Neue Regeln ab 2025 Dora-Verordnung: In 5 Schritten zur Gap-Analyse
Den Digital Operational Resilience Act (Dora) umzusetzen, ist für Finanzinstitute herausfordernd. Ein zentraler Schritt für die erfolgreiche Durchführung der Anforderungen ist eine sogenannte Gap-Analyse.
Diese Analyse hilft dabei, festzustellen, wo Lücken im aktuellen Risikomanagementsystem bestehen und welche Maßnahmen die Unternehmen ergreifen müssen, um die Anforderungen der Verordnung zu erfüllen. Im Folgenden erfahren Sie, wie Sie eine Dora-Gap-Analyse effizient durchführen und warum sie gerade für Vermögensverwalter und viele weitere Finanzunternehmen von entscheidender Bedeutung ist.
Schritt 1: Ziele definieren
Bevor Sie mit der eigentlichen Analyse beginnen, ist es wichtig, klare Ziele zu definieren. Dora umfasst eine Vielzahl von Anforderungen, darunter das IKT-Risikomanagement, die Resilienz von Drittanbietern sicherzustellen und die Durchführung von Penetrationstests. Entscheiden Sie, welche Bereiche für Ihr Unternehmen besonders relevant sind, und priorisieren Sie diese. Im Zweifel besteht hierzu bereits ein gutes Bauchgefühl aufgrund der Umsetzung bestehender Regelungen in Ihrem Unternehmen.
In der Praxis bedeutet dies, dass Sie eine detaillierte Liste der Dora-Anforderungen erstellen und diese mit Ihren internen Abläufen abgleichen. Zum Beispiel können Sie eine Übersicht der derzeitigen IKT-Risiko- und Sicherheitsprotokolle und Organisationsanweisungen anfertigen und sie den spezifischen Artikeln von Dora gegenüberstellen. Stellen Sie sicher, dass auch externe Faktoren wie ausgelagerte IT-Dienstleistungen und Drittanbieter berücksichtigt werden.
Ein wichtiger Hinweis, der auf zahlreichen Fachveranstaltungen des BVI und der Alfi hervorgehoben wurde: Besonders im Fokus stehen das Vertragswesen, die interne Governance sowie die Ausarbeitung notwendiger Policies. Es ist daher ratsam, Ihre Gap-Analyse gezielt auf diese Schlüsselaspekte auszurichten. So kommen Sie in der begrenzten Zeit bis Januar 2025 effizient voran.
Schritt 2: Ist-Zustand analysieren – wo stehen Sie?
Der zweite Schritt besteht darin, den aktuellen Zustand Ihrer IKT-Infrastruktur und -Prozesse zu bewerten. Hierbei sollten Sie alle relevanten Systeme, Richtlinien und Verfahren überprüfen, die bereits in Ihrem Unternehmen implementiert sind. Dazu gehört auch, die bereits bestehenden IT-Sicherheitsvorkehrungen zu bewerten, wie zum Beispiel Notfallpläne, Sicherungssysteme und Monitoring-Tools.
Eine mögliche Herangehensweise ist, eine Bestandsaufnahme Ihrer kritischen IT-Assets durchzuführen und sicherzustellen, dass diese regelmäßig überprüft und getestet werden. Besonders im Hinblick auf Drittanbieter ist es wichtig, bestehende Verträge und Sicherheitsvereinbarungen zu prüfen. Erfüllen Ihre Anbieter bereits die Dora-Vorgaben, oder gibt es noch Handlungsbedarf? Eine umfassende Dokumentation dieser Systeme ist unerlässlich, um eine genaue Gap-Analyse durchführen zu können.
Schritt 3: Soll-Zustand definieren – was verlangt Dora?
Nachdem Sie den Ist-Zustand analysiert haben, kommen Sie zum Soll-Zustand. Hier geht es darum, die Anforderungen von Dora detailliert zu verstehen und zu dokumentieren.
Dora verlangt von Finanzinstituten unter anderem, dass sie robuste IKT-Risikomanagementsysteme einführen, Notfallpläne für den Fall von Cyberangriffen bereitstellen und sicherstellen, dass ihre Drittanbieter denselben hohen Sicherheitsstandards folgen.
Aufgrund Ihrer Priorisierungsliste sollten Sie nun einschätzen können, welche Anforderungen Sie besonders dringend umsetzen sollten.
Schritt 4: Lücken identifizieren – wo gibt es Abweichungen?
Sobald der Ist-Zustand und der Soll-Zustand klar sind, beginnt der eigentliche Kern der Gap-Analyse: das Identifizieren von Lücken. Hierbei ist es wichtig, genau zu analysieren, welche Anforderungen von Dora Sie bereits erfüllen und wo noch Handlungsbedarf besteht. Das können fehlende Sicherheitsprotokolle, unzureichende Notfallpläne oder mangelnde Überwachung von Drittanbietern sein.
1.200% Rendite in 20 Jahren?
In der Praxis könnte sich eine Lücke zum Beispiel dadurch zeigen, dass Ihr Unternehmen zwar über eine allgemeine IT-Sicherheitsrichtlinie verfügt, diese aber nicht spezifisch genug ist, um den strengen Anforderungen von Dora gerecht zu werden. Ein weiteres Beispiel könnte sein, dass Verträge mit Drittanbietern keine klare Regelung zur Durchführung jährlicher, regelmäßiger Sicherheitsüberprüfungen enthalten.
Die verschiedenen, bereits veröffentlichten Regulatory Technical Standards (RTS) bieten dabei einen teils überwältigenden Detailgrad. Konzentrieren Sie sich daher zunächst auf die größten Lücken und beachten Sie gegebenenfalls die Fokusthemen Ihres Fachverbands.
Schritt 5: Maßnahmen planen – wie schließen Sie die Lücken?
Nachdem Sie die Lücken identifiziert haben, sollten Sie konkrete Maßnahmen planen, um diese zu schließen. Es ist entscheidend, dass Sie Prioritäten setzen und sich zunächst auf die Bereiche konzentrieren, die das größte Risiko für Ihr Unternehmen darstellen.
Ein Beispiel für eine konkrete Maßnahme wäre die Einführung eines Incident-Management-Systems, das es Ihrem Unternehmen ermöglicht, IKT-bezogene Vorfälle effizient zu erfassen und zu melden. Ein weiteres Beispiel könnte die regelmäßige Durchführung von Schulungen für Mitarbeiter sein, um sicherzustellen, dass diese mit den neuen Sicherheitsstandards vertraut sind.
Sobald die Maßnahmen definiert sind, müssen sie umgesetzt und kontinuierlich überwacht werden. Dies erfordert klare Verantwortlichkeiten und regelmäßige Kontrollen, um sicherzustellen, dass die Maßnahmen effektiv sind und die Lücken geschlossen werden.
Herausforderungen bei der Umsetzung
Die Durchführung einer Dora-Gap-Analyse ist kein einfacher Prozess und bringt einige Herausforderungen mit sich. Eine der größten Herausforderungen besteht darin, dass viele Finanzinstitute, insbesondere kleinere, nicht über ausreichende Ressourcen verfügen, um die umfassenden Anforderungen von Dora vollständig zu erfüllen. Neue Systeme einzuführen, Mitarbeiter zu schulen und alle Prozesse regelmäßig zu überwachen, kann erhebliche Kosten verursachen.
Ein weiteres Problem besteht darin, dass die Zusammenarbeit mit Drittanbietern oft komplex ist. Viele Finanzinstitute haben langjährige Verträge mit IT-Dienstleistern, die möglicherweise nicht den Dora-Standards entsprechen. In solchen Fällen müssen Unternehmen entweder die bestehenden Verträge anpassen oder neue Anbieter finden, die den strengen Anforderungen gerecht werden.
Der Beitrag ist Teil 2 einer dreiteiligen Serie. Bisher erschienen sind:
Teil 1: Dora-Verordnung: Wo Finanzunternehmen jetzt gefordert sind
Teil 2: Dora-Verordnung: Die Gap-Analyse in 5 Schritten erklärt
Teil 3: Dora-Verordnung: Praxistipps für Finanzberater, Vermögensverwalter und KVG
Über den Autor:
Lucas Schmidt leitet das IT-Dienstleistungsunternehmen IT4Funds, eine Tochtergesellschaft der Luxemburger Service-KVG Axxion.