ISGroup Cybersicherheitsberatung

DORA-Test zur digitalen Resilienz für EU-Finanzunternehmen

DORA legt durch die Verordnung (EU) 2022/2554 einen harmonisierten Rahmen für die digitale operationale Resilienz im europäischen Finanzsektor fest und definiert spezifische Anforderungen an Sicherheitstests, die über TLPT hinausgehen und ordentliche sowie kontinuierliche Überprüfungen aller IKT-Systeme und -Tools umfassen.

Digital operational resilience testing unter DORA

Das „Digital operational resilience testing“ bildet die vierte Säule von DORA und stellt sicher, dass Finanzunternehmen in der Lage sind, bei IKT-Bedrohungen und -Störungen standzuhalten, zu reagieren und den Betrieb wiederherzustellen. Diese Verpflichtungen gelten für über 20 Arten von Finanzunternehmen in der EU mit dem Ziel, Cyberbedrohungen durch eine ständige Validierung der Abwehrmechanismen zu verhindern und zu mindern.

„Basis“-Tests und TLPT: Unterschiede

  • Basistests (Artikel 24 und 25): Diese sind für fast alle Finanzunternehmen erforderlich, umfassen ein breites Spektrum an Überprüfungen der IKT-Systeme und -Tools und stellen die Mindestanforderung zur Bewertung der Robustheit der Abwehrmechanismen dar.
  • TLPT (Threat-Led Penetration Testing – Artikel 26): Hierbei handelt es sich um fortgeschrittene, auf Intelligence basierende Tests, die Taktiken realer Angreifer simulieren. Sie sind nur für Unternehmen obligatorisch, die von den Behörden als systemrelevant eingestuft wurden oder ein spezifisches Risikoprofil aufweisen, und müssen an realen, operativen Produktionssystemen durchgeführt werden.

Durch Artikel 25 geforderte Tests

Artikel 25 verlangt ein strukturiertes Testprogramm mit verschiedenen Methoden, darunter:

  • Quellcode-Überprüfung: Überprüfung des Quellcodes mittels statischer und dynamischer Tests.
  • Sicherheitstests für exponierte Systeme: Sicherheitsüberprüfungen für Anwendungen und Systeme, die über das Internet zugänglich sind.
  • Schwachstellenbewertung (Vulnerability Assessment): Frameworks für das Management und die Beseitigung von Schwachstellen.
  • Tests von Softwarepaketen: Sicherheitskontrollen vor der Implementierung neuer Softwarepakete.
  • Auswirkungs- und Kompatibilitätsanalyse: Tests, um sicherzustellen, dass neue Systeme keine Schwachstellen in bestehende IKT-Prozesse einführen.

Verantwortlichkeiten und Testansatz

Finanzunternehmen müssen einen risikobasierten Ansatz verfolgen und die Ressourcen für Tests entsprechend der Kritikalität der IKT-Assets und Geschäftsprozesse dimensionieren. Die Überprüfungen müssen von Teams durchgeführt werden, die unabhängig von der Entwicklung oder dem Betrieb der Systeme sind, wobei die Tester über Eignung, Integrität und zertifizierte technische Kompetenzen verfügen müssen. Bei TLPT ist die Einbeziehung von externen Threat-Intelligence-Anbietern erforderlich, die nicht zur Bank oder Gruppe gehören.

Mindesthäufigkeit von Tests bei kritischen Systemen

  • Vulnerability Scanning: Bei Systemen, die kritische oder wichtige Funktionen unterstützen, müssen Scans mindestens wöchentlich durchgeführt werden.
  • Business Continuity Plans: IKT-Pläne zur Betriebskontinuität müssen mindestens jährlich oder nach wesentlichen Änderungen getestet werden.
  • Allgemeine Überprüfung: Mindestens einmal jährlich muss geprüft werden, ob strategische Änderungen im Testprogramm berücksichtigt wurden.
  • TLPT: Die Häufigkeit beträgt in der Regel drei Jahre, sofern die zuständige Behörde nichts anderes anordnet.

Verbindung zwischen Tests, Remediation und Governance

Das Testprogramm muss in die Governance des Finanzunternehmens integriert sein. Die Ergebnisse müssen dokumentiert und analysiert werden, um Mängel zu identifizieren; für jede Schwachstelle ist ein detaillierter Sanierungsplan (Remediation Plan) erforderlich. Das Leitungsorgan trägt die letztendliche Verantwortung für die Überwachung und Genehmigung der Ergebnisse sowie der Risikominderungspläne.

FAQ

  • Schreibt DORA immer einen Penetrationstest vor?
  • Ja, für alle Finanzunternehmen sind Sicherheitstests erforderlich, die als Penetrationstests einzustufen sind, insbesondere im Rahmen des Schwachstellenmanagements und der Sicherheit exponierter Systeme. Der fortgeschrittene TLPT-Test ist jedoch nur für die relevantesten Unternehmen vorgeschrieben.
  • Schreibt DORA immer einen TLPT vor?
  • Nein, die Verpflichtung gilt nur für IKT-reife Finanzunternehmen mit systemischer Bedeutung; die Behörden können Unternehmen ausschließen, für die der Test aufgrund ihres Risikoprofils nicht gerechtfertigt ist.
  • Wie oft müssen kritische Systeme getestet werden?
  • Schwachstellenscans mindestens wöchentlich, andere allgemeine Resilienz- und Kontinuitätstests mindestens jährlich.

Sichern Sie Ihre Compliance: Fordern Sie eine erste Bewertung Ihres DORA-Testprogramms an, um den Prüfumfang Ihrer kritischen Systeme korrekt zu definieren.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *