DORA – IKT-Risikomanagement

IKT-Risikomanagement
Auf dieser Webseite finden Sie die Vorgaben zu Governance und Organisation des Digital Operational Resilience Act (DORA), gefolgt von Erfordernissen zum Risikomanagementrahmen für Informations- und Kommunikationstechnologien (IKT-Risikomanagementrahmen), zu IKT-Systemen, -Protokollen und -Tools sowie zu Funktionen des IKT-Risikomanagements.
Governance und Organisation
Zu Beginn der DORA-Bestimmungen wird die Verantwortlichkeit des Leitungsorgans betont. Ein Governance-Rahmen, der ein wirksames Management von IKT-Risiken gewährleistet, ist einzurichten.
Dafür sind beispielsweise angemessene Ressourcen zur Verfügung zu stellen, eine digitale operationale Resilienzstrategie zu verabschieden, entsprechende Risikotoleranzschwellen festzulegen, Informationskanäle zur Nutzung von IKT-Drittdienstleistern oder zu schwerwiegenden IKT-Vorfällen einzurichten, eine IKT-Geschäftsfortführungsleitlinie und IKT-Reaktions- und Wiederherstellungspläne zu genehmigen und Schulungen für alle Mitarbeiter:innen vorzusehen.
IKT-Risikomanagementrahmen
Zur Gewährleistung eines hohen Niveaus an digitaler operationaler Resilienz sind Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und Tools zum Schutz der Informations- und IKT-Assets festzulegen.
Informationen zu IKT-Risiken und zum IKT-Risikomanagementrahmen sind laufend zu aktualisieren. Eine angemessene und unabhängige IKT-Kontrollfunktion ist einzurichten. Zudem ist die Dokumentation der mindestens jährlich zu erfolgenden Überprüfung des IKT-Risikomanagementrahmens – auf Anfrage – auch der Finanzmarktaufsicht (FMA) vorzulegen.
Weiters sind Vorgaben zu den Inhalten zu einer digitalen operationalen Resilienzstrategie, zum Beispiel bezüglich der Unterstützung der Geschäftsstrategie durch den IKT-Risikomanagementrahmen oder zur Definition der Informationssicherheitsziele, zu definieren.
IKT-Systeme, -Protokolle und -Tools
Identifizierung
Inventare zu IKT- und Informationsassets, sowie zu von IKT-gestützten Funktionen, Rollen und Verantwortlichkeiten und zu IKT-Drittdienstleistern werden geführt und regelmäßig sowie bei jeder wesentlichen Änderung aktualisiert. Die identifizierten IKT- und Informationsassets sind dabei auch einer Risikoklassifizierung zu unterziehen.
Finanzunternehmen ermitteln kontinuierlich Risikoquellen und berücksichtigen auch das Risiko bezüglich anderer Finanzunternehmen. Auch für IKT-Altsysteme wird regelmäßig eine IKT-Risikobewertung durchgeführt.
Schutz und Prävention
IKT-Systeme sollen laufend überwacht werden. Ziel ist, die Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen, sicherzustellen. Auch hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten sollen gewährleistet werden.
Zur Zielerreichung sind zahlreiche Maßnahmen, zB physische oder logische Zugangsbeschränkungen, starke Authentifizierungsmechanismen, Netzwerksegmentierungen oder Vorgaben zu Patches und Updates umzusetzen.
Erkennung
Der nächste Schritt ist das Erkennen anomaler Aktivitäten. Diese beziehen sich auch auf IKT-Netze, auf IKT-bezogene Vorfälle und auf Schwachstellen.
Die Erkennungsmechanismen ermöglichen mehrere Kontrollebenen und legen Alarmschwellen und -kriterien zur Einleitung von Reaktionsprozessen fest.
Reaktion und Wiederherstellung
Nach dem Erkennen von anomalen Aktivitäten werden entsprechende Gegen- bzw. Wiederherstellungsmaßnahmen gesetzt. Dazu ist eine IKT-Geschäftsfortführungsleitlinie – zur Sicherstellung der Kontinuität kritischer oder wichtiger Funktionen sowie zur Setzung schneller, angemessener Reaktionen auf IKT-bezogene Vorfälle – festzulegen.
Auf Basis einer Business-Impact-Analyse werden IKT-Geschäftsfortführungspläne sowie IKT-Reaktions- und Wiederherstellungspläne implementiert. Eine Krisenmanagementfunktion koordiniert bei Aktivierung dieser Pläne unter anderem die interne und externe Krisenkommunikation.
Auch Erfordernisse zu Backups und zu Wiederherstellungsverfahren und -methoden sind in der DORA-Verordnung (DORA-VO) festgelegt. Beispielsweise sind grundsätzlich für die Deckung des Geschäftsbedarfs ausreichende und angemessene redundante IKT-Kapazitäten einzurichten.
Lernprozesse und Weiterentwicklung
Finanzunternehmen verfügen über ausreichende Ressourcen, um Informationen zu Schwachstellen, Cyberbedrohungen sowie zu technologischen Entwicklungen zu sammeln und zu analysieren. Insbesondere die Ursachen von schwerwiegenden IKT-bezogenen Vorfällen sind zu identifizieren, um künftige ähnliche Vorfälle zu vermeiden.
Schulungen sind jedenfalls durch alle Mitarbeiter:innen und die Geschäftsleitung und gegebenenfalls auch durch IKT-Drittdienstleister:innen zu absolvieren.
Kommunikation
Zumindest schwerwiegende IKT-bezogene Vorfälle oder Schwachstellen sind gegenüber Kund:innen und anderen Finanzunternehmen sowie der Öffentlichkeit je nach Sachlage verantwortungsbewusst offenzulegen.
In den zum IKT-Risikomanagementrahmen zu entwickelnden technischen Regulierungsstandards sind weitere, teils sehr spezifische Vorgaben definiert.
Fragen und Antworten
In Artikel 26 Absatz 2 der Delegierten Verordnung (EU) 2024/1774 zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement und des vereinfachten IKT-Risikomanagementrahmens sind Szenarien, die bei der Erstellung von Reaktions- und Wiederherstellungsplänen zu berücksichtigen sind, beschrieben, z.B. fallen Switchovers auf redundante Kapazitäten, Backups und redundante Systeme oder weitverbreitete Stromausfälle oder die Nicht-Verfügbarkeit einer kritischen Anzahl von Mitarbeitenden oder von Mitarbeitenden, die für die Gewährleistung der Betriebskontinuität zuständig sind, darunter.
Zunächst wäre zu definieren, welche Aufgaben von der ‚CISO‘-Funktion umfasst sind, und ob sich diese mit jenen der Kontrollfunktion gem Art 6 Abs 4 DORA-VO decken. In Folge wird auf das in Art 6 Abs 4 DORA angeführte Modell der drei Verteidigungslinien verwiesen. Dieses ist jedenfalls einzuhalten bzw im Sinne des Grundsatzes der Verhältnismäßigkeit gemäß Art 4 DORA auszugestalten.
Bei Auslagerungen sind die jeweiligen sektorspezifischen Bestimmungen einzuhalten und zu berücksichtigen.
Konkrete institutsspezifische Ausgestaltungen wären im Einzelfall zu beurteilen.
CISO-Vorgaben sind in der DORA-VO nicht umfasst. Diese sieht jedoch eine IKT-Risikokontrollfunktion vor. Gemäß Art. 6 Abs. 4 DORA-VO stellen Finanzunternehmen ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicher, um Interessenskonflikte zu vermeiden. Die Finanzunternehmen sorgen für eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle.
Die IKT-Risikokontrollfunktion kann dabei auch durch den CISO wahrgenommen werden, sofern ein angemessenes Maß an Unabhängigkeit gem. Art 6 Abs. 4 DORA-VO gewährleistet ist.
Da eine angemessene Trennung entsprechend den oben angeführten Vorgaben und dem Grundsatz der Verhältnismäßigkeit zu berücksichtigen ist, kann die organisatorische Ausgestaltung nur im Rahmen einer individuellen Würdigung geklärt werden.
In Art. 3 Abs. 5 Delegierte Verordnung 2024/1773 RTS zu IKT-Drittdienstleistern wird klargestellt, dass die Zuständigkeit für die Überwachung der einschlägigen vertraglichen Vereinbarungen eindeutig zu regeln ist.
Diese Vorgabe widerspricht grundsätzlich nicht der Etablierung einer gemeinsamen Kontrollfunktion iSd Art. 6 Abs. 4 DORA, auch in der Funktion des CISO. Eine Einzelfallprüfung ist jedoch erforderlich. Auf ausreichende Ressourcenausstattung ist jedenfalls zu achten.
Der FMA ist auf Anfrage ein Bericht über die Überprüfung des IKT-Risikomanagementrahmens zeitnah vorzulegen. Format und Inhalt des Berichts über die Überprüfung des IKT-Risikomanagementrahmens sind in Art. 27 Delegierte Verordnung (EU) 2024/1774 (RTS zum Risikomanagement geregelt.
Eine regelmäßige Übermittlung ist aktuell nicht vorgesehen.
In Artikel 8 Absatz 3 DORA-VO wird festgehalten, dass bei jeder wesentlichen Änderung der Netzwerk- und Informationssysteminfrastruktur eine Risikobewertung durchgeführt werden muss.
Die Entscheidung, ob eine Änderung ‚wesentlich‘ ist, liegt grundsätzlich beim Unternehmen selbst. Ein gewisser Bezug zu den Kritikalitätsklassifizierungen der betroffenen IKT-Assets bzw davon unterstützten Unternehmensfunktionen wäre bei dieser Einschätzung jedenfalls zu erwarten.
Der Ausdruck „Auswirkungstoleranz mit Blick auf IKT-Störungen“ (Art 6 (8) lit b DORA-VO) bezieht sich unseres Erachtens auf alle IKT-Störungen und inkludiert auch IKT-Vorfälle. Gemäß DORA-Vorgaben ist hinkünftig erforderlich, die Kosten für Vorfälle (gleich welcher Art) zu schätzen und zu prüfen, ob die geschätzten Kosten im Einklang mit der unternehmensweiten Risikobereitschaft stehen (sowie in Zukunft die Verpflichtung, das Restrisiko zu kennen und zu akzeptieren). Des Weiteren sind bei der Untersuchung der Auswirkungstoleranz auch nicht-monetäre Auswirkungen (zB auf die Verfügbarkeit, Vertraulichkeit und Integrität, Reputation) zu berücksichtigen.
Die Vorgabe betrifft die Verpflichtung, unternehmensinterne Richtlinien für den Erwerb, die (Eigen-)Entwicklung und die Erhaltung von IT-Systemen festzulegen. Diese können für Eigenentwicklung und Erwerb unterschiedlich sein, haben jedoch sämtliche in Art. 16 Abs. 2 Delegierte Verordnung (EU) 2024/1774 zum IKT-Risikomanagement geforderten Elemente zu beinhalten. Bei zugekaufter Software die „fast exklusiv für die Bank entwickelt wird“ wäre jedenfalls sicherzustellen, dass ein vergleichbarer Standard durch den Entwicklungsdienstleistenden eingehalten wird.
Die auf dieser Website enthaltenen Inhalte sowie Hyperlinks auf Websites Dritter dienen der allgemeinen und unverbindlichen Information. Die „Fragen und Antworten“ stellen keine verbindliche Auslegung der FMA und insbesondere auch keine Auslegungen im Rahmen der Fragen- und Antwort-Prozesse (Q&As) der drei Europäischen Aufsichtsbehörden (EBA – European Banking Authority, ESMA – European Securities and Markets Authority und EIOPA – European Insurance and Occupational Pensions Authority) dar. Alle Angaben auf dieser Website erfolgen trotz sorgfältiger Bearbeitung, insbesondere hinsichtlich Aktualität, Vollständigkeit und Richtigkeit ohne Gewähr und die FMA, einschließlich deren Mitarbeitende bzw. der Verantwortlichen für diese Website, übernehmen keinerlei Haftung für die Inhalte; die FMA übernimmt auch keine Gewähr oder Haftung für die Nutzung von Hyperlinks oder Inhalte, die über diese abrufbar sind.
Rechtliche Grundlagen
Informationen zu den rechtlichen Grundlagen von DORA finden Sie auf der „DORA – Digitale operationale Resilienz im Finanzsektor“-Webseite der FMA.