Am 17. Januar 2023 trat die Verordnung DORA (Digital Operational Resilience Act) in Kraft, eine neue EU-Regelung, die darauf abzielt, die Sicherheit und Resilienz von Finanzinstituten und ihren IKT-Dienstleistern gegenüber digitalen Bedrohungen und Unterbrechungen zu verbessern. Diese Regelung gilt für alle in der EU tätigen Finanzinstitute wie Banken, Investmentfirmen, Handelsplattformen, zentrale Gegenparteien und andere Finanzmarktinfrastrukturen.

Die neue Verordnung ist ab dem 17. Januar 2025 verpflichtend, sodass innerhalb von zwei Jahren die Anpassung an die Anforderungen dieser Vorschrift erfolgen muss. Insgesamt werden mit dieser Richtlinie folgende Ziele verfolgt:

• Die Festlegung einheitlicher Anforderungen für Risikomanagement, Governance, Überwachung, Berichterstattung, Prüfung und Audit von Finanzinstituten und ihren Anbietern von IKT-Dienstleistungen für kritische Funktionen.

• Die Steigerung der Widerstandsfähigkeit oder Resilienz der Finanzinstitute, wobei der Schwerpunkt auf der Umsetzung umfassender Geschäftskontinuitätsstrategien liegt, die die Erbringung von Kundendiensten bei Störfällen gewährleisten. Die Organisationen müssen ihre Notfallpläne, Notfallsysteme und Datensicherungssysteme verstärken.

• Die Einrichtung eines koordinierten Überwachungsmechanismus für Organisationen und Anbieter kritischer IKT-Dienste, die in mehreren Mitgliedstaaten tätig sind, um Doppelarbeit zu vermeiden und eine einheitliche Anwendung sicherzustellen. Aufgabe der zuständigen Behörden ist die Einhaltung des festgelegten Rechtsrahmens, indem sie die Organisationen überprüfen und darüber wachen, dass diese regelmäßig alle relevanten Vorfälle oder Ereignisse melden.

• Die Stärkung des Informationsaustauschs und der Zusammenarbeit zwischen den zuständigen Behörden und EU-Agenturen im Bereich der Cybersicherheit und der digitalen operationellen Widerstandsfähigkeit.

Für GMV werden die sich aus der Einführung von DORA ergebenden Implikationen und Herausforderungen eine starke Veränderung der Architektur der Prozesse und Systeme der Finanzinstitute zur Folge haben. Unter anderen sind dabei folgende Aspekte hervorzuheben:

• Integration des IKT-Risikos auf höchster Managementebene, indem ein Modell zur Berechnung des IKT-Risikos im Falle einer Änderung der IKT-Prozesse, -Systeme und -Lieferanten der Organisation erstellt wird.

• Umfassende Neuformulierung der Kontinuitätsstrategien:

  • Spezifische Reaktionsprozesse und -kapazitäten je nach Art des Vorfalls.

  • Ein Modell für die direkte und indirekte Kostenberechnung der Auswirkungen eines Vorfalls und die Meldepflicht an die zuständige Behörde.

  • Aufzeichnung der Aktivitäten vor, während und nach einem Vorfall.

  • Neue Strategien für die sofortige Abtrennung und Abschaltung von Netzwerken und Vermögenswerten.

  • Strukturierter Testplan für die gesamten Elemente, der auditierbar ist und von einem Plan zur kontinuierlichen Verbesserung begleitet wird.

• Erweiterte Bestandsaufnahme kritischer Anlagen und Dienste, Kartierung der Unterstützung durch externe Lieferanten und Systeme sowie Identifizierung von Risikoquellen.

• Starkes Engagement für die Schulung und Sensibilisierung für Resilienz und Cybersicherheit. Umfassende und geprüfte Programme, die alle Gruppen in der Organisation einbeziehen.

• Neues Modell der Beziehung mit den wichtigen IKT-Lieferanten. Die Untervertragsketten und Abhängigkeiten müssen klar identifiziert und Änderungen an bestehenden Verträgen der zuständigen Behörde mitgeteilt werden. Die Unternehmen werden verpflichtet, Ausstiegs- und Redundanzstrategien für diejenigen Anbieter zu entwickeln und einzuführen, die eine oder mehrere der wesentlichen Funktionen ausführen.  Außerdem wird es innerhalb des europäischen Rahmens eine Reihe von Anforderungen für die Zertifizierung dieser wesentlichen Anbieter geben, die dazu beitragen werden, die allgemeine Widerstandsfähigkeit des Finanzsektors aus IKT-Sicht zu verbessern.

• Strukturierte und standardisierte Systeme für das Betriebsmanagement. Es werden gemeinsame Modelle für die Klassifizierung, die Aufzeichnung, die Berechnung der Auswirkungen und die Meldung von Vorfällen erstellt, mit der Verpflichtung, solche Ereignisse an die zuständige Behörde zu melden und sie mit anderen Einrichtungen des Sektors zu teilen, wenn die Schwere des Vorfalls dies erfordert. Dazu könnten neue Überwachungsstrategien erforderlich werden.

• Konzentration auf die Kommunikation und das Krisenmanagement, die Einrichtung von speziellen Stellen und Zuständigkeiten sowie die Verbesserung der Automatisierungsmechanismen, einschließlich der Benachrichtigung der eigenen Kunden der Organisation.

Um den Erfolg der Bemühungen von GMV zur Einhaltung der DORA-Vorschriften zu erhöhen, hält das Unternehmen die Einführung von drei wichtigen Mechanismen für unerlässlich. Der erste ist die Einführung eines umfassenden Prozessrahmens, der die Sicherheits- und IKT-Operationen auf natürliche Weise integriert und gleichzeitig die Einführung globaler GRC-Lösungen zur Risikoüberwachung ermöglicht. Der zweite empfiehlt die Konzentration auf die Daten, durch die Schaffung eines widerstandsfähigen Datenreservoirs (Resilience Data Lake), das die Integration der Informationsquellen und die Anwendung von KI zur Entscheidungsfindung ermöglicht. Der dritte und nicht weniger wichtige Mechanismus ist das Potenzierung der Hyperautomatisierung aller Aktivitäten und Systeme, die mit der Aktivierung von Reaktions- und Wiederherstellungsplänen zusammenhängen.

DORA ist keinesfalls bloß ein Instrument zur Einhaltung von Vorschriften, sondern bietet eine hervorragende Gelegenheit, um die Kundenerfahrung zu verbessern, indem die Verordnung dazu beitragen wird, die Qualität, Verfügbarkeit und Sicherheit vieler Dienste zu verbessern und gleichzeitig das Vertrauen und Engagement der Endkunden zu stärken. Ihre Auswirkungen werden zudem einen qualitativen Sprung in der Bereitstellung von IKT-Dienstleistungen bedeuten, indem Mechanismen für Wettbewerbsfähigkeit und kontinuierliche Verbesserung eingeführt werden, die zweifellos zu einer erfolgreichen Weiterentwicklung aller beteiligten Akteure beitragen werden. Das Engagement von GMV in diesem Bereich ist klar: Innovation, Engagement und starkes Fachwissen, gestützt auf eine lange Erfolgsgeschichte in den Bereichen Technologie und Informationssicherheit.

**Dieser Artikel wurde erstmals in der Online-Ausgabe von Comunicaciones Hoy veröffentlicht.

Ángel García-Madrid Velázquez
Head of GMV's Resilience Services
Business Continuity Manager