DORA Governance und Organisation: Das Fundament für digitale Resilienz in Finanzunternehmen
Mit Umsetzung des Digital Operational Resilience Act (DORA) kommt auf das Leitungsorgan von Finanzinstituten eine entscheidende Rolle im Management von IKT-Risiken zu. Die Geschäftsführung bzw. der Vorstand von Finanzunternehmen ist mehr denn je gefordert, die Umsetzung aller Vorkehrungen im Zusammenhang mit dem neuen IKT-Risikomanagementrahmen zu definieren, zu genehmigen, zu überwachen und zu verantworten. Dies umfasst die Entwicklung umfassender Richtlinien zur IT-Sicherheit und Resilienz, die präzise Zuweisung von Rollen und Verantwortlichkeiten in IKT-Funktionen sowie die Etablierung solider Governance-Strukturen.
Weitere zentrale Aufgaben beinhalten die Ausarbeitung und Genehmigung von Strategien zur digitalen Betriebsstabilität, die regelmäßige Überprüfung von IKT-Geschäftskontinuitätsplänen und die sorgfältige Verwaltung von IKT-Diensten durch Drittanbieter. Zudem müssen die Mitglieder des Leitungsorgans über ein tiefgehendes Verständnis der IKT-Risiken verfügen, deren Auswirkungen kennen und sich kontinuierlich weiterbilden.
Effektives Management von IKT-Risiken
Finanzunternehmen sind verpflichtet, gemäß Artikel 6 Absatz 4, einen internen Governance- und Kontrollrahmen zu etablieren. Dieser Rahmen soll sicherstellen, dass IKT-Risiken effektiv und umsichtig gemanagt werden, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen. Das bedeutet, dass Unternehmen in der Lage sein müssen, ihre digitalen Systeme und Prozesse auch unter widrigen Umständen aufrechtzuerhalten und schnell auf Vorfälle zu reagieren.
Der IKT-Risikomanagementrahmen umfasst dabei Strategie, Richtlinie und Verfahrensbeschreibungen über alle Ebenen hinweg Vorstand, 1st- und 2nd Line-Funktionen – und erweitert dabei signifikant die bestehende schriftlich fixierte Ordnung von Finanzinstituten (siehe Grafik „sfo Dokumentenpyramide“).
Die Rolle des Leitungsorgans
Das Leitungsorgan eines Finanzunternehmens spielt eine zentrale Rolle bei der Umsetzung des IKT-Risikomanagements. Es ist verantwortlich für:
- Definieren und Genehmigen: Festlegung und Genehmigung aller IKT-Risikomanagementmaßnahmen
- Überwachung und Verantwortung: Regelmäßige Überwachung und Überprüfung der umgesetzten Maßnahmen
- Leitlinien und Standards: Einführung von Leitlinien zur Aufrechterhaltung hoher Standards bei Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten
- Aufgaben und Verantwortlichkeiten: Klare Zuordnung von Aufgaben und Verantwortlichkeiten für alle IKT-bezogenen Funktionen sowie Einrichtung geeigneter Governance-Regelungen
Zusammenfassung
Auf Basis der bisherigen Anwendungserfahrungen aus diversen DORA-Umsetzungsprojekten sehen wir insbesondere folgende Herausforderungen, die hohe Anforderungen an die Verantwortung und operative Einbindung der Geschäftsleiter stellen:
- Operationale „Resilienz“ als neue Zielgrösse des IKT-Managements ist zu definieren und in IT-Philosophie zu verankern
- Hohes Maß an operativer Einbindung der Geschäftsleiter in alle Aspekte des IKT-Risikomanagements, nachzuweisen durch Prozesse und Evidenzen
- Regelung von rechtzeitiger Kommunikation, Zusammenarbeit und Koordinierung von Aktivitäten zur Prävention und Reaktion auf Bedrohungen und Vorfälle
- Eigenständige Strategie für die digitale operationale Resilienz einschließlich Festlegung einer Toleranzschwelle für das IKT-Risiko („Risiko-Appetit“)
- Erstellung einer IKT-Geschäftsfortführungsleitlinie mit Umsetzungsüberwachung durch Geschäftsleitung
- Regelmäßige Würdigung von IKT-Auditergebnissen und IKT-Revisionsplanung durch die Geschäftsleitung
- Regelmäßige Überprüfung der Resilienz-bezogenen Budgetanforderungen und Sicherstellung angemessener Mittel
- Neue Leitlinie zur Nutzung von IKT-Dienstleistungen von IKT-Drittanbietern sowie regelmäßige Überprüfung durch die Geschäftsleitung
- Einrichtung von formellen „Meldekanälen“ an die Geschäftsleitung bezüglich der Nutzung von IKT-Dienstleistungen
- Explizite aufbauorganisatorische Funktion zur Überwachung von IKT-Dienstleistungen, inkl. Risikoanalysen
- Regelmäßige fachliche Schulung der Geschäftsführung, um IKT-Risiken inhaltlich beurteilen zu können
Ab sofort erhalten Sie regelmäßig eine Blogserie zu DORA. Diese Serie dient dazu, Sie bestmöglich auf den verbindlichen Anwendungstermin der DORA am 17. Januar 2025 vorzubereiten. DORA ist ein entscheidender Meilenstein für Unternehmen und Organisationen, um ihre digitale Betriebsbereitschaft zu bewerten und zu verbessern. Die Blogserie wird Ihnen wertvolle Einblicke, Tipps und Best Practices bieten, um die Umsetzung in Ihrem Institut zu begleiten.
Unsere DORA- und IT-Experten von Severn unterstützen Sie gerne. Hierfür steht Ihnen Norman Nehls für eine erste Kontaktaufnahme und für weitere Fragen zur Verfügung.
Nehmen Sie Kontakt zu unseren Experten auf!