Stichtag DORA – wie geht es weiter?

Ausgangslage

Seit dem 16. Januar 2023 ist die DORA-Verordnung (Digital Operational Resilience Act) in Kraft. Diese Verordnung soll die digitale und operationale Widerstandsfähigkeit von Unternehmen im Finanzsektor sicherstellen. Ab dem 17. Januar 2025 gelten die Regelungen vollumfänglich und verpflichten sämtliche Unternehmen im Finanzsektor, die in ihren betrieblichen Abläufen Informations- und Kommunikationstechnologien (IKT) nutzen. 

In unseren früheren Blogbeiträgen (vgl. Blogbeitrag vom 10.2.2023 und Blogbeitrag vom 27.8.2024) haben wir bereits über die Hintergründe, den Aufbau und die Bedeutung von DORA informiert. Insbesondere ging es um die technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS), die in mehreren sogenannten „Batches“ veröffentlicht wurden. Für Unternehmen sind diese Standards dahingehend von Bedeutung, da sie die DORA-Anforderungen stärker einordnen, konkretisieren und erweitern.

Doch selbst nach dem Stichtag am 17. Januar 2025 wird das Thema nicht erledigt sein – die Einhaltung der DORA ist kein einmaliger Akt, da sie die kontinuierliche Überprüfung und Verbesserung und Weiterentwicklung der eigenen IT-Prozesse verlangt. Genau hier kommt der PDCA-Zyklus ins Spiel, worauf wir in diesem Blogbeitrag besonders eingehen möchten. 

DORA in Kraft – was bedeutet das konkret?

Mit dem Inkrafttreten der DORA und den dazugehörigen technischen Standards stehen Unternehmen im Finanzsektor vor der großen Aufgabe, ihre IT-Prozesse und -Systeme an eine Vielzahl detaillierter Vorgaben anzupassen. Darunter zählen beispielsweise: 

• IKT-Risikomanagement, also u.a. Risikoanalyse, Schwachstellen- und Patch-Management, Umgang mit Sicherheitsvorfällen, Inventarisierung und Bewertung der IKT-Assets sowie Business Continuity Management
• Gestiegene vertragliche Anforderungen an IKT-Dienstleister, was beispielsweise bedeutet, dass kritische oder wichtige Funktionen nur dann ausgelagert werden dürfen, wenn die Vertragspartner den DORA-Standards entsprechen
• Eine Meldepflicht für schwere IKT-Vorfälle, die durch die RTS und ITS dahingehend spezifiziert werden, wie schnell und in welcher Form Cybervorfälle oder Bedrohungen ans BSI gemeldet werden müssen

Wer die Vorgaben ignoriert oder zu spät angeht, riskiert nicht nur Sanktionen und einen möglichen Reputationsverlust, sondern auch gravierende Sicherheitslücken im eigenen IT-Betrieb. 

Die Verpflichtung zum kontinuierlichen Verbesserungsprozess: PDCA-Zyklus

Wie bereits angesprochen enden die DORA-Anforderungen nicht bei einer einmaligen Implementierung von Prozessen und Maßnahmen. Stattdessen ist es notwendig, die operationale Widerstandsfähigkeit kontinuierlich weiterzuentwickeln und an neue Bedrohungen anzupassen – genau hier setzt der PDCA-Zyklus an:

• Plan: Identifizieren von Risiken und festlegen von Zielen und Maßnahmen für die Behandlung besagter Risiken 
• Do: Umsetzen der geplanten Maßnahmen im Unternehmen
• Check: Überprüfen der Wirksamkeit der implementierten Maßnahmen anhand adäquater Kennzahlen und Audits
• Act: Optimieren oder Anpassen der Maßnahmen zur Gewährleistung einer stetigen Verbesserung, sofern es notwendig ist

Dieser Zyklus ist ein essenzieller Schritt, um den steigenden Anforderungen und Bedrohungen im digitalen Zeitalter gerecht zu werden. 

Regelmäßige Überprüfungen und Verbesserungen – wie geht es weiter? 

Um die Anforderungen der DORA zu präzisieren, hat die Europäische Kommission bereits mehrere delegierte Rechtsakte erlassen. Zu den beiden bisherigen „Batches“ kommen kontinuierlich neue Leitlinien hinzu, die alle auf eine umfassende Compliance abzielen. Ein zentraler Bestandteil dieser Vorgaben ist die Verpflichtung, regelmäßige Prüfungen durchzuführen. Diese Prüfungen umfassen insbesondere:

• IKT-Risikobeurteilung: Dabei werden in festgelegten Abständen die aktuellen Risiken, neuen Angriffsszenarien und potenziellen Schwachstellen erfasst und bewertet.
• Penetrationstests (z.B. Threat Led Penetration Testing, TLPT): Hierbei werden Angriffe unter realen Bedingungen simuliert, um Schwachstellen effektiv aufzudecken und zu beheben.
• Dienstleister-Überprüfung: Verträge mit Dienstleistern müssen regelmäßig hinsichtlich der vereinbarten Servicelevels und wesentlicher Compliance-Aspekte kontrolliert werden.

Wir unterstützen Sie gerne…

…bei der Einhaltung der DORA-Vorgaben. Wir bieten u.a. die folgenden Leistungen an:

• Durchführung Gap-Analyse
• Würdigung juristischer Detailfragen
• Aufbau/Fortentwicklung IKT-Risikomanagement
• Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern
• Überwachung IT-Systeme (SOC as a Service)
• Durchführung von Penetrationstests

Fazit: Jetzt handeln, um langfristig resilient zu bleiben

Die Deadline am 17. Januar 2025 für die vollständige Anwendung der DORA-Anforderungen ist eingetreten. Selbst wenn alle aktuellen Anforderungen fristgerecht umgesetzt wurden, ist es unabdingbar, die Prozesse und Maßnahmen regelmäßig zu überprüfen und anzupassen. Die DORA sieht ausdrücklich vor, dass Unternehmen ihre digitale und operationale Widerstandsfähigkeit im Rahmen kontinuierlicher Verbesserungsprozesse weiterentwickelt. Das ist nicht nur als ein regulatorischer Zwang zu sehen, sondern viel mehr als eine Chance, die eigene Resilienz nachhaltig zu verbessern. 
Wir empfehlen betroffenen Unternehmen, den PDCA-Zyklus als zentrales Hilfsmittel zu nutzen, um den DORA Anforderungen zu entsprechen – so kann nicht nur gewährleistet werden, rechtskonform zu agieren, sondern auch langfristig den eigenen Geschäftsbetrieb gegen immer neue Cyberbedrohungen abzusichern.

Sie benötigen Unterstützung oder einen starken Partner, der Sie kompetent und zuverlässig bei allen Anforderungen von DORA begleitet? Sprechen Sie uns gerne an – wir helfen Ihnen alle Anforderungen, die zugehörigen technischen Regulierungs- und Durchführungsstandards sowie die darüberhinausgehenden Best Practices zu erfüllen.