ISGroup Cybersicherheitsberatung

DORA: ICT-Drittparteienrisikomanagement und operationelle Resilienz

Der Digital Operational Resilience Act (DORA) weitet das Management der operativen Resilienz von Finanzunternehmen über deren interne Infrastruktur hinaus aus und bezieht auch IKT-Drittanbieter sowie die gesamte Lieferkette in die Bewertung ein. Besonderes Augenmerk liegt dabei auf der Betriebskontinuität und den IKT-Diensten Dritter, die für das Unternehmen lebenswichtige Funktionen unterstützen.

DORA-Tests und externe Abhängigkeiten

DORA legt fest, dass Störungen bei kritischen Anbietern systemische Krisen auslösen können, welche die Stabilität des Finanzsektors gefährden. Finanzunternehmen tragen die letztendliche Verantwortung für die Einhaltung der Vorschriften und das Risikomanagement, auch bei ausgelagerten Vorgängen. Programme für Resilienztests werden daher auf externe Abhängigkeiten ausgeweitet, um die Widerstandsfähigkeit und Wiederherstellung von Diensten sicherzustellen, selbst bei Vorfällen, die Technologiepartner betreffen.

Kritische oder wichtige Funktionen, die von Dritten unterstützt werden

IKT-Anbieter, die kritische oder wichtige Funktionen (Critical or Important Functions, CIF) unterstützen, unterliegen besonders strengen Überwachungs- und Testanforderungen. Von Finanzunternehmen wird verlangt, dass sie:

  • Im Informationsregister explizit identifizieren, welche Assets und Anbieter die kritischen oder wichtigen Funktionen unterstützen.
  • Die potenziellen Auswirkungen eines Ausfalls des Anbieters auf die operative Resilienz und die Kontinuität der Dienste bewerten.
  • Die “Live”-Systeme der Anbieter, die CIF unterstützen, in den Umfang der fortgeschrittenen Tests (TLPT) einbeziehen.

Due Diligence, Vertragsklauseln und Umgang mit Schwachstellen

Das IKT-Drittparteien-Risikomanagement gemäß DORA erstreckt sich über den gesamten Lebenszyklus der Anbieterbeziehung:

  • Due Diligence: Vor der vertraglichen Bindung eines Anbieters für eine kritische oder wichtige Funktion müssen dessen Reputation, technische und finanzielle Ressourcen sowie die Standards für Informationssicherheit bewertet werden.
  • Vertragsklauseln: Verträge müssen die Dienste detailliert beschreiben, erwartete Service-Level (SLAs) festlegen und Rechte für Zugang, Inspektion und Audit vorsehen.
  • Umgang mit Schwachstellen (Vulnerability Handling): Anbieter sind verpflichtet, Schwachstellen im Zusammenhang mit den erbrachten Diensten zu verwalten, deren Grundursachen zu analysieren und kritische Risiken dem Finanzunternehmen unverzüglich zu melden.

Auditierbarkeit und Informationsregister

Alle Finanzunternehmen müssen ein aktuelles Register der Informationen (Register of Information, RoI) führen, das jede vertragliche Vereinbarung mit IKT-Drittanbietern aufführt. Dieses Register:

  • Bietet den zuständigen Behörden einen Überblick über technologische Abhängigkeiten und Konzentrationsrisiken.
  • Ermöglicht die Rückverfolgbarkeit der Lieferkette durch Identifizierung wesentlicher Subunternehmer, die an kritischen oder wichtigen Funktionen beteiligt sind.
  • Erlaubt dem Unternehmen die Ausübung von Audit- und Testrechten entlang der gesamten technologischen Wertschöpfungskette.

Häufige Fehler bei Cloud und MSP

  • Geringe Verhandlungsmacht: Unternehmen haben oft Schwierigkeiten, großen Cloud-Service-Providern maßgeschneiderte Testklauseln aufzuerlegen, doch DORA verlangt, dass solche Klauseln bereits in der Vertragsphase vorhanden sind.
  • Mangelnde Sichtbarkeit bei Subunternehmern: Sich nur auf die Überwachung des direkten Anbieters zu beschränken, ist ein Fehler; es muss auch Sichtbarkeit über Subunternehmer und deren tatsächliche Beteiligung an kritischen Diensten erlangt werden.
  • Verwirrung bei der Verantwortung: Outsourcing bedeutet keine vollständige Delegation der Verantwortung; das Unternehmen muss sicherstellen, dass die Sicherheitsmaßnahmen der Provider mit den eigenen Richtlinien übereinstimmen.

FAQ

  • Kann man von Anbietern Nachweise über VA/PT verlangen?
  • Ja. Finanzunternehmen haben das vertragliche Recht, Audit-Berichte, Sicherheitszertifizierungen Dritter (wie ISO oder SOC) oder die Ergebnisse der vom Anbieter durchgeführten Tests zur Validierung der Systemsicherheit anzufordern.
  • Verlangt DORA Audits bei allen Providern?
  • Alle Anbieter müssen in die Risikostrategie einbezogen werden, aber unabhängige Audits und eingehende Prüfungen sind ausschließlich für IKT-Dienste obligatorisch, die kritische oder wichtige Funktionen unterstützen.
  • Wie geht man mit Subunternehmern um?
  • Der Vertrag mit dem direkten Anbieter muss sicherstellen, dass kritische Subunternehmer dieselben Zugangs-, Inspektions- und Auditrechte gewähren und bei Bedarf an den Tests zur operativen Resilienz teilnehmen.

Third-party testing readiness assessment

Lassen Sie keine Schattenbereiche in Ihrer Resilienz bestehen: Fordern Sie noch heute ein Third-party testing readiness assessment an, um Ihre kritischen Anbieter zu erfassen und Ihre Audit- und Testrechte gemäß DORA zu validieren.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *