DORA-Kernkonzepte verstehen: Fokus auf "Kritische oder wichtige Funktionen"

DORA

Mit dem Ziel, ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen, bietet DORA einen umfassenden Rahmen für das wirksame Management von IKT-Risiken.

Regulierung

DORA ist ein umfassender Rahmen für das IKT-Risikomanagement mit dem Ziel, ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen. Er basiert auf mehreren Schlüsselbegriffen, wie dem „Prinzip der Verhältnismäßigkeit“ oder den „IKT-Diensten, -Systemen und -Anwendungen, die kritischen oder wichtigen Funktionen unterstützen“.

In diesem Artikel konzentrieren wir uns auf Letzteres und untersuchen die Bedeutung der Auswertung und Identifizierung von IKT-Anwendungen und -Diensten, die kritische oder wichtige Funktionen unterstützen. Wir analysieren auch, wie dieses Assessment die Grundlage für die nachfolgenden Schritte zur Erreichung der DORA-Konformität bildet.

Der Kontext

Mit dem Ziel, ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen, bietet DORA einen umfassenden Rahmen für das wirksame Management von IKT-Risiken. Dieses Ziel wird durch fünf zentrale Säulen unterstützt. Die Besonderheit von DORA ist, dass alles miteinander verknüpft ist, jede Säule ist mit den anderen verbunden. Es gibt Querverweise im gesamten Gesetz und auf die zugehörigen technischen Regulierungsstandards (RTS), technischen Durchführungsstandards (ITS) und Leitlinien. Bis heute besteht der DORA-Rahmen aus 12 ergänzenden Rechtsakten.

Infolgedessen fordert DORA die Finanzorganisationen auf, die Sicherheit von Netzen und Informationssystemen ganzheitlich zu lösen. Das bedeutet, dass alle Abteilungen, alle Bereiche miteinander kooperieren müssen. Die Verantwortung für die Umsetzung bleibt beim Leitungsorgan der Finanzorganisation.

In diesem Zusammenhang ist auch das Thema „kritische oder wichtige Funktionen“ in allen DORA Säulen von Bedeutung:

Säule I IKT-Risikomanagementrahmen (Kapitel II) Allgemeine Vorschriften für Strategien, Leitlinien, Verfahren, IKT-Protokolle und -Werkzeuge, die zum Schutz aller IKT-Assets erforderlich sind, insbesondere derjenigen, die kritische oder wichtige Funktionen unterstützen.
Säule II Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III) Schwerwiegende IKT-bezogene Vorfälle, d. h. Vorfälle, die erhebliche nachteilige Auswirkungen auf das Netz und die Informationssysteme haben, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, unterliegen der Meldepflicht.
Säule III Testen der digitalen operationalen Resilienz (Kapitel IV) a) Anwendungen und Systeme, die kritische oder wichtige Funktionen unterstützen, müssen einmal im Jahr getestet werden. b) Wenn ein TLPT durchgeführt werden muss, fallen mehrere oder alle kritischen oder wichtigen Funktionen in den Umfang.
Säule IV Management des IKT-Drittparteienrisikos (Kapitel V) IKT-Drittleistungen, die kritische oder wichtige Funktionen unterstützen, unterliegen weitergehenden vertraglichen Vereinbarungen. Die Finanzinstitute müssen auch eine Strategie für das IKT-Drittrisiko anpassen.
Säule V Vereinbarungen über den Austausch von Informationen (Kapitel VI) Freiwilliger Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen mit dem Ziel, die Fähigkeiten zur angemessenen Bewertung, Überwachung, Abwehr von und Reaktion auf Cyber-Bedrohungen zu verbessern. Er umfasst alle Arten von Informationen.

Asset management / Vermögensverwaltung

Der erste Schritt besteht darin, eine Bestandsaufnahme des eigenen IKT-Netzes vorzunehmen.

Die Verantwortung dafür, welche Anwendungen und Funktionen kritische oder wichtige Funktionen unterstützen, liegt bei dem Finanzinstitut selbst. Ein hilfreicher Leitfaden für die Durchführung dieser Bewertung findet sich in der Definition in DORA:

Definition: Laut DORA gilt eine Funktion als "kritisch und wichtig", wenn ihre Unterbrechung die finanzielle Leistungsfähigkeit, Stabilität und Kontinuität der Dienstleistungen und Operationen eines Finanzinstituts wesentlich beeinträchtigen könnte. Gleiches gilt, wenn eine Störung, Fehlfunktion oder Unterbrechung dieser Funktion die laufende Einhaltung der Zulassungsbedingungen und -pflichten sowie anderer aufsichtsrechtlicher Anforderungen im Rahmen der geltenden Rechtsvorschriften für Finanzdienstleistungen wesentlich beeinträchtigen würde (Art. 3(22) DORA).

Die andere hilfreiche Leitlinie ist die Anwendung des Prinzips der Verhältnismäßigkeit (Art. 4 DORA). Finanzinstitute sollten ihre Größe und ihr Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte berücksichtigen. Es ist offensichtlich, dass das Risikoprofil und die Komplexität der Dienstleistungen zwischen Kleinstunternehmen und internationalen Banken stark variieren.

Folglich kann die Bewertung von einem Finanzinstitut zum anderen zu unterschiedlichen Ergebnissen führen.

Säule I – IKT-Risikomanagementrahmen  

In Kapitel II werden die Kernanforderungen für die Einhaltung der DORA festgelegt - der IKT-Risikomanagementrahmen.

Innerhalb dieses Rahmens sind die Finanzinstitute in Bezug auf kritische oder wichtige Funktionen unter anderem verpflichtet:

  • Identifizierung aller Informations- und IKT-Assets, und Erfassung kritisch eingestuften Assets, einschließlich derer an externen Standorten, Netzwerkressourcen und Hardware, sowie deren Konfigurationen, Verbindungen und Interdependenzen (Art 8(4) DORA).
  • Dokumentation aller Prozesse, die von IKT-Drittanbietern abhängen, und Ermittlung der Vernetzungen zu diejenigen, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen (Art 8(5) DORA).
  • Entwicklung und Umsetzung von IKT-Sicherheitsrichtlinien und -instrumenten zur Gewährleistung der Widerstandsfähigkeit, Kontinuität und Verfügbarkeit von Systemen, insbesondere derjenigen, die kritische Funktionen unterstützen, unter Wahrung hoher Standards für die Datensicherheit (Art 9(2) DORA).
  • Implementierung der IKT-Geschäftsfortführungsleitliniedurch dokumentierte Vorkehrungen zur Gewährleistung der Kontinuität kritischer oder wichtiger Funktionen und wirksame Reaktion auf IKT-bezogene Vorfälle(Art 11(2) DORA).
  • Erstellung, Pflege und regelmäßiger Test von IKT-Geschäftsfortführungspläne, insbesondere für kritische oder wichtige Funktionen, die an externe IKT-Dienstleister ausgelagert sind(Art 11(4) DORA).

Alle Inhalte des IKT-Risikomanagementrahmens sind notwendig, um die Anforderungen der anderen Säulen wirksam zu erfüllen.

Die näheren Anforderungen an das IKT-Risikomanagementrahmen sind in der ergänzenden RTS zur IKT-Risikomanagement und vereinfachten IKT-Risikomanagementrahmen (EU 2024/1505).

Klassifizierung von IKT-Vorfällen als „schwerwiegend“ (RTS (EU)2024/1772)
Klassifizierung von IKT-Vorfällen als „schwerwiegend“ (RTS (EU)2024/1772)

Säule II - Incident Management, Klassifizierung von Vorfällen und Berichterstattung

Dem Aufbau der DORA folgend, findet sich der nächste Meilenstein, an dem „IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen“ erwähnt werden, in Kapitel III im Zusammenhang mit der Klassifizierung von IKT-bezogenen Vorfällen.

Alle Vorfälle müssen aufgeklärt werden. Wenn der Vorfall jedoch als schwerwiegend eingestuft wird, muss er auch gemeldet werden. Die Einstufung von Vorfällen basiert auf einer delegierten Verordnung, einer separaten technischen Regulierungsnorm: RTS zur Klassifizierung von schwerwiegenden IKT-bezogenen Vorfällen und erheblichen Cyberbedrohungen (EU 2024/1772).

Der Klassifizierungsprozess läuft wie folgt ab:

1. Nach der Entdeckung des Vorfalls ist der erste Schritt die Analyse der Kritikalität der betroffenen Dienste.

Kriterium a)      wird verwendet, um zu beurteilen, ob die IKT-Dienste oder Netz- und Informationssysteme, die kritische oder wichtige Funktionen unterstützen, betroffen sind.

Kriterium b)     prüft, ob die Finanzdienstleistungen, die einer Zulassung oder Registrierung bedürfen oder von den zuständigen Behörden beaufsichtigt werden, beeinträchtigt sind.

Kriterium c)      prüft, ob ein erfolgreicher, böswilliger und unbefugter Zugriff auf das Netz und die Informationssysteme stattgefunden hat, der zu Datenverlusten führen könnte.

2. Wenn keines der Kriterien erfüllt ist, ist der Vorfall nicht als schwerwiegend einzustufen und muss nicht gemeldet werden.

3. Wenn Kriterium c) betroffen ist, wird der Vorfall als schwerwiegend eingestuft.

4. Wenn Kriterium a) oder Kriterium b) betroffen sind, müssen weitere Kriterien in Bezug auf die jeweilige Wesentlichkeitsschwelle geprüft werden:

  • Kunden, finanzielle Gegenparteien und Transaktionen;
  • Auswirkungen auf die Reputation;
  • Dauer und Ausfallzeit des Dienstes;
  • Geografische Ausbreitung;
  • Datenverluste; und
  • Wirtschaftliche Auswirkungen.

Wenn die Wesentlichkeitsschwelle von zwei oder mehr weiteren Kriterien erfüllt ist, wird der Vorfall als schwerwiegend eingestuft.

Es gibt zwei zusätzliche Rechtsakte, die Fragen im Zusammenhang mit der Meldung von Vorfällen regeln:

Beide Dokumente wurden am 17. Juli 2024 in Form von Abschlussberichten der ESAs veröffentlicht. Im nächsten Schritt werden sie von der Europäischen Kommission angenommen und vom Europäischen Parlament und dem Rat geprüft. Und schließlich werden sie in alle Sprachen der EU-Mitgliedstaaten übersetzt und im Amtsblatt der EU veröffentlicht.

Die Meldefristen sind sehr kurz. Die Erstmeldung muss so schnell wie möglich erfolgen, spätestens jedoch 4 Stunden, nachdem der Vorfall als schwerwiegend eingestuft wurde, und nicht später als 24 Stunden, nachdem das Finanzinstitut von dem Vorfall Kenntnis erlangt hat. Wird ein Vorfall zu einem späteren Zeitpunkt als schwerwiegend eingestuft, muss das Finanzinstitut die Erstmeldung innerhalb von 4 Stunden nach der Einstufung übermitteln.

Im Falle eines IKT-Vorfalls ist es wichtig, schnell und angemessen zu reagieren. Aus diesem Grund legt DORA großen Wert auf die vorbereitenden Maßnahmen. Man muss sein IKT-Netz kennen und Maßnahmen ergreifen, um einen Vorfall schnell zu erkennen und darauf zu reagieren. 

Es würde viel wertvolle Zeit kosten, zu prüfen, welche Anwendungen und Systeme kritische und wichtige Funktionen unterstützen, wenn man gleichzeitig mit der Behebung des Vorfalls beschäftigt ist. Die Analyse der Assets muss früher durchgeführt werden.

Testmethodik und Zusammenarbeit mit Behörden
Quellen: BaFin und Final report on Regulatory Technical Standards specifying elements related to TLPT

Säule III – Testen der digitalen operationalen Resilienz

Das Kapitel IV der DORA regelt die Anforderungen an die Prüfung der digitalen Belastbarkeit (Digital Operational Resilience). DORA skizziert zwei primäre Formen von Prüfungen:

Das Programm für Tests der digitalen operationalen Resilienz

DORA grenzt den Umfang der Sicherheitstests auf „IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen“ ein (Art. 24(6) DORA).

Für die Sicherheitsprüfung stellt DORA eine beispielhafte Liste von Prüfmethoden zur Verfügung: Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests.

Die DORA verlangt, dass diese Tests einmal im Jahr durchgeführt werden. Das bedeutet, dass das Finanzinstitut einen Testplan für ein Jahr erstellen sollte. Die Analyse, welche Anwendungen und Systeme in dem Scope fallen, muss regelmäßig erneuert werden, da sich das IKT-Netzwerk im Laufe der Zeit verändert. Mit anderen Worten, der Testplan und -umfang kann sich von Jahr zu Jahr ändern.

TLPT

Die Bedrohungsorientierte Penetrationstests (TLPT - Threat-Led Penetration Testing) werden nur für ausgewählte Finanzunternehmen verpflichtend sein. Diese werden von der jeweils zuständigen Behörde informiert.

TLPT ist „ein Rahmen, der [die] Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht“ (Art 3(17) DORA).

Der Umfang des TLPT umfasst mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens, und es wird an produktiven Systemen durchgeführt, die diese Funktionen unterstützen.

Im Kern basiert das TLPT auf dem TIBER-Rahmenwerk, enthält aber erweiterte Anforderungen. So ist z. B. das Testen durch ein Purple Team als Teil des Projekts obligatorisch. Auch die Organisationsstruktur der Teilnehmerkreis ist etwas anders gestaltet. Derzeit wird TIBER in vielen EU-Mitgliedstaaten mit eigenen länderspezifischen Richtlinien umgesetzt. Inwieweit sich die bestehenden Anforderungen vom TLPT unterscheiden, ist in den einzelnen EU-Mitgliedstaaten unterschiedlich. Im Allgemeinen sieht der Ablauf von TLPT folgend aus:

Die Kernanforderungen an den TLPT sind in den Artikeln 26 und 27 der DORA festgelegt. Die detaillierteren Bestimmungen werden in einem separaten Regulatory Technical Standard (RTS) geregelt. Der Abschlussbericht der ESA zum RTS-Entwurf wurde am 17. Juli 2024 veröffentlicht: RTS on specifying elements related to TLPT (ESAs final report JC 2024 29).

Säule IV – Management des IKT-Drittparteienrisikos

Auch in Kapitel V wird auf das Thema der „kritischen oder wichtigen Funktionen“ eingegangen. Für das Verständnis dieses Kapitels ist es wichtig, zu verdeutlichen, dass es in DORA zwei Arten der Kritikalität gibt:

  • Kritische oder wichtige Funktion - entscheidend für den Betrieb einer Finanzorganisation
  • Kritischer dritter IKT-Dienstleister - systemrelevant für die Stabilität des europäischen Finanzmarktes.
  • Das IKT-Risikomanagement von kritischen IKT-Drittanbietern ist in Art. 31-44 DORA und in der RTS zur Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch (EU 2024/1502) reguliert. In diese Kategorie fallen Cloud-Anbieter wie Microsoft Azure, Google Cloud Project oder AWS aufgrund ihrer Bedeutung für den europäischen Finanzmarkt. Diese Unternehmen werden von der Europäischen Union geprüft und fallen unter den Überwachungsrahmen für kritische IKT-Drittdienstleister.

Unser Artikel konzentriert sich auf den ersten Punkt - kritische oder wichtige Funktionen. 

DORA legt großen Wert auf das Management von IKT-Drittparteienrisiken.

Der wichtigste Grundsatz für das Management von IKT-Drittparteienrisiken in Bezug auf kritische oder wichtige Funktionen ist in Kapitel II dargelegt, das den IKT-Risikomanagementrahmen regelt. DORA schreibt vor, dass Finanzunternehmen alle Prozesse, die von IKT-Drittanbietern abhängig sind, identifizieren und dokumentieren müssen, einschließlich einer detaillierten Beschreibung der Verbindungen mit den Anbietern, die Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringen (Art 8(5) DORA).

Die detaillierten Bestimmungen für IKT-Drittparteienrisikomanagement sind in den Artikeln 28-30 der DORA niedergelegt. Darüber hinaus werden die spezifischeren Bestimmungen in drei ergänzenden Rechtsakten behandelt:

Finanzinstitute sind verpflichtet, eine Strategie für IKT-Drittparteienrisiken zu verabschieden, die eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen umfassen muss (Art 28(2) DORA).

Die DORA geht sogar noch weiter, indem sie auch die Unterauftragnehmer unter die Lupe nimmt. Wenn IKT-Drittdienstleister die IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion per Unterauftrag an andere Anbieter vergibt, müssen die Finanzinstitute den potenziellen Nutzen und die Risiken solcher Vereinbarungen abwägen. Insbesondere mit Augenmerk auf die Risiken, die mit Unterauftragnehmern mit Sitz in Drittländern verbunden sind (Art 29(2) DORA).

Die Finanzinstitute müssen diezuständige Behörde rechtzeitig über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Diensten zur Unterstützung kritischer oder wichtiger Funktionen sowie über den Fall, dass eine Funktion kritisch oder wichtig geworden ist, informieren (Art 28 Abs. 3 DORA).

Und schließlich regelt Artikel 30 DORA die wesentlichen Vertragsbestimmungen. Für Dienste, die kritische oder wichtige Funktionen unterstützen, sind detailliertere und umfassendere Informationen erforderlich.

Zusammenfassung

Die Identifizierung der Dienste, Anwendungen und Systeme, die kritische oder wichtige Funktionen unterstützen, ist eine Kernanforderung in DORA. Sobald diese Assets aufgelistet sind, schafft dies Transparenz für das Finanzinstitut selbst und eine effektivere Einhaltung der DORA-Anforderungen.

Ohnehin ist es eine gute Übung zu untersuchen welche Anwendungen und Systeme in das IKT-Netzwerk integriert sind. Um zu verstehen, welche Anwendungen bleiben sollten, welche deinstalliert werden sollten. Und welche im Laufe der Jahre in Vergessenheit geraten sind, aber immer noch im System laufen und niemand ein Auge auf ihre Sicherheit wirft. Letzteres ist ein erhebliches Sicherheitsrisiko.

Die DORA überträgt die Verantwortung auf die Geschäftsleitung der Finanzinstitute und verlangt von ihr, eine zentrale und aktive Rolle bei der Steuerung und Anpassung des IKT-Risikomanagementrahmens und der Gesamtstrategie für die digitale operative Widerstandsfähigkeit zu spielen (Erwägungsgrund 45 DORA).

Die Anforderungen der DORA sind umfassend und anspruchsvoll in Bezug auf die Informations- und IT-Sicherheit. SEC Consult ist einer der führenden Experten in allen in diesem Artikel genannten Bereichen und wir sind zuversichtlich, dass wir Sie auf Ihrem Weg zur DORA-Konformität unterstützen können.

Mehr zum Thema

Zurück