IKT-Risikomanagement nach DORA

IKT-Risikomanagement nach DORA: Der Kern der digitalen Resilienz

Das IKT-Risikomanagement bildet das Herzstuck der DORA-Verordnung (Kapitel II, Artikel 5-16). Finanzunternehmen mussen einen umfassenden Rahmen fur das Management von Risiken der Informations- und Kommunikationstechnologie aufbauen, der alle Aspekte von der Governance uber die Identifikation bis zur Wiederherstellung abdeckt. Dieser Rahmen geht weit uber klassische IT-Sicherheitskonzepte hinaus und verlangt eine strategische Verankerung auf Leitungsebene.

Die DORA-Anforderungen zum IKT-Risikomanagement sind bewusst detailliert formuliert, um ein einheitliches Schutzniveau im gesamten EU-Finanzsektor sicherzustellen.

Governance und Verantwortung des Leitungsorgans (Art. 5)

Artikel 5 stellt unmissverstandlich klar: Die Gesamtverantwortung fur das IKT-Risikomanagement liegt beim Leitungsorgan des Finanzunternehmens. Das bedeutet konkret, dass Vorstand oder Geschaftsfuhrung nicht nur die Strategie genehmigen, sondern aktiv an der Steuerung der digitalen Resilienz mitwirken mussen.

Das Leitungsorgan muss insbesondere:

• Die IKT-Risikomanagementstrategie definieren, genehmigen und regelmassig uberprufen
• Angemessene Budgetmittel fur IKT-Sicherheit und digitale Resilienz bereitstellen
• Die IKT-Risikotoleranz des Unternehmens festlegen
• Sicherstellen, dass Mitglieder des Leitungsorgans ausreichende Kenntnisse und Fahigkeiten im Bereich IKT-Risiken erwerben und aufrechterhalten
• Eine klare Kontrollfunktion fur IKT-Risiken einrichten, die unabhangig von den operativen IT-Funktionen agiert

Besonders bemerkenswert: DORA sieht eine personliche Verantwortlichkeit der Leitungsorgane vor. Bei Verstossen konnen Sanktionen nicht nur das Unternehmen, sondern auch einzelne Geschaftsleiter treffen.

Der IKT-Risikomanagementrahmen (Art. 6)

Artikel 6 bildet das Grundgerust des gesamten IKT-Risikomanagements. Finanzunternehmen mussen einen soliden, umfassenden und gut dokumentierten Rahmen schaffen, der mindestens einmal jahrlich oder nach schwerwiegenden IKT-Vorfallen uberpruft wird.

Der Rahmen muss folgende Elemente umfassen:

• Strategien, Richtlinien und Verfahren fur den Schutz von Informations- und IKT-Vermogenswerten
• Protokolle und Tools, die zur Absicherung aller IKT-Systeme erforderlich sind
• Mechanismen zur Erkennung, Eindammung und Wiederherstellung bei IKT-bezogenen Vorfallen
• Klare Zuweisung von Rollen und Verantwortlichkeiten fur alle IKT-Risikomanagement-Funktionen
• Eine Kommunikationsstrategie fur IKT-bezogene Vorfalle

IKT-Systeme, Protokolle und Tools (Art. 7)

Artikel 7 verlangt, dass Finanzunternehmen zuverlassige und widerstandsfahige IKT-Systeme und -Tools einsetzen, die den Umfang der Geschaftstatigkeit und die damit verbundenen Risiken angemessen widerspiegeln. Die Systeme mussen so konzipiert sein, dass sie den Betrieb auch unter Stressbedingungen aufrechterhalten konnen.

Die technische Infrastruktur muss regelmassig aktualisiert werden. Finanzunternehmen mussen sicherstellen, dass ihre IKT-Systeme dem Stand der Technik entsprechen und potenzielle Schwachstellen zeitnah behoben werden. Dies umfasst auch die Pflicht zur Minimierung der Auswirkungen von IKT-Risiken durch den Einsatz geeigneter Technologien.

Identifikation von IKT-Risiken (Art. 8)

Die Identifikationsphase gemas Artikel 8 verlangt eine vollstandige Bestandsaufnahme aller IKT-gestützten Geschaftsfunktionen, Informationsvermogenswerte und IKT-Vermogenswerte. Finanzunternehmen mussen:

• Alle IKT-Vermogenswerte identifizieren, klassifizieren und dokumentieren, einschliesslich Hardware, Software, Netzwerkressourcen und Datenbestande
• Die Abhangigkeiten zwischen IKT-Vermogenswerten und Geschaftsfunktionen kartieren
• Risikobewertungen mindestens jahrlich sowie nach wesentlichen Anderungen durchfuhren
• Quellen fur IKT-Risiken identifizieren, insbesondere das Risiko durch IKT-Drittanbieter
• Eine Business-Impact-Analyse fur alle kritischen Geschaftsfunktionen erstellen

Schutz und Pravention (Art. 9)

Artikel 9 definiert die praventiven Schutzmassnahmen, die Finanzunternehmen umsetzen mussen. Dazu gehoren:

• Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung (Least Privilege) und Need-to-Know-Basis
• Starke Authentifizierungsmechanismen einschliesslich Multi-Faktor-Authentifizierung
• Verschlusselung von Daten im Ruhezustand und bei der Ubertragung
• Netzwerksicherheit: Segmentierung, Firewalls, Intrusion Detection/Prevention
• Patch-Management mit definierten Zeitrahmen fur die Behebung von Schwachstellen
• Regelmassige Schulungs- und Sensibilisierungsprogramme fur alle Mitarbeiter

Erkennung anomaler Aktivitaten (Art. 10)

Finanzunternehmen mussen gemas Artikel 10 Mechanismen zur Erkennung anomaler Aktivitaten implementieren. Dies umfasst die kontinuierliche Uberwachung von Netzwerkverkehr, Benutzeraktivitaten und IKT-Systemen auf Anomalien, die auf Cyberangriffe oder andere IKT-bezogene Vorfalle hindeuten konnten.

Die Erkennungsmechanismen mussen mehrere Schutzebenen umfassen und in der Lage sein, potenzielle Schwachstellen sowie sicherheitsrelevante Ereignisse zeitnah zu identifizieren. Dazu gehoren unter anderem SIEM-Systeme, Intrusion-Detection-Systeme und automatisierte Alarmierungsprozesse. Die Ergebnisse der Uberwachung mussen dokumentiert und regelmassig ausgewertet werden.

Reaktion und Wiederherstellung (Art. 11-12)

Die Artikel 11 und 12 regeln die Reaktions- und Wiederherstellungsfahigkeit. Finanzunternehmen mussen einen umfassenden IKT-Geschaftsfortfuhrungsplan (Business Continuity Plan) aufstellen, der alle kritischen Geschaftsfunktionen abdeckt.

Der Reaktionsplan muss konkret definieren:

• Eskalationsverfahren mit klaren Schwellenwerten fur die Aktivierung des Krisenmanagements
• Krisenmanagement-Funktionen mit definierten Rollen, Kommunikationsprotokollen und Entscheidungsbefugnissen
• Wiederherstellungsziele (Recovery Time Objective und Recovery Point Objective) fur alle kritischen Systeme
• Umschaltprozesse auf Backup-Systeme und redundante Infrastrukturen

Backup-Richtlinien (Art. 12)

Artikel 12 konkretisiert die Anforderungen an Backup- und Wiederherstellungsverfahren. Finanzunternehmen mussen Backup-Richtlinien erstellen, die den Umfang, die Haufigkeit und die Aufbewahrungsdauer von Datensicherungen festlegen. Die Backups mussen regelmassig getestet werden, um ihre Vollstandigkeit und Funktionsfahigkeit sicherzustellen. Besonders kritisch: Backup-Systeme mussen physisch und logisch von den Primarumgebungen getrennt sein, um Schutz vor Ransomware und anderen gleichzeitig wirkenden Bedrohungen zu gewahrleisten.

Lernprozesse und Weiterentwicklung (Art. 13)

Artikel 13 verlangt, dass Finanzunternehmen systematische Lernprozesse aus IKT-bezogenen Vorfallen und aus den Ergebnissen von Resilienztests etablieren. Nach jedem schwerwiegenden Vorfall muss eine Post-Incident-Analyse durchgefuhrt werden. Die gewonnenen Erkenntnisse mussen dokumentiert und in die kontinuierliche Verbesserung des IKT-Risikomanagementrahmens einfliessen.

Die Ergebnisse von Resilienztests und Bedrohungsanalysen mussen ebenfalls systematisch ausgewertet und fur die Aktualisierung der Schutz- und Praventionsmassnahmen verwendet werden.

Kommunikation (Art. 14)

Artikel 14 verpflichtet Finanzunternehmen zur Einrichtung von Kommunikationsplanen fur IKT-bezogene Vorfalle. Diese Plane mussen sowohl die interne Kommunikation (an Mitarbeiter, Leitungsorgane und Kontrollinstanzen) als auch die externe Kommunikation (an Kunden, Gegenparteien und die Offentlichkeit) abdecken.

Fur die Meldepflicht bei schwerwiegenden IKT-Vorfallen gelten besondere Fristen und Formate, die in Kapitel III der DORA-Verordnung detailliert geregelt sind.

Zusammenfassung: Die Saule des IKT-Risikomanagements

Vereinfachter Rahmen fur Kleinstunternehmen (Art. 16)

DORA erkennt an, dass nicht alle Finanzunternehmen die gleiche Komplexitat und Risikoexposition aufweisen. Artikel 16 sieht daher einen vereinfachten IKT-Risikomanagementrahmen fur Kleinstunternehmen vor, die bestimmte Grossenkriterien erfullen. Der vereinfachte Rahmen behalt die Grundprinzipien bei, reduziert jedoch die Dokumentations- und Prozessanforderungen.

Ob dein Unternehmen fur den vereinfachten Rahmen qualifiziert ist und welche konkreten Erleichterungen gelten, erfährst du auf unserer Seite zur DORA-Proportionalitat und dem vereinfachten Rahmen.

Praktische Umsetzung: Wo anfangen?

Die Breite der Anforderungen in Kapitel II kann uberwáltigend wirken. Ein strukturierter Ansatz hilft, die Umsetzung effizient zu gestalten:

• Gap-Analyse durchfuhren: Bestehende IKT-Risikomanagement-Prozesse gegen die DORA-Anforderungen mappen. Nutze unsere DORA-Checkliste als Ausgangspunkt.
• Governance zuerst: Beginne mit der Verankerung auf Leitungsebene (Art. 5). Ohne Governance-Commitment bleibt alles andere Stuckwerk.
• Bestandsaufnahme: Erstelle ein vollstandiges Inventar aller IKT-Vermogenswerte und deren Abhangigkeiten (Art. 8).
• Prioritaten setzen: Fokussiere auf die Bereiche mit dem grossten Risiko und dem grossten Delta zu den DORA-Anforderungen.
• Dokumentation: DORA verlangt umfassende Dokumentation. Ein GRC-Tool wie Kopexa hilft, die Anforderungen strukturiert abzubilden und Nachweise zentral zu verwalten.