DORA und Softwareunternehmen: Vorgaben für das IKT-Sicherheitsmanagement

IKT-Risikomanagement und digitale Resilienz im Finanzsektor: Ein Überblick über DORA-Vorgaben

Der Finanzsektor sieht sich zunehmend mit komplexen IKT-Risiken konfrontiert, die nicht nur technische, sondern auch betriebliche, rechtliche und wirtschaftliche Auswirkungen haben können. Um diesen Risiken wirksam zu begegnen, hat die EU mit der Digital Operational Resilience Act (DORA) einen umfassenden rechtlichen Rahmen geschaffen, der Finanzunternehmen verpflichtet, ein robustes IKT-Risikomanagement zu etablieren. Die wichtigsten Bestimmungen der DORA im Hinblick auf das Risikomanagement und die digitale Resilienz sind im Folgenden zusammengefasst.

IKT-Risikomanagementrahmen: Grundlegende Anforderungen

Die DORA stellt klare Anforderungen an den Aufbau eines effektiven IKT-Risikomanagementrahmens. Finanzunternehmen müssen sicherstellen, dass sie über einen Governance- und Kontrollrahmen verfügen, der ein umsichtiges Management von IKT-Risiken gewährleistet (Art. 5). Dies schließt eine ordnungsgemäße Dokumentation und regelmäßige Überprüfung der IKT-Risikomanagementmaßnahmen ein. Ein solcher Rahmen muss mindestens einmal jährlich überprüft und auf den neuesten Stand gebracht werden (Art. 6 Abs. 1).

Verantwortung des Leitungsorgans

Eine der zentralen Vorgaben der DORA ist die Verantwortung des Leitungsorgans für das IKT-Risikomanagement. Laut Art. 5 Abs. 2 trägt das Leitungsorgan die letztendliche Verantwortung für das Management der IKT-Risiken. Hierzu gehören nicht nur die strategische Ausrichtung, sondern auch die operative Umsetzung und die Kontrolle aller IKT-bezogenen Maßnahmen. Dies umfasst unter anderem:

• Festlegung von Leitlinien für die Sicherstellung hoher Standards in Bezug auf Verfügbarkeit, Integrität und Vertraulichkeit von Daten.
• Verantwortung für digitale Resilienz: Das Leitungsorgan ist dafür zuständig, eine Strategie für die digitale operationale Resilienz zu entwickeln und regelmäßig zu genehmigen.
• Überwachung und Budgetierung: Es genehmigt die IKT-Geschäftsfortführungsrichtlinien und sorgt für eine regelmäßige Überprüfung der zugewiesenen Ressourcen, um sicherzustellen, dass die digitalen Resilienzmaßnahmen ausreichend finanziert sind.

Ein weiterer wichtiger Punkt ist die Verantwortung für die regelmäßige Überprüfung von IKT-Reaktions- und Wiederherstellungsplänen sowie die Kontrolle von Vereinbarungen mit IKT-Drittanbietern. Dies betont die Notwendigkeit einer engen und transparenten Zusammenarbeit mit externen Dienstleistern.

Identifikation, Prävention, Erkennung und Reaktion auf IKT-Risiken

Die DORA verfolgt einen systematischen Ansatz zur Handhabung von IKT-Risiken. In den Artikeln 8 bis 11 wird der Plan-Do-Check-Act-Zyklus detailliert beschrieben, der sicherstellt, dass IKT-Risiken fortlaufend identifiziert, präventiv verhindert, erkannt und angemessen darauf reagiert werden. Dieser proaktive Ansatz stellt sicher, dass Finanzunternehmen auch im Falle eines Sicherheitsvorfalls schnell und effektiv handeln können.

Sensibilisierung und Schulung der Mitarbeiter

Ein weiterer Aspekt, der zunehmend an Bedeutung gewinnt, ist die Schulung und Sensibilisierung der Mitarbeiter. Art. 13 Abs. 6 verlangt, dass Finanzunternehmen Programme zur Sensibilisierung für IKT-Sicherheit entwickeln und diese regelmäßig durchführen. Dabei müssen die Schulungsprogramme speziell auf die unterschiedlichen Aufgabenbereiche der Mitarbeiter zugeschnitten sein und auch die Drittanbieter einbeziehen, die IKT-Dienstleistungen erbringen. So wird sichergestellt, dass alle Beteiligten im Umgang mit IKT-Risiken und digitalen Bedrohungen gut vorbereitet sind.

Backup-Management und Wiederherstellung im Ernstfall

Ein zentrales Thema für die digitale Resilienz von Finanzunternehmen ist die Sicherstellung der Datenintegrität und der schnellen Wiederherstellung von IKT-Systemen und -Daten im Falle eines Vorfalls. In Art. 12 wird das Backup-Management detailliert geregelt. Finanzunternehmen müssen Verfahren und Richtlinien entwickeln, um die Wiederherstellung von IKT-Systemen nach einem Vorfall mit minimaler Ausfallzeit zu gewährleisten. Hierzu gehört auch die Sicherstellung, dass Datensicherungssysteme regelmäßig getestet werden und die gesicherten Daten an einem sicheren, physisch und logisch getrennten Ort aufbewahrt werden.

Für größere Finanzunternehmen wird zudem gefordert, dass sie redundante IKT-Kapazitäten unterhalten, um die Geschäftskontinuität auch im Falle eines Ausfalls sicherzustellen. Für Kleinstunternehmen besteht eine gewisse Flexibilität, sodass sie nur dann redundant arbeiten müssen, wenn dies als notwendig erachtet wird.

Fazit

Die DORA stellt hohe Anforderungen an das Risikomanagement und die digitale Resilienz von Finanzunternehmen. Durch die klare Zuweisung von Verantwortlichkeiten, regelmäßige Überprüfungen und die Verpflichtung zur Sensibilisierung und Schulung der Mitarbeiter wird ein ganzheitlicher Ansatz zur Sicherstellung der IKT-Sicherheit geschaffen. Finanzunternehmen müssen sich kontinuierlich an die neuen Herausforderungen der digitalen Welt anpassen, um ihre Betriebsfähigkeit und die Vertraulichkeit der Kundendaten zu sichern. In der Praxis bedeutet dies nicht nur die Implementierung modernster Technologie, sondern auch eine umfassende Governance-Struktur, die eine schnelle und effektive Reaktion auf potenzielle Risiken gewährleistet.

Möchten Sie mehr darüber erfahren, wie Sie Ihr Unternehmen auf die neuen Anforderungen der DORA vorbereiten können? Besuchen Sie unsere Softwarerechts-Online-Akademie, um sich weiterzubilden und Ihr Wissen über digitale rechtliche Herausforderungen zu vertiefen!

‍