Kontakt
Kontakt

Autor: tebln

DORA – EU Digital Operational Resilience Act – ein Überblick

Entstehung und Ziele des DORA – EU Digital Operational Resilience Act

Der EU Digital Operational Resilience Act, kurz DORA, wurde als Antwort auf die wachsenden Herausforderungen im Bereich der Cybersecurity und digitalen Resilienz entwickelt. In einer Zeit, in der die Finanzbranche immer stärker von digitalen Technologien abhängig ist, wurde es notwendig, ein umfassendes Regelwerk zu schaffen, um die Stabilität und Sicherheit des europäischen Finanzsystems zu gewährleisten.

Die Ziele von DORA sind vielfältig:

  • Verbesserung der Cybersecurity: DORA hat zum Ziel, die digitale Resilienz von Finanzinstituten und kritischen Dienstleistern zu stärken, indem es strengere Sicherheitsstandards einführt. Dies soll dazu beitragen, Cyberangriffe zu verhindern oder besser darauf reagieren zu können.
  • Erhöhung der Transparenz: Das Gesetz fördert die Zusammenarbeit zwischen Finanzinstituten und Aufsichtsbehörden und erhöht die Transparenz in Bezug auf Cybersecurity-Vorfälle. Dies ermöglicht eine schnellere Reaktion auf Bedrohungen.
  • Gewährleistung der Kontinuität: DORA zielt darauf ab, die Kontinuität von kritischen Dienstleistungen im Finanzsektor sicherzustellen, selbst bei schwerwiegenden digitalen Störungen.

Anwendungsbereich des DORA

DORA erstreckt sich auf eine breite Palette von Unternehmen im Finanzsektor. Dazu gehören:

  • Finanzinstitute: Dies umfasst Banken, Versicherungsgesellschaften, Kreditinstitute und andere Finanzdienstleister.
  • Kritische Dienstleister: Unternehmen, die als entscheidend für das Funktionieren des Finanzsystems gelten, wie z. B. Clearingstellen, Wertpapierverwahrstellen und Zentralverwahrer.
  • Digitale Dienstleister: Dazu gehören Unternehmen, die digitale Dienstleistungen für Finanzinstitute oder kritische Dienstleister erbringen.

Der Anwendungsbereich von DORA ist breit gefasst, um sicherzustellen, dass die gesamte Branche die erforderlichen Maßnahmen zur Stärkung der digitalen Resilienz ergreift.

Inhalte im Überblick

Der EU Digital Operational Resilience Act (DORA) legt eine umfassende Reihe von Anforderungen und Vorschriften fest, die darauf abzielen, die digitale Resilienz im Finanzsektor zu stärken und die Risiken von Cyberangriffen und digitalen Störungen zu minimieren. Hier sind die Hauptpunkte des DORA im Überblick:

  • Cybersecurity-Anforderungen: Finanzinstitute, kritische Dienstleister und digitale Dienstleister müssen robuste Cybersecurity-Maßnahmen implementieren. Dies umfasst die Notwendigkeit, effektive Schutzmaßnahmen zu entwickeln, Schwachstellen zu identifizieren und Gegenmaßnahmen zu ergreifen, um Cyberangriffe zu verhindern oder zu begrenzen.
  • Meldung von Vorfällen: DORA legt klare Richtlinien für die Meldung von Cybersecurity-Vorfällen fest. Unternehmen sind verpflichtet, Vorfälle den zuständigen Behörden zu melden und alle relevanten Informationen bereitzustellen. Dies ermöglicht eine schnellere Reaktion und koordinierte Maßnahmen.
  • Mindeststandards für IT-Sicherheit: Der Akt definiert Mindeststandards für die IT-Sicherheit, die von Finanzinstituten und kritischen Dienstleistern erfüllt werden müssen. Dazu gehören regelmäßige Sicherheitsprüfungen, Risikobewertungen und die Implementierung von Notfallplänen zur Wiederherstellung der Dienstleistungen nach digitalen Störungen.
  • Prüfungen und Sanktionen: DORA führt Mechanismen zur Überprüfung der Einhaltung dieser Vorschriften ein. Aufsichtsbehörden sind berechtigt, Prüfungen durchzuführen, um sicherzustellen, dass Unternehmen die erforderlichen Standards erfüllen. Bei Verstößen gegen die Bestimmungen des DORA-Gesetzes können erhebliche Geldstrafen verhängt werden.

Handlungsbedarf für Unternehmen

Die Einführung des DORA-Gesetzes erfordert von Unternehmen im Finanzsektor einen aktiven Handlungsbedarf, um die neuen Anforderungen zu erfüllen und die digitale Resilienz zu stärken. Hier sind einige wichtige Schritte, die Unternehmen unternehmen müssen:

  • Cybersecurity-Maßnahmen verbessern: Unternehmen müssen ihre Cybersecurity-Strategien und -Maßnahmen überprüfen und gegebenenfalls aktualisieren. Dies kann die Implementierung fortschrittlicher Sicherheitstechnologien, die Schulung des Personals in Bezug auf Sicherheitsbewusstsein und die Entwicklung eines umfassenden Sicherheitskonzepts umfassen.
  • Meldung und Reaktionsfähigkeit stärken: Es ist entscheidend, klare Verfahren zur Meldung von Cybersecurity-Vorfällen und zur schnellen Reaktion auf Bedrohungen zu entwickeln. Dies beinhaltet die Schulung von Mitarbeitern, um verdächtige Aktivitäten zu erkennen und die Meldung von Vorfällen zu erleichtern.
  • Compliance-Programme etablieren: Unternehmen müssen Compliance-Programme einführen, die sicherstellen, dass sie den gesetzlichen Anforderungen des DORA entsprechen. Dies umfasst die regelmäßige Überprüfung der Sicherheitsmaßnahmen und die Dokumentation von Maßnahmen zur Einhaltung der Vorschriften.
  • Sensibilisierung und Schulung: Die Sensibilisierung der Mitarbeiter für Cybersecurity ist von entscheidender Bedeutung. Schulungen und Schulungsprogramme sollten entwickelt werden, um das Bewusstsein für Sicherheitsrisiken zu stärken und die Mitarbeiter in die Lage zu versetzen, sicherheitsrelevante Aufgaben effektiv auszuführen.

Die Umsetzung dieser Maßnahmen erfordert eine umfassende Anstrengung von Unternehmen, um die digitale Resilienz im Finanzsektor zu stärken und die Sicherheit und Stabilität des europäischen Finanzsystems zu gewährleisten. Die Zusammenarbeit mit Aufsichtsbehörden und die kontinuierliche Überwachung der sich entwickelnden Bedrohungslandschaft sind ebenfalls entscheidend, um den Anforderungen des DORA gerecht zu werden.

Der ISA [DE] 315 (2019 revised) ist für den Prüfungszeitraum 2023 anzuwenden – was ändert sich?

Die Finanzberichterstattungsrahmen und die Governance-Strukturen werden immer komplexer, und die Technologie spielt eine zunehmend wichtige Rolle in der Kontrollumgebung von Unternehmen. Diese Veränderungen erfordern einen umfassenderen und konsequenten Prozess zur Identifikation und Bewertung von Risiken.

Wirtschaftsprüfer/innen spielen bei der Sicherstellung von Qualität und Vertrauen in die Finanzberichterstattung von Unternehmen eine entscheidende Rolle. Ein zentraler Aspekt der Jahresabschlussprüfung besteht darin, ausreichende Prüfungshandlungen durchzuführen, um geeignete Prüfnachweise und Prüfungssicherheit zu erhalten und die Risiken wesentlicher Fehlern und Falschdarstellungen in der Rechnungslegung einschätzen bzw. ausschließen zu können.

Das International Auditing and Assurance Standards Board („IAASB“) hat eine überarbeitete, internationale Version des Prüfungsstandards ISA 315 im Dezember 2019 herausgegeben. Der deutsche Standard ISA [DE] 315 (2019 revised) wurde durch das Institut der Wirtschaftsprüfer (IDW) überarbeitet und in Heft 6/2022 der IDW Life veröffentlicht.

Was ist das Ziel des neuen Standards?

Die Überarbeitung der ISA 315 zielte darauf ab, einen systematischeren Prozess der Identifikation und Bewertung von Risiken zu fördern, was wiederum zu besseren Reaktionen auf die identifizierten Risiken führt und die Prüfungshandlungen des Wirtschaftsprüfers auf die Behandlung und Bewertung dieser Risiken fokussiert. Der bisherige Standard berücksichtigte zudem nicht den Einsatz von automatisierten Tools und Techniken und führt spezifische Leitlinien zur Verwendung automatisierter Tools und Techniken durch Wirtschaftsprüfer ein.

Der neue Standard zielt darauf ab:

  • Die Herangehensweise der Wirtschaftsprüfer an das Verständnis des Unternehmens, des Geschäftsmodells, der Branche und des Umfeld sowie der Aktivitäten zum internen Risikomanagement und Überwachung des IKS zu schärfen und bei der Risikoidentifikation und -bewertung zu berücksichtigen.
  • Den Standard flexibler zu gestalten, indem prinzipienbasierte Anforderungen überarbeitet und spezifische Überlegungen sowie Beispiele in den Anwendungshinweisen für weniger komplexe und komplexere Unternehmen aufgenommen werden und diesen auch für KMUs anwendbar zu machen.
  • Die Anwendung des Standards durch Wirtschaftsprüfer zu unterstützen, indem die Anwendungshinweise verbessert werden.

Der überarbeitete Standard gilt für Perioden, die am oder nach dem 15. Dezember 2021 beginnen.

Hauptänderungen

  • Zahlreiche Begriff werden neu eingeführt bzw. im Vergleich zum IDW PS 330 synonym neu definiert. Dazu gehören beispielsweise „bedeutende Arten von Geschäftsvorfällen, Kontensalden sowie Abschlussangaben (EN: „SCOTABD – Significant classes of transactions, account balances or disclosures“), „Risiken, die aus dem Einsatz von IT resultieren“ (EN: „RAIT – Risks arising from the use of IT“) oder auch „Kontrollaktivitäten über Journalbuchungen“ (EN: „JEC – Journal Entry Controls“), um nur einige zu nennen.
  • Eine verstärkte Betonung der professionellen Skepsis. Insbesondere wird verlangt, alle aus den Risikobewertungsverfahren gewonnenen Beweise, ob bestätigend oder widersprüchlich, zu berücksichtigen und zu bewerten, ob diese eine angemessene Grundlage für die Risikobewertung bieten. Die Dokumentation kann dabei auch die Art und Weise enthalten, wie der Wirtschaftsprüfer die Beweise bewertet hat.
  • Einführung eines neuen Spektrums von Risiken, bei denen sich am oberen Ende erhebliche Risiken befinden. Dies soll dazu führen, dass gezielter auf identifizierte Risiken reagiert wird.
  • Die separate Bewertung des inhärenten Risikos und des Kontrollrisikos sowie die Einführung von fünf neuen Faktoren des inhärenten Risikos zur Unterstützung der Risikobewertung: Subjektivität, Komplexität, Unsicherheit, Veränderung und Anfälligkeit für Fehler aufgrund von Management-Bias oder Betrug.
  • Die Erweiterung des Standards um Überlegungen der Wirtschaftsprüfer in Bezug auf IT, einschließlich neuer und aktualisierter Anhänge zur Verständnis der IT und der IT-allgemeinen Kontrollen. Wirtschaftsprüfer müssen ein Verständnis für Informationsverarbeitungsaktivitäten gewinnen und Risiken identifizieren, die aus der Nutzung von IT resultieren. Der Standard ermöglicht es Wirtschaftsprüfern, automatisierte Tools zur direkten Informationsbeschaffung oder zum digitalen Download aus den Informationssystemen des Unternehmens zu verwenden.
  • Es wird konkretisiert, welche IT-Systeme (neu: Informationssysteme) und allgemeinen IT-Kontrollen (GITC) und indirekte Kontrollen zu prüfen sind, um die Wirksamkeit von direkten Kontrollen, die auf ein Prüfungsrisiko wirken, zu bewerten.
  • Die Überarbeitung des Begriffs „Interne Kontrolle“ zu „System der internen Kontrollen des Unternehmens“. Darunter fallen Kontrollen, die ein erhebliches Risiko ansprechen, Kontrollen über Buchungssätze, Kontrollen, die der Wirtschaftsprüfer auf Wirksamkeit testen möchte sowie andere Kontrollen, die der Wirtschaftsprüfer für angemessen hält. Eine wichtige Aufgabe des Managements besteht darin, ein System der internen Kontrollen zu etablieren und aufrechtzuerhalten. Der Wirtschaftsprüfer muss das Design jeder für die Prüfung relevanten Kontrolle prüfen und sicherstellen, dass sie ordnungsgemäß umgesetzt wurde.

Dieser Standard wird damit zu einer Erhöhung der Qualität der Prüfung durch die Prüfungsteams führen, erhöht jedoch den Anspruch an das Verständnis des Unternehmensumfelds und der Informationsverarbeitungsprozesse und deren Abbildung in den IT-Systemen und des eingerichteten Kontrollsystems.

Kleinere und mittelgroße Kanzleien müssen ihr Vorgehen, insbesondere zu Risikoerfassung, der Reaktion auf diese und die Dokumentation der Prüfungsstrategie anpassen und ihre Prüfungsteams auf die Anwendung der Vorgehensweise nach dem ISA [DE] 315 (2019 revised) schulen.

NIS 2 – Die neue EU-Richtlinie zur Erhöhung der Cybersicherheit

Die Digitalisierung schreitet unaufhaltsam voran und damit auch die Bedrohungen für die Cybersicherheit. Um diesen Herausforderungen zu begegnen, hat die Europäische Union (EU) im Jahr 2016 die erste Richtlinie zur Erhöhung der Cybersicherheit (NIS 1) verabschiedet. Nun steht mit NIS 2 eine neue Richtlinie in den Startlöchern, die noch umfassender und strenger ist.

Entstehung von NIS 2

Die Entstehung von NIS 2 geht auf die Erfahrungen und Erkenntnisse aus der Umsetzung von NIS 1 zurück. Die erste Richtlinie hatte zum Ziel, die Cybersicherheit in kritischen Infrastrukturen wie Energieversorgung, Verkehr oder Gesundheitswesen zu erhöhen. Doch es zeigte sich, dass die Umsetzung in den Mitgliedsstaaten sehr unterschiedlich erfolgte und es an einheitlichen Standards und klaren Zuständigkeiten mangelte.

Daher hat die EU-Kommission im Dezember 2020 den Entwurf für NIS 2 vorgelegt, der nun von den Mitgliedsstaaten diskutiert und umgesetzt werden soll. Die neue Richtlinie soll die Cybersicherheit in allen Bereichen stärken und einheitliche Standards und Zuständigkeiten schaffen.

Inhalte von NIS 2

NIS 2 umfasst eine Vielzahl von Maßnahmen und Regelungen, die auf die Erhöhung der Cybersicherheit abzielen. Dazu gehören unter anderem:

  • Erweiterung des Anwendungsbereichs: NIS 2 soll nicht nur für kritische Infrastrukturen gelten, sondern für alle Unternehmen und Organisationen, die digitale Dienste anbieten oder von ihnen abhängig sind.
  • Verpflichtende Meldung von Sicherheitsvorfällen: Unternehmen und Organisationen müssen Sicherheitsvorfälle, die Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit von digitalen Diensten haben, innerhalb von 24 Stunden melden.
  • Erhöhung der Anforderungen an Sicherheitsmaßnahmen: Unternehmen und Organisationen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dazu gehören unter anderem regelmäßige Risikoanalysen, Schulungen der Mitarbeiterinnen und Mitarbeiter und die Umsetzung von Sicherheitsstandards.
  • Schaffung eines EU-weiten Zertifizierungssystems: Unternehmen und Organisationen können sich freiwillig zertifizieren lassen, um ihre Cybersicherheit nachzuweisen. Das Zertifizierungssystem soll EU-weit einheitlich sein und auf internationalen Standards basieren.

Handlungsbedarfe und konkrete Maßnahmen

Die Umsetzung von NIS 2 erfordert von Unternehmen und Organisationen ein hohes Maß an Engagement und Investitionen in die Cybersicherheit. Insbesondere kleine und mittelständische Unternehmen (KMU) stehen vor großen Herausforderungen, da sie oft nicht über die Ressourcen und das Know-how verfügen, um die Anforderungen von NIS 2 umzusetzen.

Um die Anforderungen der NIS-Richtlinie zu erfüllen, sollten KMUs (kleine und mittlere Unternehmen) in der Europäischen Union folgende Maßnahmen ergreifen:

  1. Bewertung der kritischen Infrastruktur: Identifizieren Sie die wesentlichen Netzwerke, Systeme und Dienste, die für den Geschäftsbetrieb Ihres Unternehmens von zentraler Bedeutung sind.
  2. Risikobewertung: Führen Sie eine umfassende Risikobewertung durch, um potenzielle Bedrohungen, Schwachstellen und Risiken zu identifizieren, die Ihre Netzwerk- und Informationssicherheit beeinträchtigen könnten.
  3. Sicherheitsmaßnahmen implementieren: Ergreifen Sie geeignete technische und organisatorische Maßnahmen, um die Sicherheit Ihrer Netzwerke und Informationen zu gewährleisten. Dazu gehören z. B. Firewalls, Antivirus-Software, Verschlüsselung und Zugriffskontrollen.
  4. Incident Response Plan: Entwickeln Sie einen Notfallplan für den Umgang mit Sicherheitsvorfällen. Definieren Sie klare Verfahren zur Erkennung, Meldung, Reaktion und Wiederherstellung im Falle eines Sicherheitsvorfalls.
  5. Sicherheitsbewusstsein schaffen: Sensibilisieren Sie Ihre Mitarbeiter für Netzwerk- und Informationssicherheit. Schulen Sie sie regelmäßig über bewährte Sicherheitspraktiken, Phishing-Erkennung und den sicheren Umgang mit sensiblen Informationen.
  6. Externe Dienstleister überprüfen: Stellen Sie sicher, dass externe Dienstleister, die Zugang zu Ihren Netzwerken oder Informationen haben, angemessene Sicherheitsmaßnahmen implementiert haben.
  7. Datenschutz beachten: Stellen Sie sicher, dass Sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen, da diese eng mit den Anforderungen der NIS-Richtlinie verbunden sind.
  8. Regelmäßige Sicherheitsaudits durchführen: Führen Sie regelmäßig interne oder externe Sicherheitsaudits durch, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen und potenzielle Schwachstellen zu identifizieren.
  9. Vorfallberichterstattung: Stellen Sie sicher, dass Sie Sicherheitsvorfälle den zuständigen Behörden melden, wie in der NIS-Richtlinie vorgeschrieben.
  10. Zusammenarbeit mit CERTs: Arbeiten Sie mit Computer Emergency Response Teams (CERTs) zusammen, um Informationen über Bedrohungen auszutauschen und Unterstützung bei der Bewältigung von Sicherheitsvorfällen zu erhalten.
  11. Aktuelle Software und Patches: Halten Sie Ihre Systeme und Software auf dem neuesten Stand und stellen Sie sicher, dass alle relevanten Sicherheitspatches eingespielt sind.
  12. Backup- und Wiederherstellungsplan: Implementieren Sie regelmäßige Backups Ihrer wichtigen Daten und entwickeln Sie einen Plan zur Wiederherstellung im Falle eines Datenverlusts oder einer Systembeschädigung.
  13. Physische Sicherheit: Berücksichtigen Sie auch physische Sicherheitsmaßnahmen, wie z. B. den Zugang zu Serverräumen, Büros, Technikräumen

Warum ist eine Business Impact Analyse (BIA) unverzichtbar für eine konsistente Notfallplanung?

Eine Business Impact Analyse (BIA) ist ein Prozess, der durchgeführt wird, um die Auswirkungen potenzieller Bedrohungen und Störungen auf den Geschäftsbetrieb eines Unternehmens zu bewerten. Es handelt sich um eine Methode zur Identifizierung kritischer Geschäftsprozesse und Ressourcen sowie zur Bewertung der möglichen finanziellen, operativen und rechtlichen Auswirkungen eines Ausfalls oder einer Unterbrechung. Sie hilft dabei, Risiken zu mindern, die Resilienz des Unternehmens zu stärken und die Geschäftskontinuität sicherzustellen.

Warum sollte eine Business Impact Analyse als durchgeführt werden?

Es gibt mehrere Gründe, warum eine BIA durchgeführt wird:

  1. Risikominderung: Eine BIA ermöglicht es Ihnen, die potenziellen Risiken und Bedrohungen für Ihr Unternehmen zu identifizieren und zu bewerten. Durch die Identifizierung der kritischen Prozesse und Ressourcen können Sie gezielte Maßnahmen ergreifen, um Risiken zu mindern und die Geschäftskontinuität sicherzustellen.
  2. Geschäftskontinuität: Eine BIA hilft Ihnen, sich auf mögliche Störungen oder Ausfälle vorzubereiten, indem Sie die Auswirkungen auf Ihr Unternehmen verstehen. Sie können Maßnahmen ergreifen, um Ihre kritischen Funktionen und Ressourcen zu schützen und einen Notfallplan zu erstellen, der sicherstellt, dass Ihr Unternehmen auch während einer Krise weiterhin funktioniert.
  3. Ressourcenpriorisierung: Eine BIA ermöglicht es Ihnen, Ihre Ressourcen effizienter einzusetzen, indem Sie Prioritäten setzen. Sie können erkennen, welche Geschäftsprozesse und Ressourcen am wichtigsten sind und welche weniger kritisch sind. Dadurch können Sie Ihre Investitionen und Ressourcen auf die Bereiche konzentrieren, die den größten Einfluss auf Ihr Unternehmen haben.

Wie führt man eine Business Impact Analyse durch?

Hier sind die Schritte, die Sie bei der Durchführung einer Business Impact Analyse befolgen können:

  1. Identifizieren Sie Ihre Geschäftsprozesse: Erstellen Sie eine Liste aller wichtigen Geschäftsprozesse und identifizieren Sie diejenigen, die für den Betrieb Ihres Unternehmens am kritischsten sind.
  2. Identifizieren Sie die Auswirkungen: Analysieren Sie, welche Auswirkungen ein Ausfall oder eine Unterbrechung dieser Geschäftsprozesse auf Ihr Unternehmen hätte. Berücksichtigen Sie finanzielle, operative, rechtliche und reputationsbezogene Auswirkungen.
  3. Bestimmen Sie die Wiederherstellungszeiten: Schätzen Sie die Zeit, die benötigt wird, um die einzelnen Geschäftsprozesse wiederherzustellen, falls sie ausfallen. Dies hilft Ihnen, den potenziellen Zeitverlust und die Auswirkungen auf den Geschäftsbetrieb zu verstehen.
  4. Bewerten Sie die Abhängigkeiten: Identifizieren Sie Abhängigkeiten zwischen den Geschäftsprozessen und Ressourcen. Stellen Sie fest, welche Prozesse und Ressourcen voneinander abhängen und wie sich ein Ausfall auf andere Bereiche auswirken könnte.
  5. Priorisieren Sie Ihre Maßnahmen: Basierend auf den Ergebnissen der BIA können Sie Prioritäten setzen und entscheiden, welche Maßnahmen ergriffen werden sollten, um Risiken zu mindern und die Geschäftskontinuität sicherzustellen. Dies kann die Implementierung von Notfallplänen, Sicherheitsmaßnahmen oder Redundanzen beinhalten.
  6. Aktualisieren Sie regelmäßig: Eine BIA ist keine einmalige Aufgabe. Überprüfen Sie Ihre Analysen regelmäßig und aktualisieren Sie sie, um sich ändernden Geschäftsanforderungen und Bedrohungen anzupassen.

Eine Business Impact Analyse erfordert oft die Zusammenarbeit von verschiedenen Abteilungen und Stakeholdern innerhalb des Unternehmens. Es kann auch sinnvoll sein, externe Fachleute einzubeziehen, um eine umfassende und objektive Bewertung zu gewährleisten.

Welche Hilfsmittel und Vorlagen gibt es?

Es gibt verschiedene Vorlagen und Frameworks, die als Leitfaden für die Durchführung einer Business Impact Analyse (BIA) dienen können. Hier sind einige gängige Vorlagen und Frameworks:

  1. Business Impact Analysis Template von der Disaster Recovery Journal (DRJ): Das DRJ bietet ein umfassendes BIA-Template an, das die erforderlichen Schritte und Informationen für die Durchführung einer BIA enthält. Es umfasst Abschnitte zur Identifizierung von Geschäftsprozessen, zur Bewertung von Auswirkungen, zur Priorisierung von Ressourcen und zur Entwicklung von Notfallplänen.
  2. ISO 22301: Die ISO 22301 ist ein internationaler Standard für Business Continuity Management. Der Standard enthält Anforderungen und Leitlinien zur Durchführung einer BIA. Es bietet eine strukturierte Herangehensweise an die Identifizierung von kritischen Geschäftsprozessen, die Bewertung von Auswirkungen und die Entwicklung von Maßnahmen zur Wiederherstellung.
  3. NIST SP 800-34: Das National Institute of Standards and Technology (NIST) hat den Leitfaden SP 800-34 „Contingency Planning Guide for Information Technology Systems“ veröffentlicht. Dieser Leitfaden enthält eine Vorlage für eine BIA, die sich speziell auf IT-Systeme konzentriert. Es hilft bei der Identifizierung von kritischen IT-Systemen, der Bewertung von Auswirkungen auf den IT-Betrieb und der Priorisierung von Wiederherstellungsmaßnahmen.
  4. Eigene interne Vorlagen: Viele Unternehmen entwickeln ihre eigenen BIA-Vorlagen, die spezifisch auf ihre Geschäftsprozesse, Branche und Risikoprofile zugeschnitten sind. Diese Vorlagen können Elemente aus verschiedenen Quellen kombinieren und an die spezifischen Anforderungen des Unternehmens angepasst werden.

Es ist wichtig zu beachten, dass eine Vorlage nur ein Ausgangspunkt ist und an die individuellen Anforderungen und Bedürfnisse Ihres Unternehmens angepasst werden sollte. Die Vorlagen dienen als Leitfaden und bieten eine strukturierte Herangehensweise an die BIA, aber die spezifischen Details und Inhalte sollten an Ihre Organisation angepasst werden.

Das BSI IT-Grundschutz Kompendium als Rahmenwerk und Hilfsmittel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Vorlage für die Business Impact Analyse (BIA) im Rahmen des IT-Grundschutz-Kompendiums an. Das IT-Grundschutz-Kompendium ist eine Sammlung von Best Practices und Empfehlungen für die Informationssicherheit, die vom BSI entwickelt wurde.

Die Vorlage für die BIA im IT-Grundschutz-Kompendium enthält verschiedene Abschnitte, die bei der Durchführung einer BIA helfen. Dazu gehören die Identifizierung der kritischen Geschäftsprozesse und Informationen, die Bewertung der Auswirkungen von Störungen oder Ausfällen, die Analyse der Abhängigkeiten zwischen den Prozessen und Informationen sowie die Priorisierung der Wiederherstellungsmaßnahmen.

Die BIA-Vorlage des BSI ist Teil des Moduls „Notfallmanagement“ im IT-Grundschutz-Kompendium. Das Kompendium kann kostenlos von der Website des BSI heruntergeladen werden. Es bietet eine umfassende Anleitung zur Durchführung von IT-Grundschutzmaßnahmen, einschließlich der BIA, um die IT-Sicherheit und Geschäftskontinuität zu gewährleisten.

Bitte beachten Sie, dass das IT-Grundschutz-Kompendium hauptsächlich auf die IT-Aspekte fokussiert ist. Wenn Sie eine umfassendere BIA durchführen möchten, die auch nicht-IT-spezifische Aspekte abdeckt, sollten Sie möglicherweise zusätzliche Vorlagen oder Frameworks verwenden oder Ihre eigene Vorlage entwickeln, die auf Ihre spezifischen Anforderungen zugeschnitten ist.

Informationssicherheit: Cybersecurity umsetzen – das MITRE Attack Framework

MITRE ATT&CK® ist eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienstleistungen verwendet.

Mit der Schaffung von ATT&CK erfüllt MITRE seinen Auftrag, Probleme für eine sicherere Welt zu lösen, indem es Gemeinschaften zusammenbringt, um eine effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

ATT&CK Matrix for Enterprise:

Das ATT&CK Framework kann Unternehmen helfen, Analysen zu entwickeln, die die von einem Angreifer verwendeten Techniken erkennen. Folgende Hilfsmittel und Anleitungen in Form von Anwendungsfällen (Use Cases) werden dafür bereitgestellt, die nachfolgend beispielhaft für den ausgewählten Bereich aufgeführt werden.

Erkennen und Analysen

  • Erste Schritte mit ATT&CK: Erkennung und Analyse Blog Post: In diesem Blogbeitrag wird beschrieben, wie Sie ATT&CK für die Erkennung und Analyse auf drei verschiedenen Schwierigkeitsgraden einsetzen können.
  • Cyber Analytics Repository (CAR): ATT&CK ist der Rahmen für das Vorgehen von Angreifern, und CAR ist eine Wissensdatenbank mit Analysen, die auf ATT&CK basieren. In diesem Blog-Beitrag über CAR wird unsere Arbeit zur Verbesserung des Systems erläutert.
  • Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.
  • CASCADE: Dieses MITRE-Forschungsprojekt zielt darauf ab, die Arbeit des „Blue Teams“ zu automatisieren, einschließlich der Durchführung von Analysen.
  • ATT&CKing the Status Quo Präsentation: Der letzte Teil dieser Präsentation bietet eine Einführung in die Verwendung von ATT&CK zur Erstellung von Analysen. Die Folien sind ebenfalls verfügbar.
  • Viele Mitglieder der ATT&CK-Community leisten hervorragende Arbeit bei der Analyse und Erkennung. Wir empfehlen Ihnen, sich die Präsentationen der ATT&CKcon 2018 anzusehen, um sich Anregungen zu holen. Sie können uns auch auf Twitter unter @MITREattack folgen, da wir manchmal Informationen über Community-Projekte retweeten, die ATT&CK-Nutzern helfen könnten.

ATT&CK bietet eine gemeinsame Sprache und einen Rahmen, den Red Teams nutzen können, um spezifische Bedrohungen zu emulieren und ihre Operationen zu planen.

Emulation von Angriffen und Red Teaming

Bewertung und Technik

ATT&CK kann verwendet werden, um die Fähigkeiten Ihres Unternehmens zu bewerten und technische Entscheidungen zu treffen, z. B. welche Tools oder Protokollierung Sie implementieren sollten.

Sollten Sie Unterstützung bei der Anwendung des Rahmenwerks für Ihr Unternehmen, insbesondere dem Aufbau der Use Cases, Emulation der Angriffe und Ableitung von Maßnahmen zur Verbesserung des Cyber-Schutzniveaus, nehmen Sie gern Kontakt mit uns auf.

Link zur Website: MITRE ATT&CK®

ISACA: BarCamp (hybrid) der Fachgruppe IT-Revision am 14.12 in Frankfurt

Am 14. Dezember 2022 veranstaltet unsere Fachgruppe IT-Revision ein BarCamp, zu dem alle ISACA-Mitglieder und andere interessierte Personen herzlich eingeladen sind. Das BarCamp findet in Frankfurt am Main bei der Advisori FTC GmbH (Kaiserstraße 44, 60329 Frankfurt am Main) sowie auch online statt.

WAS IST EIN BARCAMP?

Ein BarCamp (auch Unkonferenz) ist eine Tagung mit offenen Workshops. Die Inhalte der Workshops und deren Ablauf werden von den Teilnehmern zu Beginn der Tagung selbst entwickelt und im weiteren Verlauf gestaltet.

BarCamps dienen dem inhaltlichen Austausch und der Diskussion, können teilweise aber auch bereits am Ende der Veranstaltung konkrete Ergebnisse vorweisen.

MÖGLICHE THEMEN DES BARCAMPS:

1. Testing mit Künstlicher Intelligenz
2. Regulatorik am Beispiel DORA (Digital Operational Resilience Act)
3. ESG (Environment, Social, Governance) im IT-Umfeld
4. Web3 / Metaverse / Crypto / NFT  
5. Prüfung von Office 365 (Cloud)  

Bitte beachten Sie, dass diese Liste nur eine Themenauswahl darstellt und wir – abhängig von den Anmeldezahlen – nur 3 Workshops davon halten werden.

ABLAUF:

15:30-15:40 Begrüßung
15:40-16:00 Vorstellung aktueller Themen der Fachgruppe
16:00-18:30 Breakout Sessions/Workshops (inkl. 10 Min. Pause) zu o. g. Themen
18:30-19:20 Vorstellung der Ergebnisse
19:20-19:30 Verabschiedung

ANMELDUNG:

Melden Sie sich bitte über den obigen Link auf der Website der Fachgruppe bei der ISACA an.

SAP Prüfung: Export der Transporte und Benutzeränderungen aus dem SAP-System

Die Anleitung veranschaulicht, wie die für die Testierung des IKS benötigten Tabellen der Transporte und Benutzeränderungen aus dem SAP System exportiert werden können.

Vorher bitte unbedingt prüfen, ob unter den „Benutzerspezifische Einstellungen“ im SAP die Trefferanzahl und die Spaltenbreite – das Maximum sind hier 1023 Zeichen – richtig eingestellt sind, sonst werden die Daten ggf. nicht vollständig angezeigt. Weiterhin empfiehlt es sich die Felder als Feldbezeichner (technischer Name) und nicht als Feldnamen (Klartext) als SE16 Standardliste zu exportieren. Dieses kann ebenfalls unter den „Benutzerspezifischen Einstellungen“, unter dem Reiter „Data Browser“ eingestellt werden.

1. Transaktion SE16 aufrufen und nach Tabelle E070 suchen. Als Einschränkung die Daten des Prüfzeitraums unter „Datum“ eingeben. Relevant sind Programm- und Customizing-Änderungen im Prüfungszeitraum (Typ W und K) mit dem Status Freigegeben (R).

2. Nachfolgend wird der optionale Export der Tabelle TPALOG erläutert, um alle Informationen zu einem Transport zu erhalten.

Die Transaktion SE16 aufrufen und nach der Tabelle TPALOG suchen. Dort den Zeitstempel 20140101000000 bis 20141231235959 unter „Timestamp“ eingeben.

Über die Funktion SVERWEIS können die Tabellen TPALOG und E070 über die Transportnummer miteinander verknüpft werden, um eine vollständige Datensicht zu erhalten.

3. Die Transaktion SA38 aufrufen und nach dem Report RSUSR100 (in neueren SAP Releaseständen RUSUSR100N) suchen. Das Datum unter „von Datum“ und „bis Datum“ auf den Prüfzeitraum einschränken.

Hier ist zu beachten, dass je nach Release Stand des SAP Systems die Eingabemaske abweichen kann und die Selektionskriterien in verschiedenen Reitern ausgewählt werden müssen, sich aber inhaltlich nicht unterscheiden.

Die Ergebnisse werden mit der Tastenkombination „Shift+F8“ oder über die Menüleiste in eine unkonvertierte Textdatei exportiert und nachfolgend in Excel formatiert und aufbereitet.

Wichtig ist dabei, dass jede Änderung an einem Benutzerkonto aufgezeichnet wird. Das bedeutet, dass bei der Zuweisung von mehreren Berechtigungen, dem Zurücksetzen des Passworts etc. jeweils ein Eintrag in der Tabelle erzeugt wird. Um für eine Stichprobenauswahl Mehrfachselektionen einer Änderung zu verhindern, empfiehlt es sich über Duplikate über das Datum und den Benutzernamen vor Auswahl der Stichprobe zu entfernen.

Auf das Vorgehen zur Selektion von zufälligen Stichproben mit Hilfe von Excel gehen wir in einem anderen Beitrag ein.

Sollten Sie Unterstützung bei der Prüfung der Ordnungsmäßigkeit bzw. Compliance von IT-Systemen, Projekten und Prozessen benötigen, nehmen Sie gern Kontakt mit uns auf.

Interne Revision: Leitfaden zu Grundlagen der IT-Revision ist in der 2. Auflage verfügbar

Sechs Jahre sind vergangen seit unsere Fachgruppe IT-Revision der ISACA den Leitfaden zu den Grundlagen der IT-Revision herausgegeben hat.

Geänderte Vorgaben, neue Themen wie Blockchain und Kryptowährungen, die fortschreitende Digitalisierung und nicht zuletzt die Corona-Pandemie haben für die Revision viele neue Fragen aufgeworfen. Der Anspruch des Autorenteams der ISACA-Fachgruppe IT-Revision war es daher, den vorliegenden Leitfaden hinsichtlich der Änderungen bei wichtigen Vorgaben, aber auch bei Veränderungen in den Grundlagen zu aktualisieren und anzupassen.

Der aktualisierte Leitfaden kann hier heruntergeladen werden.

Der Leitfaden wurde in Zusammenarbeit von internen Revisoren, erfahrene Berater und Kollegen aus Wissenschaft und Lehre erstellt bzw. aktualisiert.

Autorenteam (alphabetisch):

  • Dr. Karlheinz Ahlers, CISA, 1. und 2. Auflage
  • Markus Bank, CISA, 1. und 2. Auflage
  • Axel Dors, CISA, 1. und 2. Auflage
  • Torsten Enk, CISA, CDPSE, 1. und 2. Auflage
  • Sebastian Grüneberg, CISA, CISM, 2. Auflage
  • Jochen Hartmann, CISA, CISM, 1. Auflage
  • Ralf Herter, 1. und 2. Auflage
  • Ingrid Dubois, 1. Auflage
  • Prof. Matthias Knoll, CISA, 1. und 2. Auflage
  • Christian Lossos, 2. Auflage
  • Wolf-Rüdiger Mertens, CIA, CISA, CISSP,
  • Torsten Meyer, CISA, 1. und 2. Auflage
  • Patrick Schwieder, 2. Auflage
  • Stefanie Schmidt, CIA, CISA, 2. Auflage
  • Simon Scribelka, CISA, 2. Auflage
  • Dr. Dirk Silkenbäumer, CISA, 2. Auflage

Vielen Dank auf diesem Weg an unser engagiertes Team der Fachgruppe IT-Revision.

Gesetze und Verordnungen: DORA – Digital Operational Resilience Act

Die Europäische Kommission hat im September 2020 einen Vorschlag für eine Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors vorgelegt, der gemeinhin als Digital Operational Resilience Act (DORA) bezeichnet wird.

Das Gesetz über die digitale operationelle Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) fördert ein gemeinsames Paket von Regeln und Standards, um die Risiken der Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen zu mindern. Eines der Ziele von DORA ist es, eine zunehmende Fragmentierung der für das IKT-Risikomanagement geltenden Vorschriften zu verhindern.

Darüber hinaus ist die Europäische Kommission der Ansicht, dass die Finanzunternehmen, die in den Anwendungsbereich von DORA fallen, nicht alle gleichermaßen IKT-Risiken ausgesetzt sind. Vielmehr können verschiedene Faktoren wie die Größe eines Unternehmens, seine Funktionen oder sein Geschäftsprofil seine Gefährdung durch IKT-Risiken beeinflussen.

Über DORA – Digital Operational Resilience Act

Der Digital Operational Resilience Act wird in der gesamten Europäischen Union (EU) direkt gelten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Damit wird zum ersten Mal eine einheitliche Anwendung von Grundsätzen und Regeln für das IKT-Risikomanagement im Finanzsektor erreicht.

Die Verordnung wird voraussichtlich Ende 2024 in Kraft treten, vorbehaltlich der Annahme von Stufe-2-Maßnahmen. Das Stufe-2-Mandat ist im Zusammenhang mit DORA wichtig, da bestimmte kritische Elemente abgedeckt werden sollen (z. B. RTS zu IKT-Vorfällen und zur Klassifizierung von Cyber-Bedrohungen, RTS zur Meldung größerer IKT- und Cyber-Vorfälle an die Behörden, RTS zu wichtigen Vertragsbestimmungen).

Die fünf Säulen von DORA

1. DORA und IKT-Risikomanagement

Die Finanzunternehmen müssen über interne Verwaltungs- und Kontrollrahmen verfügen, die ein wirksames und umsichtiges Management aller IKT-Risiken[1] gewährleisten, um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen.

Die Finanzunternehmen müssen darauf vorbereitet sein, Risiken zu managen, die insbesondere von der Entscheidung über die Erbringung von Dienstleistungen bis hin zur Mitteilung eines potenziellen größeren IKT-bezogenen Vorfalls reichen. Die Einhaltung aller IKT-Risikomanagementverpflichtungen wird jedoch vom Profil des Unternehmens abhängen. DORA ermöglicht es kleinen und nicht miteinander vernetzten Akteuren, einen vereinfachten IKT-Risikomanagement-Rahmen einzuhalten.

2. Prävention von IKT-Risiken im Rahmen von DORA

Als Teil ihres Rahmens für die Steuerung und Kontrolle von IKT-Risiken müssen die Finanzunternehmen aktualisierte Systeme, Protokolle und Instrumente verwenden und pflegen. Außerdem müssen sie alle IKT-bezogenen Geschäftsfunktionen, Risiken, Systemkonten sowie alle Prozesse, die von IKT-Drittanbietern abhängig sind, identifizieren, klassifizieren und angemessen dokumentieren.

Die Umsetzung von Sicherheitsstrategien, -richtlinien und -protokollen mit dem Ziel, die Widerstandsfähigkeit und Kontinuität von IKT-Systemen zu gewährleisten, ist ebenfalls von zentraler Bedeutung für den Schutz und die Prävention von IKT-Risiken. Die DORA verlangt daher von den Finanzunternehmen, dass sie geeignete Sicherheitsstrategien und -maßnahmen entwickeln, beschaffen und umsetzen und in der Lage sind, anomale Aktivitäten zu erkennen.

3. Kontinuität und effiziente Wiederherstellung unter DORA

Das Digital Operational Resilience Act enthält die Verpflichtung, eine spezielle und umfassende IKT-Business-Continuity-Strategie einzuführen, die ein integraler Bestandteil der operativen Business-Continuity-Strategie der Finanzunternehmen ist. Eine solche Politik sollte insbesondere darauf abzielen, Schäden durch Zwischenfälle zu begrenzen und die Kontinuität der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen.

Um eine effiziente Wiederherstellung der IKT-Systeme und eine Begrenzung der Auswirkungen von Störungen zu gewährleisten, müssen die Finanzunternehmen auch Backup-Strategien und Wiederherstellungsmethoden entwickeln.

Im Falle erheblicher IKT-Störungen müssen die Finanzunternehmen Vorfallprüfungen durchführen, um die Ursachen zu analysieren und Verbesserungen zu ermitteln.

4. Meldung von IKT-bezogenen Vorfällen gemäß DORA

Als Teil ihres Prozesses zum Management von IKT-bezogenen Vorfällen müssen Finanzunternehmen einen Managementprozess zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen definieren, einrichten und umsetzen.

IKT-bezogene Vorfälle werden klassifiziert, und die Finanzinstitute müssen die Auswirkungen eines jeden Vorfalls bestimmen. Zu diesem Zweck müssen die Finanzinstitute Folgendes berücksichtigen

  • Die Anzahl der von einem Vorfall betroffenen Nutzer/Finanzkontrahenten
    • Die Dauer des Vorfalls
    • Die geografische Ausbreitung
    • die Datenverluste, die der Vorfall mit sich bringt
    • die Kritikalität der betroffenen Dienste
    • die wirtschaftlichen Auswirkungen

Größere IKT-bezogene Vorfälle müssen der zuständigen Behörde unter Verwendung standardisierter Meldeformulare zeitnah gemeldet werden.

5. Prüfung der digitalen operativen Belastbarkeit

Als Teil des Rahmens für das IKT-Risikomanagement müssen die Finanzinstitute ein solides und umfassendes Testprogramm für die digitale operationelle Belastbarkeit einrichten, aufrechterhalten und regelmäßig überprüfen. Ziel ist es, Schwachstellen, Mängel oder Lücken in ihrer digitalen operativen Belastbarkeit zu bewerten und zu ermitteln und in der Lage zu sein, umgehend Korrekturmaßnahmen zu ergreifen.

Die IKT-Systeme und -Werkzeuge werden regelmäßigen Tests und erweiterten Tests unterzogen, die von unabhängigen Parteien (intern oder extern) durchgeführt werden. Die Häufigkeit dieser Tests kann je nach Risikoprofil und Umständen des betreffenden Finanzinstituts variieren.

Management von IKT-Drittrisiken

Das Management von IKT-Drittrisiken ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

DORA definiert eine Reihe von Schlüsselprinzipien für Finanzunternehmen, um ein solides Management von IKT-Drittrisiken zu erreichen und eine solide Vertragsbeziehung mit IKT-Drittdienstleistern einzugehen.

Das Digital Operational Resilience Act enthält Elemente, die sich auf die Auswahl von IKT-Drittdienstleistern (mit vorheriger Due Diligence), wichtige Vertragsbestimmungen, die in Vereinbarungen mit IKT-Drittdienstleistern enthalten sein müssen (einschließlich Kündigungsereignisse und Ausstiegsstrategien), sowie laufende Kontrollen und die Aufsicht über kritische IKT-Drittdienstleister beziehen.

Informationsaustausch im Rahmen von DORA

DORA fördert Vereinbarungen zum Informationsaustausch zwischen Finanzunternehmen, um die digitale operative Widerstandsfähigkeit zu verbessern, insbesondere durch die Sensibilisierung für Informationen und Erkenntnisse über Cyber-Bedrohungen, einschließlich Indikatoren für eine Kompromittierung, Taktiken und Cybersicherheitswarnungen.

Vereinbarungen über den Informationsaustausch müssen zwischen vertrauenswürdigen Gemeinschaften von Finanzunternehmen geschlossen werden und die Sensibilität der ausgetauschten Informationen schützen, wobei die geltenden Vertraulichkeitsregeln und die Grundsätze des Schutzes personenbezogener Daten einzuhalten sind.

Auswirkungen von DORA auf die Branche

DORA ist ein integraler Bestandteil des digitalen Finanzpakets. Die Finanzunternehmen müssen die Bestimmungen und Anforderungen der DORA innerhalb von 24 Monaten nach Inkrafttreten der Verordnung erfüllen. Das Management von Cybersicherheitsrisiken wird sich mit der harmonisierten und allgemeinen Anwendung der DORA-Anforderungen und des Verhaltenskodexes zweifelsohne verbessern und an Reife gewinnen.  

Um alle in der Verordnung festgelegten Anforderungen zu erfüllen, müssen die Finanzunternehmen ihre bestehenden Verfahren, Instrumente und Standardpraktiken in Bezug auf das IKT-Risikomanagement und die Einbeziehung von IKT-Drittdienstleistern umfassend bewerten.

Welche Firmen sind von DORA betroffen?

Zu den Firmen, die in den Geltungsbereich von DORA fallen, gehören:

  • Kreditinstitute, Zahlungsinstitute, E-Geld-Institute,
  • Wertpapierfirmen und Wertpapierverwahrer
  • Anbieter von Krypto-Asset-Dienstleistungen
  • Handelsplattformen
  • Verwalter von alternativen Investmentfonds und Verwaltungsgesellschaften
  • Anbieter von Datenübermittlungsdiensten
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungs-, Rückversicherungs- und Versicherungsnebenkostenvermittler
  • Einrichtungen der betrieblichen Altersversorgung
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter kritischer Benchmarks
  • Anbieter von Crowdfunding-Dienstleistungen

Standpunkt der Wertpapierdienste

DORA ist ein wichtiger Baustein in der Entwicklung der Finanzmärkte hin zur Digitalisierung. Die europäischen Finanzmärkte für das digitale Zeitalter fit zu machen, bedeutet, dass angemessene Schutzvorkehrungen getroffen werden sollten, um einen soliden Markt zu fördern und allen Teilnehmern, die an der digitalen Revolution teilhaben wollen, Sicherheit und Vertrauen zu geben.

Daher werden die in der DORA enthaltenen Regeln wahrscheinlich ein Gleichgewicht zwischen der ständig zunehmenden Gefährdung durch IKT-Risiken und Cyber-Bedrohungen schaffen, die sich aus der wachsenden Abhängigkeit von der Technologie ergeben.  

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.

Gesetze und Verordnungen: Cybersecurity im Finanzsektor – Vorläufige Einigung über DORA erzielt

Angesichts der immer größer werdenden Risiken von Cyberangriffen stärkt die EU die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. Gestern Abend erzielten die Ratspräsidentschaft und das Europäische Parlament eine vorläufige Einigung über den Digital Operational Resilience Act (DORA), der sicherstellen soll, dass der Finanzsektor in Europa in der Lage ist, seine Operationen auch bei einer schweren Betriebsstörung aufrechtzuerhalten.

DORA legt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten fest, die ihnen IKT (Informations- und Kommunikationstechnologien)-bezogene Dienste zur Verfügung stellen, wie etwa Cloud-Plattformen oder Datenanalysedienste. Die DORA schafft einen Rechtsrahmen für die digitale operationelle Widerstandsfähigkeit, wobei alle Unternehmen sicherstellen müssen, dass sie allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können. Diese Anforderungen sind in allen EU-Mitgliedstaaten einheitlich. Das Hauptziel besteht darin, Cyber-Bedrohungen zu verhindern und abzuschwächen.

Nach der vorläufigen Einigung werden die neuen Vorschriften einen sehr robusten Rahmen bilden, der die IT-Sicherheit des Finanzsektors erhöht. Die von den Finanzunternehmen verlangten Anstrengungen werden im Verhältnis zu den potenziellen Risiken stehen.

Nahezu alle Finanzunternehmen werden den neuen Vorschriften unterworfen sein. Im Rahmen der vorläufigen Einigung werden Wirtschaftsprüfer nicht der DORA unterliegen, aber Teil einer zukünftigen Überprüfung der Verordnung sein, bei der eine mögliche Überarbeitung der Regeln untersucht werden kann.

Kritische IKT-Dienstleister aus Drittländern, die für Finanzunternehmen in der EU tätig sind, müssen eine Tochtergesellschaft in der EU gründen, damit die Aufsicht ordnungsgemäß durchgeführt werden kann.

Hinsichtlich des Aufsichtsrahmens einigten sich die Mitgesetzgeber auf ein zusätzliches gemeinsames Aufsichtsnetz, das die Koordinierung zwischen den europäischen Aufsichtsbehörden in diesem sektorübergreifenden Bereich verstärken wird.

Die vorläufige Vereinbarung sieht vor, dass Penetrationstests in einem funktionierenden Modus durchgeführt werden, wobei die Möglichkeit besteht, mehrere Behörden der Mitgliedstaaten in die Testverfahren einzubeziehen. Der Einsatz interner Prüfer wird nur unter bestimmten, streng begrenzten Bedingungen möglich sein, die an Schutzmaßnahmen geknüpft sind.

Was das Zusammenspiel von DORA mit der Richtlinie über Netz- und Informationssicherheit (NIS) betrifft, so werden die Finanzunternehmen im Rahmen der vorläufigen Einigung volle Klarheit über die verschiedenen Vorschriften zur digitalen operationellen Widerstandsfähigkeit haben, die sie einhalten müssen, insbesondere für diejenigen Finanzunternehmen, die mehrere Zulassungen besitzen und auf verschiedenen Märkten innerhalb der EU tätig sind. Die NIS-Richtlinie gilt weiterhin. DORA baut auf der NIS-Richtlinie auf und regelt mögliche Überschneidungen durch eine lex specialis-Ausnahme.

Die gestern Abend erzielte vorläufige Einigung muss noch vom Rat und vom Europäischen Parlament gebilligt werden, bevor das förmliche Annahmeverfahren eingeleitet wird.

Sobald der DORA-Vorschlag formell angenommen ist, wird er von jedem EU-Mitgliedstaat in ein Gesetz umgesetzt. Die zuständigen Europäischen Aufsichtsbehörden (ESAs), wie die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapieraufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), werden dann technische Standards entwickeln, an die sich alle Finanzdienstleistungsinstitute halten müssen, von Banken über Versicherungen bis hin zur Vermögensverwaltung. Die jeweils zuständigen nationalen Behörden werden die Einhaltung der Vorschriften überwachen und die Verordnung erforderlichenfalls durchsetzen.

Hintergrund

Die Kommission legte den DORA-Vorschlag am 24. September 2020 vor. Er ist Teil des umfassenderen Pakets für digitale Finanzen, mit dem ein europäischer Ansatz entwickelt werden soll, der die technologische Entwicklung fördert und die Finanzstabilität und den Verbraucherschutz gewährleistet. Neben dem DORA-Vorschlag enthält das Paket eine Strategie für das digitale Finanzwesen, einen Vorschlag zu Märkten für Krypto-Assets (MiCA) und einen Vorschlag zur Distributed-Ledger-Technologie (DLT).

Dieses Paket schließt eine Lücke in der bestehenden EU-Gesetzgebung, indem es sicherstellt, dass der derzeitige Rechtsrahmen keine Hindernisse für die Nutzung neuer digitaler Finanzinstrumente darstellt und gleichzeitig gewährleistet, dass solche neuen Technologien und Produkte in den Anwendungsbereich der Finanzregulierung und der Vorkehrungen für das operative Risikomanagement von in der EU tätigen Unternehmen fallen. Somit zielt das Paket darauf ab, Innovationen und die Einführung neuer Finanztechnologien zu fördern und gleichzeitig ein angemessenes Niveau des Verbraucher- und Anlegerschutzes zu gewährleisten.

Der Rat nahm sein Verhandlungsmandat zu DORA am 24. November 2021 an. Die Trilogverhandlungen zwischen den Mitgesetzgebern begannen am 25. Januar 2022 und endeten mit der gestern erzielten vorläufigen Einigung.

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.

Original-Mitteilung des European Council: Digital finance: Provisional agreement reached on DORA – Consilium (europa.eu)