DORA – Testen der digitalen operationalen Resilienz
Testen der digitalen operationalen Resilienz
Die Anforderungen zu digitalen operationalen Resilienztests umfassen das allgemeine Testprogramm, welches von allen Finanzunternehmen zu erfüllen ist, und die auf Live-Produktionssystemen durchzuführenden Threat Led Penetration Tests (TLPT), die nur einzelne, vorgegebene Kriterien erfüllende Finanzunternehmen betreffen.
Allgemeines Testprogramm
Finanzunternehmen erstellen ein umfassendes Programm für das Testen der digitalen operationalen Resilienz, welches beispielsweise Schwachstellenbewertungen und -scans, Gap Analysen, Quellcodeprüfungen, szenariobasierte Tests oder Penetrationstests beinhaltet.
Die Tests werden von unabhängigen, internen oder externen Parteien durchgeführt. Im Falle der Abhaltung eines internen Tests sind ausreichende Ressourcen bereitzustellen und es ist dafür zu sorgen, dass während der gesamten Prüfung keine Interessenskonflikte entstehen.
Alle ermittelten Schwächen werden priorisiert, klassifiziert und behoben.
Bei sämtlichen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, werden mindestens einmal jährlich angemessene Tests durchgeführt.
Threat Led Penetration Testing
Bedeutende Finanzunternehmen haben verpflichtend so genannte Threat Led Penetration Tests durchzuführen. Diese – auch in der Produktionsumgebung durchgeführten – Tests zielen auf die Kern-IT-Systeme des Unternehmens ab.
Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER-EU. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“ und wird in Österreich durch TIBER-AT umgesetzt.
Informationen zu IKT-Tests gemäß Artikel 25 (1) DORA-VO
Gemäß Artikel 25 (1) DORA-VO wird von Finanzunternehmen erwartet, dass sie verschiedene Arten von Tests durchführen (z. B. Schwachstellenbewertungen und -scans, Netzwerksicherheitsbewertungen, Quellcodeprüfungen, Leistungstests, End-to-End-Tests, Penetrationstests).
Diese Tests gelten für alle von DORA erfassten Finanzunternehmen, wobei Tiefe und Häufigkeit abhängig sind von der Größe und Komplexität des Unternehmens, dem allgemeinen Risikoprofil, der Kritikalität der IKT-Systeme, der Nutzung von Outsourcing oder Cloud-Diensten, wesentlichen Änderungen an der IKT-Infrastruktur und dem Bedarf an Vorfallsbehebungen (risikobasierter Ansatz, siehe Artikel 4 (2) DORA-VO).
Anerkannte Standards und Akkreditierung
Die DORA-VO verweist nicht auf spezifische Standards oder Rahmenwerke. Daher kann die FMA keine spezifischen Umsetzungsempfehlungen auf Basis eines bestimmten Standards geben.
Anforderungen für Tester sind insbesondere in Artikel 24 (4) DORA-VO definiert. Für Tests gemäß Artikel 25 DORA-VO gilt keine AT-DORA-spezifische Akkreditierung für Tester.
Testfrequenz
Die entsprechenden Anforderungen der DORA-VO umfassen:
Risikobasierter Ansatz: Die Tests sollten dem Risikoprofil des Unternehmens angemessen sein.
Ereignisbasierte Auslöser: Nach größeren IKT-Änderungen, Vorfällen oder Upgrades.
Mindestens jährliche Tests: Für kritische Systeme und Dienste.
TLPT (Threat-Led Penetration Testing): Erwartet alle 3 Jahre für als kritisch eingestufte Unternehmen.
Nachweis- und Dokumentationsanforderungen
- Die aufsichtsrechtlichen Erwartungen gemäß Artikel 25 DORA-VO beinhalten beispielsweise:
- Testpläne und Definitionen des Umfangs
- Regeln für die Durchführung (insbesondere bei Penetrationstests)
- Detaillierte Berichte mit Ergebnissen, Schweregraden und Maßnahmen zur Behebung
- Nachweise über die Behebung von Schwachstellen
Da Tests von unabhängigen internen oder externen Parteien durchgeführt werden können, sind Drittanbieterbescheinigungen akzeptabel, sofern der Anbieter unabhängig und ausreichend qualifiziert ist.
Unternehmen müssen die Dokumentation aufbewahren und den zuständigen Behörden auf Anfrage zur Verfügung stellen.
Fragen und Antworten
Die Kriterien zur Ermittlung von Finanzunternehmen, die TLPT durchzuführen haben, sind in der DORA-Verordnung angeführt. Diese umfassen wirkungsbezogene Faktoren, etwaige Bedenken hinsichtlich der Finanzstabilität und das spezifische IKT-Risikoprofil sowie den IKT-Reifegrad des Finanzunternehmens (Art. 26 Abs. 8 DORA-VO).
Diese Kriterien sind in Art. 2 Delegierte Verordnung (EU) 2025/1190 präzisiert.
Grundsätzlich muss ein TLPT innerhalb eines Drei-Jahres-Fensters ab Januar 2025 durchgeführt werden (zum Beispiel zwischen 17. Januar 2025 und 16. Januar 2028). Nach Möglichkeit wird (obwohl TLPT und IT-Prüfungen von unterschiedlichen Teams durchgeführt werden) ein Abgleich mit den beim Institut laufenden IT-Prüfungen erfolgen, um Belastungsspitzen zu vermeiden.
Grundsätzlich sind alle Tochtergesellschaften auch verpflichtet TLPT durchzuführen, aber diese können von der zuständigen Behörde unter gewissen Voraussetzungen von dieser Verpflichtung ausgenommen werden. Dies wird aus Proportionalitätserwägungen heraus insbesondere auch von der Größe und der systemischen Bedeutung der Tochterinstitute innerhalb des jeweiligen Mitgliedstaats abhängen.
Zusätzlich ist die (Nicht-)Einbeziehung von Tochtergesellschaften in den TLPT abhängig vom Scoping im Rahmen der Testvorbereitung. Das Scopingdokument wird vom Control Team des Mutterinstituts erstellt und vom zuständigen TIBER Test Manager in Abstimmung mit der zuständigen Behörde freigegeben. Der Mehrwert, dabei auch kleinere Tochterinstitute innerhalb desselben Mitgliedstaats in den Scoping des TLPT miteinzubeziehen, wäre voraussichtlich gering – insbesondere, wenn diese dieselbe IT-Infrastruktur wie das Mutterinstitut verwenden. Letztlich ist die (Nicht-)Einbeziehung von Tochtergesellschaften aber immer eine Einzelfallentscheidung.
TLPT als fortgeschrittener Penetrationstest nach Artikel 26 DORA-VO ist einerseits eine sophistizierte Methodik, um Schwachstellen in der Cybersicherheit eines Finanzunternehmens aufzuzeigen. Andererseits ist TLPT aber auch sehr aufwändig.
Delegierte Verordnung (EU) 2025/1190 konkretisiert die Anforderungen aus Artikel 26 und 27 DORA-Verordnung. Wesentliche Kriterien zur Identifikation, welche Unternehmen TLPTs durchzuführen haben, sind deren systemische Relevanz, Auswirkungen auf die Finanzstabilität, das IKT-Risikoprofil und Reifegrad sowie technologische Merkmale.
Hinsichtlich regulärer Penetrationstests wird auf die nächste Frage verwiesen.
Die in Art 25 Abs 1 DORA -VO angeführten Tests sind beispielhaft zu verstehen. Es wird nicht erwartet, dass alle Finanzunternehmen alle dort angeführten Tests durchführen. Das Testprogramm eines jeden Instituts soll jedoch entsprechend dem Grundsatz der Verhältnismäßigkeit ausgestaltet sein.
Während die Vorgaben der Art 24 und 25 DORA-VO grundsätzlich für alle Finanzunternehmen gelten, sind erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT nur von ausgewählten Finanzunternehmen, die von der FMA rechtzeitig verständigt werden, durchzuführen.
TLPT sind in Art 3 Z 17 DORA-VO definiert als: „bedrohungsorientierte Penetrationstests (TLPT — Threat-Led Penetration Testing)“. TLPT gibt einen Rahmen vor, der Taktiken, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet. TLPT ermöglichen einen kontrollierten, maßgeschneiderten und erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des jeweiligen Finanzunternehmens.
Hervorzuheben ist jedenfalls, dass für Signifikante Institute im Sinne der SSM-Verordnung gemäß Art. 26 Abs. 8 DORA-VO nur externes „Red Teaming“ vorgesehen ist. In diesem Absatz ist auch geregelt, dass Finanzunternehmen, die interne Testerinnen und Tester heranziehen, für jeden dritten Test extern Testende beauftragen. Für weitere Informationen wird verwiesen auf: Delegierte Verordnung (EU) 2025/1190.
Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.
Rechtliche Grundlagen
Informationen zu den rechtlichen Grundlagen von DORA finden Sie auf der „DORA – Digitale operationale Resilienz im Finanzsektor“-Webseite der FMA.
