unternehmen potenzielle Risiken bereits im Vorfeld minimieren und die Wahrscheinlichkeit von Vorfällen reduzieren.


Minderungsstrategien für identifizierte Risiken

Minderungsstrategien zielen darauf ab, die Auswirkungen von Vorfällen zu begrenzen, falls ein Risiko trotz Präventionsmaßnahmen realisiert wird. Dazu gehören beispielsweise Notfallpläne, die Datenwiederherstellung, redundante Systeme und alternative Betriebsstandorte. Unternehmen sollten sicherstellen, dass ihre Minderungsstrategien regelmäßig getestet und bei Bedarf angepasst werden, um im Ernstfall schnell und effektiv reagieren zu können.

Kontinuierliche Überwachung und Verbesserung

Ein effektives Risikomanagement erfordert eine kontinuierliche Überwachung der implementierten Präventions- und Minderungsmaßnahmen. Unternehmen sollten regelmäßig überprüfen, ob die Maßnahmen die gewünschten Ergebnisse erzielen und ob Anpassungen erforderlich sind. Die kontinuierliche Verbesserung der Sicherheitsstrategie stellt sicher, dass das Unternehmen auf neue Bedrohungen reagieren und seine Resilienz fortlaufend stärken kann.

Risikokommunikation und Eskalationsprotokolle

Ein weiterer wichtiger Bestandteil der Minderungsstrategien ist die klare Definition von Kommunikations- und Eskalationsprotokollen für den Fall eines Sicherheitsvorfalls. Diese Protokolle stellen sicher, dass relevante Entscheidungsträger und Abteilungen im Falle eines Vorfalls informiert sind und die notwendigen Maßnahmen eingeleitet werden. Ein gut strukturiertes Eskalationsschema ermöglicht eine schnelle Reaktion und hilft, den Schaden zu begrenzen.

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Wir bieten

  • Projektmanagement aus einer Hand
  • Strategische Partnerschaften mit exzellenten Marktführern
  • Unterstützt durch modernste Künstliche Intelligenz Technologie eischl. Machine Learning Library (KI, MLL)
  • Innovative Lösungen und fundierte Expertise für Ihren Projekterfolg
KI-unterstütztes Projektmanagement
Mit strategischen Partnerschaften zum nachhaltigen Erfolg
HUB_Leistungsportfolio.pdf
Adobe Acrobat Dokument 5.3 MB

Auszeichnung

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

- Eine Beratung mit PROFIL -

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH