ISGroup Cybersicherheitsberatung

Business Continuity Testing und operative Resilienz gemäß DORA

Der Digital Operational Resilience Act (DORA) führt einen neuen Ansatz für die Cybersicherheit ein, der den Fokus vom reinen Schutz des Perimeters auf die Fähigkeit verlagert, den Betrieb auch bei Vorfällen aufrechtzuerhalten. Das Business Continuity Testing gemäß DORA wird somit zu einem strukturierten Validierungsprozess, der Governance, Prozesse und Drittanbieter einbezieht. Die Delegierte Verordnung (EU) 2024/1774 beschreibt die Kriterien, nach denen die Tests die Konformität der Wiederherstellungssysteme mit den regulatorischen Standards sicherstellen müssen.

Kontinuität und Resilienz unter DORA

DORA verpflichtet Finanzunternehmen dazu, eine Richtlinie zur IKT-Betriebskontinuität in ihren Risikomanagementrahmen zu integrieren. Das Business Continuity Testing gemäß DORA überprüft sowohl die Gültigkeit der Reaktionspläne als auch die tatsächliche Möglichkeit, die Lebensfähigkeit des Geschäftsbetriebs bis zur Wiederherstellung kritischer Funktionen aufrechtzuerhalten.

Wie man Unterbrechungsszenarien definiert

Die Business-Continuity-Tests müssen auf strengen, aber plausiblen Unterbrechungsszenarien basieren, wie in der Verordnung festgelegt:

  • Direkte Cyberangriffe und Datenkorruption.
  • Nichtverfügbarkeit von Schlüsselpersonal oder physischen Standorten (Büros und Rechenzentren).
  • Erhebliche Ausfälle von IKT-Assets oder der Kommunikationsinfrastruktur.
  • Insolvenz oder Ausfall kritischer IKT-Drittanbieter.
  • Extreme externe Ereignisse, wie z. B. Naturkatastrophen, Pandemien oder lang anhaltende Stromausfälle.

Wiederherstellungs-, Failover-, Backup- und Kommunikationstests

  • Backup und Restore: Die Datenwiederherstellungsverfahren müssen mindestens jährlich getestet werden.
  • Technologische Switchover: Es ist erforderlich, das Failover auf redundante Systeme oder sekundäre Standorte zu testen und die Fähigkeit nachzuweisen, in diesem Modus zu funktionieren, bevor zur Normalität zurückgekehrt wird.
  • Krisenkommunikation: Die Tests müssen die Krisenkommunikationspläne auf die Probe stellen und die Bereitschaft der Informationsflüsse an Stakeholder und Behörden überprüfen.
  • Kritische Infrastrukturen: Für CCPs und CSDs beinhaltet der Test zwingend einen sekundären Standort mit einem anderen geografischen Risikoprofil.

RTO/RPO: Wie man sie korrekt interpretiert

Die Verordnung unterscheidet klar zwischen den Wiederherstellungsanforderungen:

  • Recovery Time Objective (RTO): Für kritische Funktionen von CCPs, CSDs und Handelsplätzen ist eine maximale RTO von 2 Stunden vorgeschrieben. Für andere Unternehmen wird die RTO durch die Business Impact Analysis (BIA) bestimmt.
  • Recovery Point Objective (RPO): Stellt den maximal tolerierbaren Datenverlust dar; für Handelsplätze muss dieser nahe Null liegen.
  • Registrierung: Jede Funktion, die kritische Prozesse unterstützt, muss detailliert mit RTO und RPO im Register of Information erfasst sein.

Abhängigkeiten von Anbietern und geteilten Diensten

DORA unterstreicht die Rolle der Lieferkette für die betriebliche Resilienz. Das Kontinuitätstests müssen die von IKT-Drittanbietern erbrachten Dienste einbeziehen, wobei eine vertragliche Verpflichtung zur Teilnahme der Anbieter an Sicherheits- und Resilienztests besteht. Zudem ist eine Bewertung politischer oder rechtlicher Risiken erforderlich, falls der Anbieter Daten in Drittländern verarbeitet.

FAQ

  • Schreibt DORA immer jährliche Kontinuitätstests vor?
  • Die IKT-Betriebskontinuitätspläne müssen mindestens einmal jährlich oder nach wesentlichen Änderungen an der Infrastruktur getestet werden.
  • Gibt es eine einheitliche RTO für alle Unternehmen?
  • Nur Marktinfrastrukturen (CCPs, CSDs, Handelsplätze) müssen das 2-Stunden-Limit einhalten. Für andere Unternehmen wird die RTO intern über die BIA festgelegt, mit einer risikoadäquaten Begründung.
  • Wie beweist man, dass der Plan realistisch ist?
  • Es ist notwendig, die Testergebnisse zu dokumentieren, Mängel zu analysieren und dem Leitungsorgan einen Bericht mit den ergriffenen Korrekturmaßnahmen vorzulegen.

Validieren Sie Ihre Resilienz: Fordern Sie die Konzeption eines DORA-konformen Business-Continuity-Testprogramms an, um sicherzustellen, dass Ihre RTO- und RPO-Werte realistisch und verifiziert sind.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *