Cyberbedrohungen entwickeln sich rasant weiter, da sie wie alles andere in unserer zunehmend digitalen Welt von Technologie angetrieben werden. Da Daten die wertvollste Ressource sind, ist es kein Wunder, dass Regierungen immer strengere Vorschriften für die Sicherheit von Informations- und Kommunikationstechnologien (IKT) und den Datenschutz erlassen. Der Digital Operational Resilience Act, kurz DORA, ist die jüngste Verordnung der EU zum IKT-Risikomanagement durch Finanzunternehmen.
In diesem Artikel zur DORA-Compliance-Checkliste erklären wir Ihnen genau, was diese Sicherheitsanforderungen sind, wer sie einhalten muss und wie Sie die Einhaltung sicherstellen können, unabhängig davon, ob Sie ein Finanzunternehmen betreiben oder mit einem solchen zusammenarbeiten.
Der folgende Leitfaden, der von unseren Testexperten mit Unterstützung der Rechtsabteilung verfasst wurde, erläutert die komplexeren Teile der Vorschriften. Wir wollten sicherstellen, dass auch Personen ohne Expertenwissen im Bereich Rechtssprache leicht verstehen können, was das Gesetz von ihnen erwartet. Wenn Sie detailliertere und individuellere Antworten suchen, bieten wir Ihnen DORA-Compliance-Beratungsdienste an, die Ihnen helfen, sich in diesen Anforderungen zurechtzufinden.
Was ist DORA-Compliance und wer benötigt sie?
DORA ist eine Reihe von Vorschriften, die das IKT-Risikomanagement (einschließlich der Interaktion mit Drittanbietern), die Prüfung der betrieblichen Widerstandsfähigkeit und die Meldung von IKT-Vorfällen für Finanzunternehmen mit Sitz in der EU regeln. Es ist zu beachten, dass verschiedene DORA-Kennzahlen nicht nur für Finanzinstitute mit Sitz in der EU (Banken, Versicherungen, Blockchain- und digitale Zahlungsabwicklungsanbieter) gelten, sondern auch für diejenigen, die mit diesen Finanzunternehmen Geschäfte tätigen.
Eine weitere wichtige Randbemerkung ist, dass DORA am 16. Januar 2023 in Kraft getreten ist. Die verbindliche Compliance-Frist begann jedoch erst am 17. Januar 2025. Der Grund für die Verzögerung ist, dass den Finanzunternehmen, die dieser Verordnung unterliegen, Zeit zur Vorbereitung gegeben werden soll. Laut Harvey Jang, Chief Privacy Officer bei Cisco, sind jedoch bei weitem nicht alle bereit, da die Vorschriften so komplex sind. Die gute Nachricht ist, dass die Zusammenarbeit mit einem erfahrenen Team Ihrem Unternehmen dabei helfen kann, die notwendigen Änderungen zur Einhaltung der Vorschriften umzusetzen.
Um ein umfassenderes Verständnis der aktuellen EU-Vorschriften für Finanzinstitute zu erhalten, lesen Sie unsere Übersicht über DORA, MiCA und DAC8. Diese hilft Ihnen zu verstehen, wo Ihr Unternehmen in Bezug auf Datensicherheit stehen sollte, wenn es mit Geld in der EU umgeht.
DORA-Compliance-Checkliste Schritt für Schritt erklärt
Zunächst einmal möchten wir Ihnen genau erklären, was „DORA-Compliance“ bedeutet, damit Sie beurteilen können, ob Ihr Unternehmen in jeder Hinsicht konform ist. Dieser Begriff bedeutet, dass Sie gegenüber einer zuständigen Behörde und Wirtschaftsprüfern objektiv nachweisen können, dass Ihr End-to-End-Betriebssystem für digitale Resilienz Folgendes umfasst:
- IKT-Risikomanagement (BCP/DR, Governance, Kontrollen, Überwachung, Richtlinien)
- Meldung von IKT-Vorfällen (Klassifizierung, Meldevorlagen, gesetzliche Fristen)
- Tests der digitalen Betriebsresilienz (Basistests für alle, gegebenenfalls erweiterte Tests)
- Risikomanagement für IKT-Drittanbieter (Outsourcing-Lebenszyklus, Vertragsklauseln, Konzentrationsrisiken)
- Vereinbarungen zum Informationsaustausch (freiwillig und geregelt)
Eine ausführlichere Erläuterung der einzelnen Punkte finden Sie in unserem Artikel zu den DORA-Vorschriften. Lesen Sie ihn sich unbedingt durch. Nachstehend finden Sie eine Liste mit grundlegenden Fragen, die Ihnen bei der grundlegenden Bewertung Ihres Unternehmens hinsichtlich der DORA-Konformität helfen sollen. Anhand der Antworten können Sie feststellen, ob Sie professionelle Unterstützung für ein tiefergehendes Audit oder automatisierte Tests benötigen.
1. Gilt DORA für unser Unternehmen?
Der erste Schritt besteht darin, zu überprüfen, ob Ihr Unternehmen oder Ihre Organisation überhaupt die Einhaltung der DORA-Vorschriften sicherstellen muss. Eine allgemeine Liste der Finanzunternehmen, für die DORA gilt, umfasst:
- Banken
- Zahlungsabwicklungsanbieter
- E-Geld-Anbieter
- Investmentmanagement-Unternehmen
- Versicherungsgesellschaften
- Anbieter von Krypto-Asset-Dienstleistungen
- Vermittler für Finanzgeschäfte
Wie bereits erwähnt, ist DORA äußerst komplex. Um also hundertprozentig sicher zu sein, ob und in welchem Umfang es für Ihr Unternehmen gilt, müssen Sie entweder Artikel 2 der Verordnung genauestens studieren oder einen Rechtsexperten konsultieren. Dies sollte Ihnen auch helfen, die Verhältnismäßigkeit der Anwendung von DORA auf Ihr Unternehmen zu verstehen. Einfach ausgedrückt bedeutet dies, dass die Größe, Spezialisierung und Tätigkeitsbereiche Ihres Unternehmens Einfluss auf die Kontrollmaßnahmen haben, die Sie umsetzen müssen. Stellen Sie sich dies beispielsweise als Skalierung von DevOps-Best-Practices vor, die sich an die Komplexität des Systems anpassen, anstatt Prozesse blindlings in größerem Maßstab zu kopieren.
In dieser Phase der DORA-Compliance-Überprüfung erwarten die Aufsichtsbehörden Folgendes:
- Eine dokumentierte Entscheidung, die erklärt, warum Sie in den Geltungsbereich der Verordnung fallen
- Eine kurze Erläuterung, wie Sie die Größe und Komplexität Ihres Unternehmens gemessen haben
- Nachweise dafür, dass die Verhältnismäßigkeit konsequent angewendet wird
2. Wer ist verantwortlich und wie setzen Sie die Aufsicht durch?
Ein wesentlicher Bestandteil der Erfüllung der DORA-Compliance-Anforderungen besteht darin, die Geschäftsleitung direkt für das Management der technologischen Resilienz verantwortlich zu machen, wie sie es auch für jedes andere große Geschäftsrisiko tun würde. Die Prüfer erwarten klare Unterlagen, aus denen Folgendes hervorgeht:
- Wer für das DORA-Compliance-Management verantwortlich ist
- Wer die IKT-Risiken überwacht
- Wer die Kontrollen unabhängig validiert
- Ein genehmigtes IKT-Risikorahmenwerk, das die Risikobereitschaft, akzeptable Ausfallzeiten und Wiederherstellungsschwellen definiert
- Klar definierte Zuständigkeiten für Systeme, die kritische Funktionen unterstützen
- DevOps-Leistungstest-Workflows, die sicherstellen, dass häufige Bereitstellungen die Risikoüberwachung nicht umgehen
3. Auf welche Technologie sind wir angewiesen und welche Geschäftsprozesse basieren darauf?
Um Ihre operative Widerstandsfähigkeit unter Beweis zu stellen, müssen Sie Ihre Betriebsabläufe genau kennen. Das bedeutet, dass Sie über eine detaillierte Bestandsaufnahme verfügen müssen, die Folgendes umfasst:
- Anwendungen: Kernsysteme, SaaS-Lösungen, interne Software
- Datenspeicher: Datenbanken, Dateisysteme
- Infrastruktur: Server, Netzwerke, Cloud-Ressourcen
- Privilegierte Konten: Administratorzugriff
- Abhängigkeiten: Was funktioniert nicht mehr, wenn dies ausfällt?
- IKT-Dienste: alles, was kritische Funktionen unterstützt
Die Aufsichtsbehörden werden das vollständige Inventar sowie Architektur- und Abhängigkeitsdiagramme und Datenflusskarten überprüfen. Insgesamt müssen Sie klare Verbindungen zwischen allen Systemen und Geschäftsfunktionen nachweisen.
4. Was könnte schiefgehen und wie können wir das verhindern?
Ihre persönliche DORA-Compliance-Checkliste muss eine detaillierte Analyse der technologischen Risiken und Pläne zur Bewältigung jedes einzelnen Punktes enthalten. Die DORA-Compliance erfordert, dass Sie die IKT-Risiken in vier Dimensionen bewerten:
- Vertraulichkeit
- Verfügbarkeit
- Integrität
- Authentizität
Die Aufsichtsbehörden erwarten von Ihnen, dass Sie für jedes Risikoszenario spezifische Kontrollen vorsehen. Daher ist es unerlässlich, über eine Pipeline zur Erfassung und Speicherung konkreter Daten zu verfügen, wie z. B. DevOps-Leistungskennzahlen und Zugriffsüberwachungsprotokolle. Sie müssen den Prüfern messbare Nachweise vorlegen, um die DORA-Compliance zu belegen.
Zu den gängigen Kennzahlen gehören:
- Systemverfügbarkeit
- Mittlere Wiederherstellungszeit (MTTR)
- Fehlgeschlagene Bereitstellungsraten
- Erfolgsraten von Backups
- Häufigkeit von Vorfällen
Durch die Einrichtung regelmäßiger Sicherheitstests können Sie die relevanten Daten erfassen und Trends identifizieren, die von den Prüfern überprüft werden können.
5. Sind unsere Kontrollen in der Praxis wirksam?
Natürlich ist es unerlässlich, über Richtlinien zu verfügen, die neben den DevOps-Best Practices auch die Bereitstellungspipeline und die kontinuierliche Bereitstellung abdecken. Die DORA-Compliance-Prüfer verlangen jedoch nicht nur Ihre Geschäftsunterlagen, sondern auch konkrete Nachweise dafür, dass die von Ihnen eingesetzten IKT-Risikokontrollen aktiv und wirksam sind. Sie erwarten Folgendes:
- Vollständige Aufschlüsselung der Zugriffskontrollen
- Protokollierung und Überwachung von Vorfällen (Protokolle müssen beigefügt werden)
- Systemänderungsmanagement (einschließlich Genehmigungspipelines und Protokollen zur Änderungsfehlerquote)
- Systemstabilität, Sicherheitskonfigurationen und deren Überwachung
- Backup-Verfahren mit einer detaillierten Aufschlüsselung, wie Backups durchgeführt und getestet werden
- Pläne für kontinuierliche Bereitstellung und Notfallwiederherstellung (einschließlich DevOps-Leistungskennzahlen)
- Praktische Übungen, die von den Mitarbeitern durchgeführt werden, um zu zeigen, dass sie wissen, was im Falle von Störungen der IT-Leistung zu tun ist
6. Wie erkennen, klassifizieren und melden wir Vorfälle rechtzeitig?
Gemäß der DORA-Compliance-Checkliste ist es mittlerweile unerlässlich, ICT-Vorfälle nicht nur intern zu bearbeiten, sondern schwerwiegende Fälle auch den zuständigen Aufsichtsbehörden zu melden. Sie müssen den Prüfern nachweisen, dass Sie über Folgendes verfügen:
- Klare Definitionen der Schwere von Vorfällen, um „schwerwiegende” Vorfälle zu identifizieren, die eine schnelle Meldung erfordern
- Automatisierte Warn- und Eskalationssysteme, die in Ihre Abläufe zur Bewertung der Softwarezuverlässigkeit integriert sind
- Runbooks, die die Reaktion auf Vorfälle und die meldepflichtigen Vorfälle abdecken
- Eine klar definierte Pipeline, wer entscheidet, ob der Vorfall gemeldet werden muss, wer ihn meldet und wer die erforderlichen Genehmigungen erteilt
7. Können wir Störungen in der realen Welt standhalten?
Compliance-Prüfungen sind gut und notwendig, aber die DORA-Kennzahlen erfordern regelmäßige Tests Ihrer IT-Leistung und -Sicherheit als Ganzes. Zu den Basistests, die jedes Unternehmen, das DORA-Compliance erfordert, regelmäßig durchführen muss, gehören:
- Schwachstellenscans
- Konfigurationsüberprüfungen
- SDLC-Sicherheitstests
- Tabletop-Übungen zur Reaktion auf Vorfälle
- Backup-Wiederherstellungstests
Einige der Unternehmen, die den DORA-Vorschriften unterliegen, müssen sich außerdem regelmäßigen, bedrohungsorientierten Penetrationstests unterziehen. Um den Aufsichtsbehörden nachzuweisen, dass Sie ein leistungsstarkes Unternehmen führen, das Sicherheit auf DORA-Ebene priorisiert, müssen Sie ihnen jährliche Testpläne, Testergebnisse und nachverfolgte Abhilfemaßnahmen vorlegen. Beachten Sie, dass Sie diese Testpläne unter Berücksichtigung Ihrer Bereitstellungshäufigkeit gemäß den DevOps-Best Practices entwerfen müssen.
8. Stellen unsere Anbieter/Lieferanten zusätzliche Risiken dar?
Gemäß den DORA-Kennzahlen sind IKT-Anbieter Teil Ihrer Risikolandschaft. Daher ist es unerlässlich, die von ihnen ausgehenden Risiken zu managen und in Ihre allgemeine digitale Sicherheitsstrategie einzubeziehen. So sollten Sie dabei vorgehen:
- Führen Sie vor Vertragsunterzeichnung eine Due-Diligence-Prüfung und eine Risikobewertung durch.
- Stellen Sie sicher, dass der Anbieter/Lieferant informiert ist und sich zur Einhaltung der erforderlichen Sicherheits- und Resilienzanforderungen verpflichtet.
- Organisieren Sie regelmäßige Leistungs- und Vorfallbewertungen, messen Sie Risiken und passen Sie Ihre Interaktionen entsprechend an.
- Stellen Sie sicher, dass Sie Ihre Geschäftsbeziehung mit dem Anbieter schnell wechseln oder beenden können, ohne Ihre Sicherheit zu gefährden.
- Führen Sie ein strukturiertes Register der IKT-Outsourcing-Verträge unter Verwendung der von der EU vorgeschriebenen Vorlagen.
Die Prüfer werden alle oben genannten Punkte überprüfen, daher müssen Sie bereit sein, alle erforderlichen Dokumente vorzulegen, die den EU-Vorschriften entsprechen.
9. Was ist, wenn unsere Anbieter als „kritisch” eingestuft werden?
Wenn Sie mit IKT-Anbietern zusammenarbeiten, die gemäß den EU-Vorschriften und -Aufsichtsbestimmungen als „kritisch” eingestuft sind, müssen Sie Folgendes sicherstellen:
- Entwickeln Sie eine Strategie und Arbeitsabläufe für das Management von Abhängigkeits- und Konzentrationsrisiken.
- Verfügen Sie über eine umfassende Strategie für das Management der Risiken Ihres eigenen Unternehmens.
- Legen Sie den Prüfern Notfall- und Ausstiegspläne vor.
- Stellen Sie eine klare Abhängigkeitskarte zur Verfügung, ergänzt durch Erläuterungen, warum die Abhängigkeiten akzeptabel sind.
10. Können wir die DORA-Konformität jederzeit nachweisen?
Der Sinn einer DORA-Konformitätscheckliste besteht darin, sicherzustellen, dass Sie bei einem Audit nachweisen können, dass Sie alle erforderlichen Anforderungen erfüllen. Ähnlich wie die kontinuierliche Integration und Bereitstellung, die den Kern der DevOps-Best Practices bilden, ist auch DORA ein kontinuierlicher Prozess. Das bedeutet, dass Sie nicht nur einmal die DORA-Konformität sicherstellen, ein Audit durchlaufen und dann alles vergessen können. Regelmäßige Tests und Anpassungen müssen Teil Ihrer Routine werden. Dies ist nur ein weiterer Schritt, um die Zuverlässigkeit Ihrer Software und die allgemeine digitale Sicherheit zu gewährleisten.
Aus Compliance-Sicht ist es Ihr Ziel, ein solides Beweispaket zu erstellen, das Sie den Prüfern jederzeit vorlegen können. Es muss Folgendes enthalten:
- Zuordnung von Kontrollen zu Anforderungen
- Zentrale Beweisspeicher
- Prüfpfade (Protokolle, Tickets, Genehmigungen)
- Interne Audit-Prüfungen und Nachverfolgung von Korrekturmaßnahmen
Bei der Bewertung Ihres Unternehmens hinsichtlich der DORA-Compliance achten die Aufsichtsbehörden auf die Konsistenz von Richtlinien, Praktiken und Nachweisen. Dies weisen Sie durch regelmäßige Tests und Überprüfungen, konsistente Aktualisierungen und die Dokumentation von Korrekturmaßnahmen und deren Ergebnissen nach.
Was passiert, wenn Sie die Vorschriften nicht einhalten?
Die Durchsicht einer DORA-Compliance-Checkliste ist ein guter Anfang. Wenn Sie jedoch ernsthaft daran interessiert sind, diese komplexen Vorschriften zu erfüllen, benötigen Sie professionelle Unterstützung und zumindest eine Rechtsberatung. Die Strafen, die Ihnen bei Nichteinhaltung drohen, werden von den einzelnen EU-Staaten von Fall zu Fall festgelegt.
Die Strafen können von administrativen Maßnahmen wie öffentlichen Erklärungen bis hin zu strafrechtlichen Anklagen nach dem nationalen Recht des EU-Mitgliedstaates reichen. Da es unter DORA kein einheitliches Bußgeld- oder EU-weites Strafsystem gibt, wird jeder Verstoß und jede Nichteinhaltung individuell untersucht und geahndet. Eines ist jedoch sicher: Dies wird einen schwarzen Fleck auf dem Ruf Ihres Unternehmens hinterlassen. In der Finanzbranche, in der Zuverlässigkeit und Unbescholtenheit von größter Bedeutung sind, kann eine solche Kränkung eine Marke vollständig ruinieren.
Wie QAwerk Ihnen helfen kann, die DORA-Konformität sicherzustellen und aufrechtzuerhalten
Bei QAwerk bieten wir eine breite Palette von Testdienstleistungen an, darunter Penetrationstests und sogar spezielle Blockchain-Tests. In den letzten zehn Jahren haben wir über 300 Projekte abgeschlossen und Unternehmen aus aller Welt dabei geholfen, ihre Schwachstellen zu identifizieren und zu beheben.
In Bezug auf die DORA-Compliance können unsere Teams Sie bei folgenden Aufgaben unterstützen:
- Kontrollüberprüfung und Evidence Engineering
- Resilienztests
- Übungen zur Vorbereitung auf Vorfälle
- Tests zur Sicherstellung durch Dritte
- Kontinuierliche Compliance-Tests
Wir arbeiten mit Ihnen zusammen, um sicherzustellen, dass alle Ihre Abwehrmechanismen und Berichtsmechanismen kontinuierlich aktualisiert werden, damit sie den höchsten Standards entsprechen, die von Finanzinstituten und ihren Partnern, die in der EU tätig sind, erwartet werden. Kontaktieren Sie uns noch heute, um Ihren Weg zur Compliance zu beginnen!