Die Auswirkungen des DORA auf das bisher etablierte Business Continuity Management

DORA hat das Ziel, die Widerstandsfähigkeit von Finanzunternehmen gegenüber Cyberangriffen und anderen IKT-bedingten Störungen zu erhöhen. Die Regulierung ergänzt das nach den bisherigen aufsichtsrechtlichen Bestimmungen (z.B. MaRisk und EBA Guidelines) geforderte Business Continuity Management (BCM) um spezifische Anforderungen zur digitalen Resilienz. In diesem Teil meiner Artikelserie beleuchte ich die Auswirkungen des DORA auf das bislang etablierte BCM und kläre die Frage, welche Veränderungen sich für das Risikomanagement ergeben.

Was bringt DORA Neues im Verhältnis zu den bisherigen Anforderungen?

DORA und bisheriges BCM zielen auf die Betriebsfähigkeit und Resilienz von Finanzunternehmen ab, unterscheiden sich jedoch im Fokus. Beide betonen präventive Maßnahmen und schnelle Reaktionen auf Vorfälle, um Betriebsunterbrechungen zu minimieren.

DORA legt den Schwerpunkt auf digitale und cyberbezogene Resilienz, während BCM eine breitere Palette von Risiken abdeckt, einschließlich physischer Bedrohungen und organisatorischer Bedrohungen. Neu ist, dass BCM-Prozessschritte aus Gesamtsicht angeschaut werden sollen, basierend auf einer einheitlichen Definition kritischer und wichtiger Funktionen. Dabei fordert DORA von den Führungskräften eine zentrale Rolle und direkte Verantwortung im Risikomanagement, einschließlich der Genehmigung und Überwachung von IKT-Richtlinien und -Audits sowie der Koordinierung externer Dienstleister. Technische und organisatorische Maßnahmen sollen durch Richtlinien und Schulungen ergänzt werden, um das Bewusstsein für Cybersicherheit zu stärken.

Was ändert sich mit DORA beim BCM?

DORA bringt spezifische Änderungen und Erweiterungen für bestehende BCM-Prozesse mit sich. Die Richtlinie verlangt erweiterte Maßnahmen zur IT-Sicherheit, die in BCM-Strategien integriert werden müssen. Dazu gehören:

  • Kontinuierliche Überwachung der IKT-Systeme: Implementierung von Systemen zur Echtzeitüberwachung und Bedrohungserkennung.

  • Proaktive Bedrohungsanalyse: Nutzung von Bedrohungsdaten und Analysen zur Vorhersage und Abwehr potenzieller Angriffe.

Regelmäßige Tests und Audits

DORA betont die Bedeutung regelmäßiger Tests zur Überprüfung der digitalen Resilienz. Gemäß RTS (Regulatory Technical Standards) Art. 27 müssen spezifische Testszenarien entwickelt und umgesetzt werden. Statt bisher vier Testszenarien (MaRisk) sind nun neun Testszenarien erforderlich:

  • Cyber-Angriffe und Übergänge zwischen der primären IKT-Infrastruktur und den redundanten Kapazitäten, Backups und redundanten Einrichtungen

  • Der Ausfall oder die Verschlechterung einer kritischen oder wichtigen Funktion

  • Der teilweise oder vollständige Ausfall von Räumlichkeiten

  • Ein erheblicher Ausfall von IKT-Anlagen oder der Kommunikationsinfrastruktur

  • Die Nichtverfügbarkeit einer kritischen Anzahl von Mitarbeitern oder von Mitarbeitern in Schlüsselpositionen

  • Naturkatastrophen, Pandemien und physische Angriffe, einschließlich Einbrüche und Terroranschläge

  • Insider-Angriffe

  • Politische und soziale Instabilität

  • Großflächige Stromausfälle

Diese Tests müssen dokumentiert und regelmäßig aktualisiert werden, um den sich ständig ändernden Bedrohungslandschaften gerecht zu werden.

Dokumentations- und Berichtsanforderungen

DORA stellt hohe Anforderungen an die Dokumentation und Berichterstattung: 

  • Detaillierte Berichte: Erstellen und Pflegen umfassender Berichte über IT-Sicherheitsmaßnahmen, Vorfälle und Reaktionsmaßnahmen.

  • Regelmäßige Überprüfungen: Dokumentation der Ergebnisse regelmäßiger Tests und Audits sowie der darauf basierenden Anpassungen. 

Die BCM-Pläne müssen entsprechend angepasst werden:

  • Neue Kommunikationsprotokolle: Festlegung klarer Kommunikationswege und Eskalationsprotokolle im Krisenfall.

  • Erweiterte Wiederherstellungsstrategien: Entwicklung detaillierter Pläne zur schnellen Wiederherstellung kritischer IT-Systeme.

  • Verantwortlichkeiten und Eskalationswege: Definition klarer Verantwortlichkeiten für die Bewältigung von IT-Vorfällen.

Identifikation von Compliance-Lücken

Eine gründliche Analyse bestehender BCM-Prozesse ist erforderlich, um Compliance-Lücken zu identifizieren und zu schließen. DORA erfordert möglicherweise erhebliche technologische und organisatorische Anpassungen:

  • Technologische Upgrades: Implementierung neuer IT-Sicherheitslösungen und Upgrades bestehender Systeme.

  • Organisatorische Veränderungen: Anpassung der Organisationsstruktur und -prozesse zur Einhaltung der DORA-Anforderungen.

  • Schulungs- und Sensibilisierungsmaßnahmen für Mitarbeiter: Regelmäßige Schulungen zu neuen Sicherheitsprotokollen und Bedrohungen sowie Krisenübungen zur Verbesserung der Reaktionsfähigkeit. 

Die Anpassung an DORA erfordert konkrete Änderungen in bestehenden BCM-Strukturen. Finanzunternehmen, die bereits BCM-Standards folgen, haben geringere Anpassungen. Für andere kann DORA tiefgreifende Veränderungen mit sich bringen. Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.

Bisher zum DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de