DORA – Testen der digitalen operationalen Resilienz

Testen der digitalen operationalen Resilienz
Die Anforderungen zu digitalen operationalen Resilienztests umfassen das allgemeine Testprogramm, welches von allen Finanzunternehmen zu erfüllen ist, und die auf Live-Produktionssystemen durchzuführenden Threat Led Penetration Tests (TLPT), die nur einzelne, vorgegebene Kriterien erfüllende Finanzunternehmen betreffen.
Allgemeines Testprogramm
Finanzunternehmen erstellen ein umfassendes Programm für das Testen der digitalen operationalen Resilienz, welches beispielsweise Schwachstellenbewertungen und -scans, Gap Analysen, Quellcodeprüfungen, szenariobasierte Tests oder Penetrationstests beinhaltet.
Die Tests werden von unabhängigen, internen oder externen Parteien durchgeführt. Im Falle der Abhaltung eines internen Tests sind ausreichende Ressourcen bereitzustellen und es ist dafür zu sorgen, dass während der gesamten Prüfung keine Interessenskonflikte entstehen.
Alle ermittelten Schwächen werden priorisiert, klassifiziert und behoben.
Bei sämtlichen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, werden mindestens einmal jährlich angemessene Tests durchgeführt.
Threat Led Penetration Testing
Bedeutende Finanzunternehmen haben verpflichtend so genannte Threat Led Penetration Tests durchzuführen. Diese – auch in der Produktionsumgebung durchgeführten – Tests zielen auf die Kern-IT-Systeme des Unternehmens ab.
Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER-EU. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“ und wird in Österreich durch TIBER-AT umgesetzt.
Fragen und Antworten
Die Kriterien für Geprüfte Sicherheit (gs. Kriterien) zur Ermittlung von Finanzunternehmen, die TLPT durchzuführen haben, sind in der DORA-Verordnung (DORA-VO) angeführt. Diese umfassen wirkungsbezogene Faktoren, etwaige Bedenken hinsichtlich der Finanzstabilität und das spezifische IKT-Risikoprofil sowie den IKT-Reifegrad des Finanzunternehmens (Artikel 26 Absatz 8 DORA-VO (Art. 26 Abs. 8 DORA-VO)).
Diese Kriterien sind in Art. 2 des Final Report on draft RTS specifying elements related to threat led penetration tests (Draft RTS) präzisiert.
Sowohl die Identifikation der Institute als auch der Planungsprozess für TLPT finden derzeit statt. Auch die nationalen Planungen sind von der Fertigstellung der europäischen Planungen (betreffend Signifikante Institute im Sinne der SSM-Verordnung insbesondere der Europäischen Zentralbank (EZB)) abhängig. Eine finale Identifizierung wird frühestens mit Anwendbarkeit der DORA-Vorgaben Anfang 2025 erfolgen.
Grundsätzlich muss ein TLPT innerhalb eines Drei-Jahres-Fensters ab Januar 2025 durchgeführt werden (zum Beispiel zwischen 17. Januar 2025 und 16. Januar 2028). Die Planung, wann welches Institut an die Reihe kommt, kann erst begonnen werden, wenn die entsprechenden Methodologien auf europäischer Ebene festgelegt sind (siehe voherige Frage). Nach Möglichkeit wird (obwohl TLPT und IT-Prüfungen von unterschiedlichen Teams durchgeführt werden) ein Abgleich mit den beim Institut laufenden IT-Prüfungen erfolgen, um Belastungsspitzen zu vermeiden.
Grundsätzlich sind alle Tochtergesellschaften auch verpflichtet TLPT durchzuführen, aber diese können von der zuständigen Behörde unter gewissen Voraussetzungen von dieser Verpflichtung ausgenommen werden. Dies wird aus Proportionalitätserwägungen heraus insbesondere auch von der Größe und der systemischen Bedeutung der Tochterinstitute innerhalb des jeweiligen Mitgliedstaats abhängen.
Zusätzlich ist die (Nicht-)Einbeziehung von Tochtergesellschaften in den TLPT abhängig vom Scoping im Rahmen der Testvorbereitung. Das Scopingdokument wird vom Control Team des Mutterinstituts erstellt und vom zuständigen TIBER Test Manager in Abstimmung mit der zuständigen Behörde freigegeben. Der Mehrwert, dabei auch kleinere Tochterinstitute innerhalb desselben Mitgliedstaats in den Scoping des TLPT miteinzubeziehen, wäre voraussichtlich gering – insbesondere, wenn diese dieselbe IT-Infrastruktur wie das Mutterinstitut verwenden. Letztlich ist die (Nicht-)Einbeziehung von Tochtergesellschaften aber immer eine Einzelfallentscheidung.
TLPT als fortgeschrittener Penetrationstest nach Artikel 26 DORA-VO ist einerseits eine sophistizierte Methodik, um Schwachstellen in der Cybersicherheit eines Finanzunternehmens aufzuzeigen. Andererseits ist TLPT aber auch sehr aufwändig. Die Methodik des derzeit entstehenden RTS zielt darauf ab, anhand quantitativer Kriterien diejenigen Institute zu identifizieren, bei denen die Erkenntnisse des TLPT den Mehrwert rechtfertigen.
Grundsätzlich wird davon ausgegangen, dass die Kriterien weitgehendst trennscharf sind. Es ist zudem davon auszugehen, dass im Regelfall nur Institute mit einer gewissen Systemrelevanz für den Finanzsektor innerhalb eines bestimmten Mitgliedstaats TPLT durchführen müssen. In Einzelfällen könnten dabei auch weniger systemrelevante Mutter- oder Tochterinstitute in einem anderen Mitgliedstaat miteinbezogen werden. Ob es für ein Institut unverhältnismäßig wäre, in Abweichung von den vorgesehenen Kriterien TLPT durchzuführen, wird zudem maßgeblich durch sein IKT-Risikoprofil und sein Reifegrad im Bereich IKT-Risiko bestimmt. Letztlich handelt es sich hierbei aber ebenfalls immer um eine Einzelfallentscheidung.
Hinsichtlich regulärer Penetrationstests wird auf die nächste Frage verwiesen.
Die in Art 25 Abs 1 DORA -VO angeführten Tests sind beispielhaft zu verstehen. Es wird nicht erwartet, dass alle Finanzunternehmen alle dort angeführten Tests durchführen. Das Testprogramm eines jeden Instituts soll jedoch entsprechend dem Grundsatz der Verhältnismäßigkeit ausgestaltet sein.
Während die Vorgaben der Art 24 und 25 DORA-VO grundsätzlich für alle Finanzunternehmen gelten, sind erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT nur von ausgewählten Finanzunternehmen, die von der FMA rechtzeitig verständigt werden, durchzuführen.
TLPT sind in Art 3 Z 17 DORA-VO definiert als: „bedrohungsorientierte Penetrationstests (TLPT — Threat-Led Penetration Testing)“. TLPT gibt einen Rahmen vor, der Taktiken, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet. TLPT ermöglichen einen kontrollierten, maßgeschneiderten und erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des jeweiligen Finanzunternehmens.
Hervorzuheben ist jedenfalls, dass für Signifikante Institute im Sinne der SSM-Verordnung gemäß Art. 26 Abs. 8 DORA-VO nur externes „Red Teaming“ vorgesehen ist. In diesem Absatz ist auch geregelt, dass Finanzunternehmen, die interne Testerinnen und Tester heranziehen, für jeden dritten Test extern Testende beauftragen. Zudem wird auf die Vorgaben Art. 13 Final Report on draft RTS specifying elements related to threat led penetration tests verwiesen.
Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.
Rechtliche Grundlagen
Informationen zu den rechtlichen Grundlagen von DORA finden Sie auf der „DORA – Digitale operationale Resilienz im Finanzsektor“-Webseite der FMA.