REGULIERUNG
REGULIERUNG Risikomanagement zur Chefsache machen: Die Richtlinie sieht vor, dass das Management gezielt Verantwortung für die IT-Sicherheit übernimmt. Führungspersonen müssen die Konsequenzen verschiedener Risiken und die an sie gestellten Erwartungen verstehen. Neben gesetzlich vorgeschriebenen Fortbildungen zu IT-Risiken sind sie verpflichtet, eine Risikobewertung nicht nur für das eigene Unternehmen, sondern auch für alle Drittanbieter vorzunehmen. Sie müssen Verantwortliche definieren, Business-Continuity- und Wiederanlaufpläne sowie Audits autorisieren und sich über IKT-Vorfälle sowie die Zusammenarbeit mit Dritten ausreichend informieren. Dazu gehört der Aufbau kurzer Informationswege; idealerweise sind wichtige Informationen stets aktuell und nicht mehr als drei Klicks entfernt. DORA verlangt also, dass Unternehmen IKT-Risikomanagement zur Chefsache machen. Risiken gezielt und kontinuierlich erfassen: Unternehmen müssen ihre Sicherheitsziele kennen und regelmäßig neu justieren. Sie sind verpflichtet, alle Systeme und Schnittstellen 24/7 auf Anomalien zu überwachen, Abweichungen zu erkennen und zu bewerten sowie Risiken zu dokumentieren. Reaktionsschnell handeln: Im Ernstfall müssen Organisationen in der Lage sein, umgehend auf einen Angriff oder eine Anomalie zu reagieren und entsprechende Gegenmaßnahmen einzuleiten. Gleiches gilt für die Implementierung der Notfallvorsorge, das Bewirtschaften von Wiederherstellungsplänen und die Reduktion von Risiken. Professionell und strategisch kommunizieren: Reibungslos, sicher und zielgerichtet – die neue Verordnung stellt zudem hohe Anforderungen an Abläufe und Strukturen für die Kommunikation mit relevanten internen und externen Zielgruppen. Ein wichtiges Ziel ist der schnelle Informationsfluss. Vorfälle müssen daher lückenlos dokumentiert und intern sowie extern kommuniziert werden, um Wissen weitergeben zu können. In schwerwiegenden Fällen besteht nun für den gesamten Finanzsektor – nicht nur für große Institute – eine offizielle Meldepflicht. 40 05 | 2023
REGULIERUNG 1 | Daten redundanzfrei pflegen, alle Fragen aus einer Hand beantworten Für die Datenbasis im Risikomanagement gilt: Zusammen lassen, was zusammen gehört DORA COMPLIANCE 1 Discover » Verschaffen Sie sich einen Überblick über die Datenlage im Unternehmen, auch mit Blick auf Drittanbieter und die globale Gefahrenlage. » Stellen Sie sicher, dass alle Daten qualitativ hochwertig und hochverfügbar sind. » Inklusive Vollständigkeit auf allen Ebenen. in 4 Schritten 2 Map » Verknüpfen Sie sämtliche relevanten Daten auf intelligente Weise über ein regelbasiertes Repository, um Zusammenhänge und Abhängigkeiten zu ermitteln. » Digitalisieren Sie die DORA-Richtlinie und verknüpfen Sie einzelne Vorgaben mit Ihrer Business-Architektur, um Schwachstellen und regulatorische Risiken automatisiert zu scannen. 3 Visualize » Erstellen Sie vielfältige, möglichst individuell zugeschnittene Visualisierungen von Anomalien, Trends, Workflows und Handlungsbedarfen, um schnelle und bessere Entscheidungen zu treffen. 4 Improve » Bauen Sie ein regelbasiertes und konfigurierbares Analyse-, Berichts- und Meldewesen auf, um mehrere Bewertungen in einem Schritt zu bearbeiten. » Bilden Sie unterschiedliche Zielgruppen und Themenkreise ab, um Assessments zu optimieren. » Seien Sie jederzeit nachvollziehbar auskunftsbereit. Quelle: Eigene Darstellung Umfangreich testen und trainieren: Unternehmen müssen nachweisen, dass ihre Systeme, Daten und Abläufe stets aktuell sind. Dafür ist die Durchführung robuster und umfassender Tests zur digitalen Betriebsstabilität (Operational Resilience Testing) vorgeschrieben. Darüber hinaus sind mindestens alle drei Jahre Threat-Led Penetration-Tests (TLPT) erforderlich, d. h. die Cyber-Resilienz eines Unternehmens muss durch einen simulierten Angriff eines sogenannten ethischen Hackers auf die Probe gestellt werden. Am Ende laufen alle Anforderungen darauf hinaus, dass die Verantwortlichen in kritischen Situationen schnelle, informierte Entscheidungen treffen können und resilient – das heißt, auf Alternativen vorbereitet – sind. Denn DORA erfordert eine gesamtheitliche Sicht, quasi den Blick auf den Bauplan eines Unternehmens. Wie sollte man also vorgehen, um die eigene Organisation strategisch aufzustellen und resilient gegen Cyber-Gefahren zu machen? Datenlage optimieren: Hohe Verfügbarkeit, Aktualität und Qualität sicherstellen Die wichtigste Grundlage ist eine solide Datenbasis mit hoher Datengüte, Datenverfügbarkeit und Vernetzung. Nur wer weiß, wo er steht, kann den richtigen Weg zum Ziel einschlagen. Was simpel klingt, ist aber in vielen Unternehmen eine immense Herausforderung. Zum einen, weil Daten häufig in Silos vorliegen und für sich genommen wenig aussagekräftig sind. Zum anderen, weil wichtige Daten gar nicht erst erfasst werden oder nicht aktuell vorliegen. Wichtig für die Umsetzung der DORA-Richtlinie sind zum Beispiel Performance-Daten von IT-Systemen, Daten zur Bedrohungslandschaft und der Kritikalität verschiedener Prozesse und Systeme, aber auch Informationen zu Incident-Response-Plänen mit Eskalationshierarchien und Kommunikationsstrategien. Ein Kernkriterium ist der Blick über den eigenen Unternehmenshorizont. Können die Verantwortlichen einfach überprüfen, welcher Zulieferer die DORA-Anforderungen erfüllt? Haben sie die globale Gesamtgefahrenlage tagesaktuell im Blick? Aber auch die vermeintlich simplen Dinge sollten nochmals gründlich geprüft werden. Liegen die vollständigen und tagesaktuellen Kontaktdaten aller relevanten Personen vor, die es bei einem IKT-Notfall zu erreichen gilt? Gibt es den Überblick über wichtige Know-how- Träger im Unternehmen? Im Notfall sind es diese kleinen Dinge, die den Ausschlag geben. Intelligent dokumentieren: Zusammenhänge erfassen, gezielt handeln Eine solide Datenbasis ist das nötige Fundament. Ein hilfreiches Arbeitsmittel wird sie aber erst durch eine intelligente Vernetzung der Daten. Zusammenhänge, Abhängigkeiten, Zuordnungen – es gilt, den Datenbestand zu organisieren und zu strukturieren. Das heißt, Prozesse und Abläufe müssen identifiziert, klassifiziert und so dokumentiert werden, dass sie leicht zu aktualisieren und in immer neuen Kombinationen verknüpft werden können. 05 | 2023 41
