Der Regulierungseifer der EU-Kommission hat kaum eine Branche ausgelassen, auch wenn in letzter Zeit vor allem Verordnungen für den Technologiesektor in den Schlagzeilen standen, wie der eben in Kraft getretene Digital Services Act oder der kommende AI Act zur Regulierung von Künstlicher Intelligenz. Doch Anfang dieses Jahres ist auch "Digital Operational Resilience Act" (DORA) in Kraft getreten.
DORA ist Teil des digitalen Finanzpakets der EU-Kommission vom September 2020 mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen und richtet sich an alle Finanzdienstleister innerhalb der EU. Ziel ist es, Cyberbedrohungen auf dem Finanzmarkt frühzeitig zu identifizieren und Angriffsflächen abzusichern. Für die von DORA betroffenen Unternehmen gibt es eine Übergangsfrist bis zum 17. Januar 2025, um die Verordnung vollständig umzusetzen. Zur Konkretisierung der Anforderungen veröffentlichen die Europäischen Aufsichtsbehörden technische Regulierungsstandards; die ersten Entwürfe dafür liegen seit dem 19. Juni vor.
DORA erweitert die bislang bestehende Regelungen wie beispielsweise MaGo/MaRisk oder VAIT/BAIT, indem die Verordnung einen konsequent von dem IKT-Risikomanagement gedachten Ansatz fordert, der in der Organisation und ihren Prozessen verankert werden muss. Dieser Ansatz wird als Basis für ein widerstandsfähiges Finanzunternehmen gesehen, um seine operationale Resilienz zu stärken.
Risikomanagement muss ganzheitlich sein
DORA legt großen Wert auf die Gesamtverantwortung des Leitungsorgans für die digitale Betriebsstabilität. Das Management muss dafür sorgen, dass das Unternehmen ausreichend vor Informations- und Kommunikationstechnologie (IKT)-Störungen und Cyberangriffen geschützt ist. Zu einem Rahmenwerk für ein ganzheitliches IKT-Risikomanagement-gehören beispielsweise eine effektive Überwachung der Risiken durch IKT-Drittanbieter sowie ein umfassendes Testprogramm.
Um DORA bis 2025 effektiv umzusetzen und dazu beizutragen, das Unternehmen gegen potenzielle Gefährdungen zu schützen, ist es notwendig, die einzelnen Disziplinen zu harmonisieren. Hierzu sollten vorhandene Tools genutzt oder ein zentrales Tool implementiert werden, um Risiken und Kontrollen effizient zu managen und zu steuern.
Ein zentrales Dashboard bietet - auch bei Verwendung unterschiedlicher Tools - die Möglichkeit, die Risikoexposition des Unternehmens auf einen Blick darzustellen. Gleichzeitig bietet es aber auch die Möglichkeit, nach den verschiedenen Disziplinen zu filtern, die im Rahmen von DORA betrachtet werden, wie beispielsweise das IKT Incident Reporting oder das Management von IKT-Drittparteienrisiken.
Für diese Abbildung hat ServiceNow eine flexible Plattform entwickelt. Modulare Bausteine innerhalb dieser Plattform helfen, die regulatorischen Anforderungen zeitnah und adäquat umzusetzen.
Ein Umsetzungskonzept in fünf Stufen
Ergänzend hat ServiceNow vor kurzem ein E-Book veröffentlicht, um Technologierisiken im Banking zu bewältigen, das Finanzdienstleistern die folgenden Massnahmen empfiehlt:
Das Erstellen eines zentralen Rahmens für das unternehmensweite Risikomanagement;
Die Fähigkeit, Zwischenfälle (Incidents) in Echtzeit zu melden;
Ein proaktives Management der Risiken, die von Drittanbietern und Partnern ausgehen;
Regelmäßige Tests der digitalen operationellen Widerstandsfähigkeit, um die Effektivität der Maßnahmen zur Verbesserung der operativen Belastbarkeit zu bewerten;
Einen guten Informationsaustausch zwischen den kritischen Funktionen des Unternehmens, die für die Erbringung der Finanzdienstleistungen zuständig sind.
Für alle fünf Punkte gilt, dass erst digitale Abläufe im Unternehmen proaktive Strategien zur Schadensbegrenzung ermöglichen. Entsprechend kann DORA als ein willkommener Impuls verstanden werden, die Prozessdigitalisierung und -automatisierung im Hinblick auf die bestehende Deadline entschieden voranzutreiben.
Als Erstes ein Bild über den Ist-Zustand
Als ersten Schritt in Richtung DORA-Compliance empfiehlt ServiceNow, zunächst eine Aufnahme des Ist-Zustandes durchzuführen. Dabei evaluieren die Experten von KPMG das bestehende Rahmenwerk auf Basis von Dokumenten und Gesprächen, damit gemeinsam mit ServiceNow eine Analyse der bestehenden Tool-Landschaft durchgeführt werden kann.
Für die Ableitung von Gaps und die Entwicklung der Maßnahmen werden relevante Compliance- oder Cyber-Projekte berücksichtigt, um zu einer nachhaltigen und effizienten Umsetzung beitragen zu können.
Bei vielen Themenbereichen und insbesondere bei der Verbindung der einzelnen Disziplinen sind Tool-Lösungen und eine integrierte Resilienz-Sichtweise unumgänglich. Hier bietet die Plattform von ServiceNow eine Lösung, die gemeinsam mit den KPMG-Experten individuell und flexibel etabliert bzw. implementiert werden kann.
DORA ist sowohl für KPMG als auch für ServiceNow ein Schlüsselthema, das auf einer kombinierten regulatorischen und technologischen Expertise aufbaut. Aus diesem Grund bündeln die beiden Unternehmen ihre Kräfte, um Finanzdienstleister auf ihrem Weg zur DORA-Compliance zu begleiten.
Das DORA-Factsheet von KPMG Deutschland fasst die DORA-Anforderungen an Finanzdienstleister übersichtlich zusammen, während eine aktuelle ServiceNow-Broschüre erörtert, wie die verschiedenen internen Stakeholder - CIO, CISO, Facility Manager, Personalmanager sowie Manager von Drittanbietern - an der Entwicklung der betrieblichen Ausfallsicherheit im Unternehmen teilnehmen können.
Wie sich darüber hinaus Risikoanalysen im Finanzbereich automatisieren lassen, erfahren Sie hier. Wie ServiceNow Ihnen helfen kann, Ihr betriebliches Resilienzmanagement zu verbessern, erfahren Sie hier.