dora metaminds
Resilient Business

Risikomanagement nach DORA: Alles aus einem Guss

Artikel

18.10.2022

Zwei Aspekte des Digital Operational Resilience Act (kurz: DORA) haben wir bereits beleuchtet: Incident Management und IT Provider Risk Management. Im dritten und letzten Beitrag zu wichtigen Aspekten der neuen EU-Verordnung geht es um die Neuerungen in Bezug auf das Risikomanagement.

Nachdem die Schwerpunkte im Bereich Risikomanagement in der Finanzbranche in den vergangenen Jahrzehnten vor allem auf den finanziellen Risikoarten wie Kredit-, Marktpreis- und Liquiditätsrisiken lagen, ist der aktuelle Fokus im Informations- und Cyber-Risikomanagement zu sehen. Kaum eine Woche vergeht, in der nicht eine Datenpanne, ein Systemabsturz oder ein Hacker-Angriff die Nachrichten bestimmt. Es sollte alles unternommen werden, Vorfälle dieser Art zu verhindern und auch digital resilient zu sein.

Um das zu erreichen, benötigen Finanzunternehmen ein gut definiertes und in den Unternehmensstrukturen etabliertes Konzept zum IT-Risikomanagement. DORA gibt hierfür einen detaillierten Leitfaden vor, der den Begriff des Informationsrisikomanagements sehr weit fasst und einen ganzheitlichen Risikomanagementansatz fordert. Wie aus einem Guss sollen Risiko-, Auslagerungs-, Informationssicherheits- und Notfallmanagement ineinandergreifen.

DORA legt einheitliche Anforderungen für europäische Finanzunternehmen fest, um die Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) zu mitigieren. Vor allem von den Führungsorganen der Unternehmen verlangt DORA eine aktive und operative Rolle im Informations-Risikomanagement.

Zentrale Governance und die neue Rolle der Führungsetage

Gemäß DORA bekommen die Führungsorgane von Finanzunternehmen eine zentrale Rolle bei den neu definierten Kriterien für das Risikomanagement. Sie sollen mehr direkte Verantwortung und Aufgaben übernehmen – zum Beispiel den Rahmen festlegen, überwachen und genehmigen. Das beinhaltet unter anderem die Genehmigung von IKT-Audits und -Richtlinien, die Zuteilung und Überprüfung entsprechender Budgets oder die Koordinierung externer Dienstleister.

Und nicht nur technische Aspekte sind von Bedeutung. Zu den zentralen Aufgaben der Entscheidungsträger gehört auch, durch Richtlinien und Schulungen das Bewusstsein für die Cybersicherheit bei den Mitarbeitenden gezielt zu verbessern und zu stärken.

Aktiver Schutz und Prävention

Im Rahmen des Risikomanagements verlangt DORA eine detaillierte Strategie zur Erkennung von und Reaktion auf IKT-bezogene Risiken und Vorfälle. Das führt zu einem (kurzzeitig) zusätzlichen Aufwand für viele Finanzunternehmen ohne eine solche Strategie. Gefordert wird auch die Einführung von Schutz- und Präventionsmaßnahmen sowie eine detaillierte Business-Continuity-Strategie inklusive Notfall- und Wiederherstellungsplänen. Business-Continuity-Management (BCM) wird so zum elementaren Bestandteil des neuen IKT-bezogenen Riskmanagements von Finanzunternehmen.

Bei größeren und komplexen Finanzdienstleistern sind diese Teilbereiche oft unabhängig voneinander über einen längeren Zeitraum aufgebaut worden. Eine Vereinheitlichung stellt insbesondere große Unternehmen vor Herausforderungen.

Ein ständiges Lernen

Der bis hier beschriebene Ansatz in DORA verlangt einen Prozess des ständigen Lernens von Management und Mitarbeitenden. Nur so können Abläufe optimiert und neuen Anforderungen angepasst werden. Dazu gehört auch, dass die Verantwortlichen die Entwicklung bei Cyberrisiken verfolgen und Schulungsprogramme für die Mitarbeitenden etablieren. Darüber hinaus sollten sie aus vergangenen Vorfällen Lehren ziehen und diese in die Risikobewertung einfließen.

Insbesondere das Backtesting und die Weiterentwicklung des Risikomanagementansatzes sind nur mit einer entsprechenden Datenlage möglich. Es empfiehlt sich, sowohl Erkenntnisse aus früheren Schäden durch IKT-Incidents als auch aus bekannten Schwachstellen sowie aus Beinahe-Verlusten zu aggregieren. Alle Informationen, auch von anderen Finanzdienstleistern, können die Datenlage verbessern. Hier bietet DORA eine echte Chance, da die Datenweitergabe über Incidents sowohl zur Aufsicht als auch zu anderen Dienstleistern standardisiert und vereinfacht wird.

Fazit

DORA verbindet das umfassende IKT-Risikomanagement eng mit der digitalen Resilienz, dem Umgang mit IKT-Vorfällen und dem Provider-Risikomanagement. Das verlangt von den Finanzunternehmen eine gut durchdachte und detaillierte Strategie, welche genau abgestimmte Prozesse und Methoden für das IKT-Risiko-, Outsourcing-, Informationssicherheits- und Business-Continuity-Management beinhaltet. Also alles aus einem Guss.

Zum Artikel: DORA im Incident-Management

Zum Artikel: DORA im IT Provider Risk Management

 

Quelle Titelbild: AdobeStock/Gorodenkoff