ISGroup Cybersicherheitsberatung

DORA: Vereinfachtes Regime für kleinere Finanzunternehmen

Der Digital Operational Resilience Act (DORA) führt ein vereinfachtes Rahmenwerk für das IKT-Risikomanagement ein, das sich an Finanzunternehmen mit geringerer Größe oder begrenzter Vernetzung richtet. Dieses Regime zielt darauf ab, ein hohes Maß an digitaler operativer Resilienz zu gewährleisten, ohne übermäßige administrative Belastungen aufzuerlegen.

Wer kann unter Art. 16 fallen

Die Anwendbarkeit des vereinfachten Regimes ist auf eine erschöpfende Liste von Kategorien beschränkt, die in Art. 16 DORA definiert sind. Diese Kategorien umfassen:

  • Kleine und nicht vernetzte Wertpapierfirmen
  • Zahlungsinstitute, die gemäß der Richtlinie (EU) 2015/2366 befreit sind
  • E-Geld-Institute, die gemäß der Richtlinie 2009/110/EG befreit sind
  • Kleine Einrichtungen der betrieblichen Altersversorgung (IORP)

Unternehmen, die in diese Kategorien fallen, zeichnen sich im Allgemeinen durch einen geringen Geschäftsumfang und teilweise eine begrenzte Anzahl an Mitarbeitern aus.

Was sich bei Tests und Governance wirklich ändert

Die DORA-Proportionalität führt zu einem weniger granularen Rahmenwerk als das allgemeine, wie in Titel III der Delegierten Verordnung 2024/1774 dargelegt. Die wichtigsten Unterschiede sind:

  • Governance und Organisation: Das Mandat der ESAs für das vereinfachte Rahmenwerk ist breiter gefasst, da es die Definition des gesamten Rahmenwerks umfasst und nicht nur zusätzliche Elemente. Die Anforderungen sind jedoch an die Komplexität des Unternehmens angepasst. Das Leitungsorgan behält die letztendliche Verantwortung, aber die Entscheidungsprozesse sind schlanker.
  • Business Continuity: Die Anforderungen an die operative Kontinuität bleiben bestehen, jedoch mit einem geringeren Detaillierungsgrad. Es sind keine spezifischen “Response and Recovery”-Pläne oder extrem komplexe Testszenarien erforderlich, wie sie im ordentlichen Regime vorgesehen sind.
  • Sicherheitstests: Unternehmen müssen einen risikobasierten Testplan erstellen, der Schwachstellen-Scans (Vulnerability Scans) und Bewertungen zur Identifizierung von Schwachstellen beinhaltet. Häufigkeit und Tiefe der Tests werden auf das Risikoprofil abgestimmt.

Mindestkontrollen, die nicht vernachlässigt werden dürfen

Obwohl das Rahmenwerk vereinfacht ist, gibt es für kleine Finanzunternehmen unter DORA zwingende Verpflichtungen:

  • Identifizierung und Klassifizierung: Verpflichtung zur Identifizierung, Klassifizierung und Dokumentation aller kritischen oder wichtigen Funktionen, der damit verbundenen IKT-Assets und der gegenseitigen Abhängigkeiten.
  • Sicherheit der IKT-Operationen: Überwachung der Assets, die kritische Funktionen unterstützen, Verwaltung veralteter Assets, Protokollierung von Ereignissen (Logging) und Implementierung von Maßnahmen zur Erkennung von Bedrohungen und Schwachstellen.
  • Zugangskontrolle: Definition und Implementierung strenger Verfahren für die logische und physische Zugangskontrolle.

Wie man Unter-Compliance im Namen der Proportionalität vermeidet

Proportionalität muss als angemessene Anwendung der Anforderungen interpretiert werden, nicht als Verzicht. Unternehmen müssen den Behörden nachweisen können, dass das gewählte Rahmenwerk, auch wenn es vereinfacht ist, für das Management der spezifischen IKT-Risiken angemessen ist. Bei besonderer Komplexität kann es erforderlich sein, die Kontrollen in bestimmten Bereichen zu verstärken.

Beispiele für einen effektiven Mindestplan

  • Regelmäßig aktualisiertes IKT-Asset-Inventar mit klarer Abbildung der Abhängigkeiten von Drittanbietern
  • Vulnerability-Management-Verfahren, das automatisierte Scans zur Identifizierung von Schwachstellen in kritischen Systemen nutzt
  • Plan zur Prüfung der operativen Kontinuität, der mindestens jährlich getestet wird, um die Wiederherstellungsfähigkeit wesentlicher Funktionen zu überprüfen
  • Regelmäßige Überprüfung des IKT-Risikomanagement-Rahmenwerks, dokumentiert in einem Bericht, der der Behörde auf Anfrage vorzulegen ist

FAQ

  • Bedeutet “vereinfacht” weniger Verantwortung?
  • Nein. Das Leitungsorgan des Finanzunternehmens behält die volle Verantwortung für das Management der IKT-Risiken und die Einhaltung der gesetzlichen Anforderungen.
  • Muss trotzdem ein Vulnerability Assessment durchgeführt werden?
  • Ja. Unternehmen müssen Bewertungen und DORA-Schwachstellenanalysen (Scans) durchführen, um Risiken im Einklang mit ihrem Risikoprofil zu identifizieren und zeitnah anzugehen.
  • Müssen Assets und kritische Funktionen trotzdem klassifiziert werden?
  • Ja, dies ist eine grundlegende Voraussetzung. Die Identifizierung und Klassifizierung kritischer oder wichtiger Funktionen sowie der IKT-Assets, die diese unterstützen, ist auch im vereinfachten Regime obligatorisch.

Sichern Sie Ihre Resilienz: Fordern Sie noch heute eine Überprüfung Ihrer Förderfähigkeit und ein personalisiertes Scoping Ihres vereinfachten Rahmenwerks an, um bis zum 17. Januar 2025 bereit zu sein.

In

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *