DORA: Neue Anforderungen an das Incident Management für IKT-Risiken

Mit DORA tritt demnächst eine weitere Verordnung der EU in Kraft. Diese soll sicherstellen, dass europäische Finanzunternehmen über die nötigen Sicherheitsvorkehrungen verfügen, um Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) zu minimieren. Bereits einem früheren Artikel zum Thema DORA sind wir auf wichtige Aspekte der neuen EU-Verordnung eingegangen. Hier und heute geht es um Incident Management und die Frage, welche Änderungen DORA in diesem Bereich bereithält.

Damit aus kleineren Störungen keine (großen) Krisen werden, ist besonders in der IT von Finanzunternehmen ein professionelles und effektives Incident Management unumgänglich, um fristgerechte Meldungen gewährleisten zu können. Es ist nur konsequent, dass dem Incident Management bei IKT-bezogenen Vorfällen in der neuen DORA-Verordnung eine bedeutende Rolle zuteilwird. In erster Linie gilt das für die IKT Incident-Manager sowie die Dokumentationsqualität der Service-Struktur in den Unternehmen.

Vorab: DORA erfindet das Rad des Incident Managements keineswegs neu. Vielmehr handelt es sich um Ergänzungen und Anpassungen bereits bestehender Kriterien. DORA betrifft vor allem zwei Aspekte des Incident Managements: die Klassifizierung sowie das Meldeverfahren. metafinanz unterstützt Sie dabei, diese Änderungen richtig einzuordnen und umzusetzen. Doch der Reihe nach.

Richtig und frühzeitig handeln!

Insbesondere bei der Klassifizierung IKT-bezogener Vorfälle sorgt DORA durch kleine Anpassungen für mehr Klarheit. So finden sich bei den Kriterien, nach denen die Vorfälle nun klassifiziert werden, neben vielen altbekannten auch einige neue. Die wichtigsten Kriterien sind:

• Die Zahl der von dem Vorfall betroffenen Nutzer oder Akteure;
• Die Dauer des IKT-bezogenen Vorfalls, einschließlich der Ausfallzeiten;
• Ob der IKT-bezogene Vorfall einen Rufschaden verursacht hat;
• Die geografische Ausbreitung des Vorfalls;
• Die Schwere der Auswirkungen des Vorfalls auf die Unternehmenssysteme;
• Die Kritikalität der betroffenen Dienste;
• Die wirtschaftlichen Auswirkungen des Vorfalls auf absoluter und relativer Basis.

Vor allem zwei Kriterien fallen hier auf, die mit DORA neu hinzugekommen sind: die geografische Ausbreitung des Vorfalls und der Bezug zum Rufschaden. Die größte Anpassung weist DORA jedoch beim Meldeverfahren von IKT-Vorfällen auf. So können bestehende Verfahren aufgrund der Ergänzungen bei der Klassifizierung nicht mehr genutzt werden. Finanzunternehmen müssen ihre internen Prozesse und ihre Organisationsstruktur anpassen. Zusätzlich wurde in DORA die Berichterstattung im Rahmen des Meldeverfahrens erweitert. Es ist ein dreistufiges Verfahren vorgesehen, in dem die jeweiligen Fristen genau definiert sind:

• Eine erste Meldung sollte unverzüglich nach Auftreten des Vorfalls, jedoch spätestens zum Ende des Geschäftstages erfolgen.
• Spätestens eine Woche nach der ersten Meldung wird ein Zwischenbericht gefordert.
• Ist die Ursachenforschung abgeschlossen, was zwingend ein Problem-Management erfordert, folgt der Abschlussbericht.

Im internen Incident-Management-Prozess muss sichergestellt werden, dass dieses Verfahren und die Fristen eingehalten werden. Denn kommt es an dieser Stelle zu Verzögerungen oder Versäumnissen, kann das zu einem zusätzlichen Reputationsschaden führen, welcher den ohnehin entstandenen Schaden noch übertreffen kann. Zögern Sie also nicht, handeln Sie frühzeitig!

Unser Fazit

DORA umfasst keine völlig neuen Elemente in Bezug auf das Incident Management IKT-bezogener Vorfälle. Vielmehr handelt es sich hier um Ergänzungen und Präzisierungen in Prozess und Dokumentation, wodurch im Incident Management für eine höhere Auflösung gesorgt wird. Finanzunternehmen sollten daher frühzeitig reagieren und ihre Prozesse zügig gemäß den Anforderungen der Verordnung anpassen.

Quelle Titelbild: AdobeStock / spainter_vfx