DORA - Teil 9: Programm zur Prüfung der operationellen Resilienz
DORA (Digital Operational Resilience Act) schreibt Finanzunternehmen vor, dass sie ein solides und umfassendes Programm zur Prüfung der digitalen operationellen Widerstandsfähigkeit einrichten, aufrechterhalten und überprüfen müssen. Dieses Programm ist integraler Bestandteil des IKT-Risikomanagementrahmens und umfasst eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Instrumenten.
In diesem neunten Teil der Artikelserie stelle ich die Anforderungen von DORA an das Testprogramm zur operationellen Resilienz vor. Dies wird in Kapitel IV (Artikel 21 - 24) der Verordnung beschrieben.
Allgemeine Anforderungen
Bei der Durchführung der Tests sind Finanzunternehmen angehalten, einen risikobasierten Ansatz zu verfolgen, der alle spezifischen Risiken, denen das betreffende Finanzunternehmen ausgesetzt ist oder ausgesetzt sein könnte, gebührend berücksichtigt.
Die Tests müssen dabei von unabhängigen Dritten durchgeführt werden. Dies können interne oder externe Prüfer sein. Werden die Tests von einem internen Prüfer durchgeführt, müssen die Finanzunternehmen ausreichende Ressourcen bereitstellen und sicherstellen, dass Interessenkonflikte während der gesamten Planungs- und Durchführungsphase des Tests vermieden werden.
Alle während der Durchführung der Tests aufgedeckten Probleme müssen priorisiert, klassifiziert und behoben werden. Dazu legen die Finanzunternehmen entsprechende Verfahren und Strategien fest. Mindestens einmal jährlich stellen die Finanzunternehmen sicher, dass angemessene Tests aller IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, durchgeführt werden.
Erprobung von IKT-Werkzeugen und -Systemen
Das Programm zur Prüfung der digitalen operationellen Belastbarkeit sieht die Durchführung geeigneter Tests vor. Dazu zählen Bewertungen der Schwachstellen und Scans, Open-Source-Analysen, Bewertungen der Netzsicherheit, Lückenanalysen, Überprüfungen der physischen Sicherheit, Scannen von Softwarelösungen, Überprüfungen des Quellcodes, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests.
Erweiterte Tests von IKT-Werkzeugen
Mindestens alle drei Jahre sind Finanzunternehmen angehalten, fortgeschrittene Tests mittels bedrohungsgeleiteter Penetrationstests durchzuführen. Diese decken zumindest die kritischen Funktionen und Dienste eines Finanzunternehmens ab und werden an produktiven Systemen durchgeführt. Der genaue Umfang der bedrohungsgesteuerten Penetrationstests wird von den Finanzunternehmen festgelegt und von den zuständigen Behörden bestätigt.
Dafür ermitteln die Finanzunternehmen alle relevanten zugrundeliegenden IKT-Prozesse, -Systeme und -Technologien, die kritische Funktionen und Dienstleistungen unterstützen, einschließlich der Funktionen und Dienstleistungen, die an IKT-Drittdienstleister ausgelagert oder unter Vertrag genommen wurden.
Werden IKT-Drittdienstleister einbezogen, so ergreift das Finanzinstitut die erforderlichen Maßnahmen, um die Teilnahme dieser Dienstleister sicherzustellen.
Am Ende des Tests legen das Finanzinstitut und die externen Tester der zuständigen Behörde die Unterlagen vor, die bestätigen, dass die Tests gemäß den Anforderungen durchgeführt wurden. Die zuständigen Behörden validieren die Dokumentation und stellen eine Bescheinigung aus.
Anforderungen an die Prüfer
Die Finanzinstitute dürfen für die Penetrationstests nur Prüfer einsetzen, die
über technische und organisatorische Fähigkeiten verfügen und besondere Fachkenntnisse in den Bereichen Bedrohungsanalyse, Penetrationstests oder Red-Team-Tests nachweisen,
von einer Akkreditierungsstelle eines Mitgliedstaates zertifiziert sind oder sich an formale Verhaltenskodizes oder ethische Rahmen halten,
als externer Prüfer eine unabhängige Zusicherung oder einen Prüfbericht in Bezug auf die solide Beherrschung der mit der Durchführung von bedrohungsorientierten Penetrationstests verbundenen Risiken vorlegen,
als externer Prüfer durch einschlägige Berufshaftpflichtversicherungen ordnungsgemäß und vollständig abgedeckt sind.
Die Finanzunternehmen müssen dabei sicherstellen, dass die mit externen Testern geschlossenen Vereinbarungen keine Risiken für das Finanzunternehmen mit sich bringen.
Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung des DORA und beim Bewerten von Risiken und Lücken in bestehenden Verträgen. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher erschienen:
DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
DORA - Teil 5: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de