DORA - Teil 7: Die Vorgaben für das IKT-Risikomanagement
Der Regulierungsrahmen DORA (Digital Operational Resilience Act) gibt detaillierte Regeln für das operationelle Risikomanagement im Finanzsektor vor. Der Rechtsrahmen soll dafür sorgen, dass Unternehmen auf Störungen und Bedrohungen etwa durch Cyberangriffe in Verbindung mit IKT angemessen reagieren können.
In diesem siebten Teil der Artikelserie stelle ich die Anforderungen von DORA an das IKT-Risikomanagement vor.
Der IKT-Risikomanagement-Rahmen
In Kapitel II, Artikel 6, wird der Rahmen des IKT-Risikomanagement definiert. DORA fordert, dass Finanzunternehmen über einen soliden, umfassenden und gut dokumentierten Rahmen für das IKT-Risikomanagement verfügen. Diese soll es ihnen ermöglichen, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu gewährleisten.
Der Rahmen für das IKT-Risikomanagement umfasst zumindest Strategien, Grundsätze, Verfahren, IKT-Protokolle und Instrumente, die erforderlich sind, um alle Informationswerte und IKT-Vermögenswerte angemessen zu schützen. Dazu zählen Computersoftware, Hardware und Server sowie alle relevanten physischen Komponenten und Infrastrukturen wie Räumlichkeiten, Rechenzentren und sensible Bereiche. Damit soll gewährleistet werden, dass alle Informationswerte und IKT-Vermögenswerte vor Risiken wie Beschädigung und unbefugtem Zugang oder unbefugter Nutzung angemessen geschützt sind.
Die Finanzunternehmen stellen den zuständigen Behörden auf deren Anfrage vollständige und aktualisierte Informationen über IKT-Risiken und ihren IKT-Risikomanagementrahmen zur Verfügung.
Unabhängige Kontrollinstanz für das IKT-Risiko
Finanzunternehmen übertragen die Verantwortung für das Management und die Überwachung des IKT-Risikos einer Kontrollinstanz. Diese Kontrollinstanz soll über ein angemessenes Maß an Unabhängigkeit verfügen, um Interessenkonflikte zu vermeiden. Die Finanzunternehmen sorgen für eine angemessene Trennung und Unabhängigkeit der IKT-Risikomanagementfunktionen, der Kontrollinstanzen und der Innenrevisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Risikomanagement- und Kontrollmodell.
Dokumentation von IKT-Vorfällen
Der Rahmen für das IKT-Risikomanagement wird dokumentiert und mindestens einmal jährlich sowie bei größeren IKT-bezogenen Vorfällen und auf Anweisung der Aufsichtsbehörden oder aufgrund von Schlussfolgerungen aus einschlägigen Tests der digitalen operativen Belastbarkeit oder aus Prüfverfahren überprüft. Es wird auf der Grundlage der aus der Umsetzung und Überwachung gewonnenen Erkenntnisse kontinuierlich verbessert. Ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens ist der zuständigen Behörde auf deren Verlangen vorzulegen.
Prüfung durch Wirtschaftsprüfer
Der IKT-Risikomanagementrahmen von Finanzunternehmen wird regelmäßig im Einklang mit dem Prüfungsplan des Finanzunternehmens einer internen Prüfung durch Wirtschaftsprüfer unterzogen. Diese Prüfer müssen über ausreichende Kenntnisse, Fähigkeiten und Fachwissen in Bezug auf IKT-Risiken sowie über eine angemessene Unabhängigkeit verfügen. Die Häufigkeit und der Schwerpunkt der IKT-Prüfungen müssen dem IKT-Risiko des Finanzunternehmens angemessen sein.
Auf der Grundlage der Schlussfolgerungen aus der Überprüfung durch die Innenrevision richten die Finanzunternehmen ein förmliches Follow-up-Verfahren ein, das Regeln für die rechtzeitige Überprüfung und Behebung kritischer IKT-Auditfeststellungen enthält.
Strategie für die operationelle Resilienz
Der IKT-Risikomanagementrahmen umfasst eine Strategie für die digitale operationelle Resilienz, in der dargelegt wird, wie der Rahmen umgesetzt werden soll. Zu diesem Zweck muss die Strategie für die digitale operationelle Robustheit Methoden zur Bewältigung von IKT-Risiken und zur Erreichung spezifischer IKT-Ziele enthalten, indem
erläutert wird, wie der IKT-Risikomanagementrahmen die Geschäftsstrategie und die Ziele des Finanzinstituts unterstützt;
das Risikotoleranzniveau für IKT-Risiken festgelegt wird - im Einklang mit der Risikobereitschaft des Finanzinstituts und Analyse der Auswirkungstoleranz für IKT-Störungen;
klare Ziele für die Informationssicherheit festgelegt werden, einschließlich der wichtigsten Leistungsindikatoren und der wichtigsten Risikokennzahlen;
die IKT-Referenzarchitektur erläutert wird – einschließlich aller Änderungen, die zur Erreichung bestimmter Geschäftsziele erforderlich sind;
die verschiedenen Mechanismen dargelegt werden, die zur Erkennung von IKT-bezogenen Vorfällen eingesetzt werden;
die aktuelle digitale operationelle Belastbarkeit nachgewiesen wird - anhand der Anzahl der gemeldeten schwerwiegenden IKT-bezogenen Vorfälle und der Wirksamkeit der Präventivmaßnahmen;
Tests zur digitalen operationellen Robustheit durchgeführt werden;
eine Kommunikationsstrategie für IKT-bezogene Vorfälle entwickelt und offengelegt wird.
IKT-Multivendor-Strategie
Finanzunternehmen können im Zusammenhang mit der Strategie für die digitale operationelle Stabilität eine ganzheitliche IKT-Multivendor-Strategie auf Gruppen- oder Unternehmensebene festlegen. Darin zeigen sie die wichtigsten Abhängigkeiten von IKT-Drittdienstleistern auf und erläutern die Gründe für den Beschaffungsmix von IKT-Drittdienstleistern.
Im Einklang mit dem Unionsrecht und dem nationalen Branchenrecht können Finanzunternehmen die Aufgaben der Überprüfung der Einhaltung der Anforderungen an das IKT-Risikomanagement an gruppeninterne oder externe Unternehmen auslagern. Im Falle einer solchen Auslagerung bleibt das Finanzunternehmen in vollem Umfang für die Überprüfung der Einhaltung der Anforderungen an das IKT-Risikomanagement verantwortlich.
Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher erschienen:
DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
DORA - Teil 5: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de