DORA: Eine Herausforderung für die Interne Revision und die Organisation als Ganzes

IIA_Blog_052024
Abbildung 1: Titelbild: KI-generiertes Bild zur DORA mit ChatGPT
Abbildung 1: Titelbild: KI-generiertes Bild zur DORA mit ChatGPT

Im digitalen Zeitalter, in dem Finanzinstitute zunehmend auf Technologie angewiesen sind, ist die Sicherstellung der operativen Resilienz von entscheidender Bedeutung. Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die darauf abzielt, die Widerstandsfähigkeit des Finanzsektors gegenüber Cyberbedrohungen zu stärken. Für interne Auditoren bringt die Überprüfung der Implementierung von DORA eine Reihe von Herausforderungen mit sich, aber auch die Möglichkeit, die Sicherheit und Effizienz ihrer Organisationen maßgeblich zu verbessern.

Die Interne Revision spielt eine Schlüsselrolle bei der Überwachung und Bewertung der Effektivität von Maßnahmen, die im Rahmen von DORA ergriffen werden. Davon umfasst sind zum Beispiel die Überprüfung der IT-Infrastrukturen, das IT-Risikomanagement Rahmenwerk und Geschäftsfortführungspläne.

In den folgenden Abschnitten werden wir die Herausforderungen, die DORA für die Interne Revision mit sich bringt, genauer betrachten, Maßnahmen untersuchen, die im IT-internen Kontrollsystem gesetzt werden sollten, und Themen hervorheben, die beachtet werden müssen.

DORA und die Interne Revision

Ziele und wesentliche Anforderungen der DORA

Der Digital Operational Resilience Act (DORA) ist ein regulatorischer Rahmen, der von der Europäischen Union ins Leben gerufen wurde, um die Resilienz von Finanzinstituten gegenüber digitalen Risiken zu stärken. Die Verordnung legt spezifische Anforderungen an Finanzdienstleister fest, um sicherzustellen, dass sie adäquate Maßnahmen ergreifen, um ihre IT-Systeme und Assets zu schützen. Zu den Kernzielen von DORA gehört es, ein einheitliches Niveau an operativer Widerstandsfähigkeit in der gesamten EU zu gewährleisten, die Aufsichtsbehörden mit den notwendigen Werkzeugen und Informationen auszustatten, um Risiken effektiv zu überwachen, und eine schnelle und koordinierte Reaktion auf IT-Störungen zu fördern.

Wesentliche Anforderungen von DORA umfassen:

  • IKT-Risikomanagement: Implementierung robuster Risikomanagementpraktiken, die sämtliche Aspekte digitaler Risiken abdecken.
  • Vorfallmanagement: Verpflichtung, Mechanismen für das Erkennen, das Management und die Meldung von IT bezogenen Vorfällen einzurichten.
  • Testen der operationalen Resilienz: Regelmäßige Prüfungen und Tests der IT-Systeme und des IKT-Risikomanagementrahmens müssen durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben. Ausgewählte Institute sind darüber hinaus dazu verpflichtet, anhand TLPT (Threat-Led-Penetration-Testing) erweiterte Tests durchzuführen.
  • IKT-Drittanbietermanagement: Finanzinstitute müssen sicherstellen, dass ihre Drittanbieter und Outsourcing-Partner ähnliche Resilienzstandards einhalten.
Abbildung 2: Anforderungen DORA selbst erstellt
Abbildung 2: Anforderungen DORA selbst erstellt

Rolle der Internen Revision bei der Umsetzung von DORA

Die Interne Revision hat die Aufgabe, die Einhaltung dieser Anforderungen zu überwachen und zu bewerten, wie effektiv die Organisation ihre operationale Resilienz steuert. Dies umfasst die Bewertung der IKT-Risikomanagementpraktiken, die Überprüfung der Vorfallmanagementprozesse, die Beurteilung der Effektivität der IT-Sicherheitsmaßnahmen und die Überprüfung des Dienstleister-Managements. Die Interne Revision muss sicherstellen, dass die Organisation nicht nur formell den Anforderungen von DORA entspricht, sondern dass die implementierten Maßnahmen auch in der Praxis wirksam sind, um die Resilienz gegenüber digitalen Risiken zu stärken.

Die Herausforderungen für die Interne Revision im Zusammenhang mit DORA sind vielschichtig. Sie muss über tiefgreifendes Verständnis der IT-Infrastruktur und der Risikolandschaft verfügen, um die Angemessenheit und Wirksamkeit der von der Organisation ergriffenen Maßnahmen beurteilen zu können. Dies erfordert kontinuierliche Weiterbildung und die Weiterentwicklung von Fachwissen in Bereichen wie Cybersicherheit, Supplier-Management und IT-Governance.

Weiters sollte die Interne Revision eine proaktive Rolle einnehmen, um sicherzustellen, dass die Organisation den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus ist bzw. bei Vorfällen effizient und effektiv reagiert werden kann. Dies kann die Unterstützung des Managements bei der Entwicklung und Implementierung von Strategien zur Verbesserung der digitalen operationalen Resilienz und die Förderung einer Kultur der kontinuierlichen Verbesserung beinhalten.

Die Interne Revision ist somit eine Schlüsselfigur, um die Organisation durch die komplexen Anforderungen von DORA zu navigieren und einen wesentlichen Beitrag zur Stärkung der digitalen operationalen Resilienz im Finanzsektors zu leisten.

Nachdem wir nun die Anforderungen von DORA und die Rolle der Internen Revision detailliert betrachtet haben, werden wir im nächsten Abschnitt auf die spezifischen Herausforderungen eingehen, die sich nach der Implementierung von DORA für die Interne Revision eines Finanzinstituts ergeben. Wir werden untersuchen, welche Anpassungen im internen Kontrollsystem erforderlich sind und wie die Interne Revision effektiv zur Stärkung der operativen Resilienz beitragen kann.

Herausforderungen nach der Implementierung von DORA

Die Implementierung des Digital Operational Resilience Act stellt für die internen Revisionsabteilungen von Finanzinstituten diverse Herausforderungen dar. Diese erfordern nicht nur eine Anpassung der internen Prozesse und Kontrollsysteme, sondern auch ein fundiertes Verständnis für die Landschaft an Cyberbedrohungen. Nachfolgend eine Auflistung von Problematiken, die nach der Implementierung von DORA auftreten können.

Identifikation und Bewertung von IKT-Risiken

Eine der größten Herausforderungen kann darin bestehen, potenzielle IKT-Risiken zu identifizieren und zu bewerten, die die operationale Resilienz beeinträchtigen könnten, wie etwa:

  • Cyberbedrohungen: Die schnelle Entwicklung von Cyberbedrohungen erfordert eine kontinuierliche Überwachung (Vulnerability Management und Scanning) und Anpassung der Sicherheitsstrategien. Dazu zählt unter anderem eine Inventarisierung und Bewertung aller bekannten IKT-Risiken.
  • Technologische Abhängigkeiten: Eine genaue Analyse der Abhängigkeiten innerhalb der IT-Infrastruktur ist notwendig, um potenzielle Schwachstellen zu identifizieren. Dazu zählt ein vollständiges und aktuelles Inventar an allen IKT-Assets. Wichtig dabei ist eine Verknüpfung zwischen den Assets und den damit verbundenen Services herzustellen.
  • Auswirkungen von Drittanbietern: Die zunehmende Nutzung von Dienstleistungen Dritter führt zu neuen Risiken, die sorgfältig bewertet werden müssen. Um diese Risiken zu warten, ist ein Informationsregister zu erstellen und dieses regelmäßig zu aktualisieren. Hier muss beachtet werden, dass nicht nur Dienstleister, die Services bereitstellen, welche wichtige und kritische Funktionen des Unternehmens unterstützen, sondern alle IKT-Dienstleister innerhalb des Unternehmens betrachtet werden.

Anpassung des internen Kontrollsystems (IKS) an DORA-Anforderungen

Das interne Kontrollsystem muss an die spezifischen Anforderungen angepasst werden, was folgende Aspekte einschließt:

  • Implementierung spezifischer Kontrollen: Zur Erfüllung der DORA-Vorschriften müssen spezifische Kontrollen bzw. Mechanismen im Bereich der IKT-Sicherheit und des Risikomanagements implementiert werden. Beispiele sind: Prüfung der Reaktionszeiten im Falle von Security Incidents, Prüfung der IKT-Assets auf Aktualität, Richtigkeit und Vollständigkeit, Prüfung des Berechtigungskonzepts und Zugriffskontrollen.
  • Überprüfung und Aktualisierung der Unternehmensrichtlinien: Bestehende Anweisungen müssen überprüft und regelmäßig aktualisiert werden, um die Einhaltung von DORA sicherzustellen (Zu welchen Themenbereichen muss es zusätzliche Richtlinien geben?).
  • Integration in das bestehende IKS: Neuen Kontrollen und Prozesse sollen nahtlos in das bestehende interne Kontrollsystem integriert werden.

Sicherstellung der Datenintegrität und -verfügbarkeit

Die Gewährleistung der Integrität und Verfügbarkeit von Daten stellt eine kontinuierliche Herausforderung dar, insbesondere in Anbetracht der steigenden Anzahl und Komplexität von Cyberangriffen. Das beinhaltet:

  • Notfallplanung und Business Continuity Management: Entwicklung und Testen von Notfallplänen, um die Verfügbarkeit von kritischen und wichtigen Systemen und Daten sicherzustellen bzw. wiederherzustellen. Dazu gehören Geschäftsfortführungspläne (GFPs) und Wiederanlaufpläne (WAPs). Innerhalb von GFPs werden in der Regel die zeitkritischen Prozesse je Organisationseinheit dokumentiert und eine dementsprechende Fortführung dieser Prozesse erarbeitet. Bei WAPs wird üblicherweise darauf eingegangen, wie die Ressourcen wiederhergestellt werden, welche essenziell für die zeitkritischen Systeme sind.

Überprüfung der Drittanbieter und Outsourcing-Partnerschaften

Die Abhängigkeit von Drittanbietern und Outsourcing-Partnern bringt zusätzliche Komplexität und Risiken mit sich, die adressiert werden müssen:

  • Risikobewertung von Drittanbietern: Durchführung detaillierter Risikoanalysen und Bewertungen der Sicherheitspraktiken von Drittanbietern und Subdienstleistern (§ 25 BWG) welche bereits durch das BWG verpflichtend sind. Darüber hinaus geht DORA auch auf Subdienstleisterebene (RTS).
  • Vertragsmanagement: Sicherstellung, dass Verträge mit Drittanbietern die wesentlichen Vertragsbestandteile lt. DORA 2022/2554/EU (Art. 28 & 30) sowie etwaige Bestandteile aus Technischen Durchführungsstandards (Subverlagerungen und vertragliche Regelungen zur Nutzung von IKT-Diensten, welche kritische oder wichtige Funktionen unterstützen, die von IKT-Drittanbietern bereitgestellt werden) enthalten.
  • Überwachung und Auditierung: Regelmäßige Überwachung und Auditierung der Leistung und Compliance von Drittanbietern. Wichtig bei der Überprüfung von Dienstleistern sind in der Regel ISAE 3402/3000 Berichte und diverse Zertifizierungen. Jedoch wird man sich vermutlich zukünftig nicht mehr auf diese beiden Arten von Prüfnachweisen auf Dauer verlassen dürfen. Im Rahmen der Überwachung und Auditierung soll stets auf das Three lines of defense Modell geachtet werden. Die interne Revision führt die Überprüfungen der Dienstleister nicht durch, sondern überprüft die erfolgten Maßnahmen, welche im Rahmen des IKT-Dienstleister Managements durch die First und Second line of defense getroffen wurden.
Abbildung 3: Three lines of defense (Quelle: The IIA)
Abbildung 3: Three lines of defense (Quelle: The IIA)

Im nächsten Teil werden wir uns den spezifischen Maßnahmen widmen, die im IT-internen Kontrollsystem (IKS) gesetzt werden sollten, um diesen Herausforderungen zu begegnen.

Maßnahmen im IKS nach DORA

Nach der Implementierung von DORA stehen Finanzinstitute vor der Aufgabe, ihr internes Kontrollsystem (IKS) entsprechend anzupassen bzw. zu erweitern. Diese Anpassungen sind maßgeblich, um die Einhaltung der neuen Vorschriften sicherzustellen und die operationale Resilienz zu stärken. Im Folgenden werden wichtige Maßnahmen erörtert, die im IKS gesetzt werden, und in Folge von der Internen Revision geprüft werden können.

Entwicklung eines Frameworks zur Risikobewertung und -minderung

Ein zentraler Aspekt ist die Entwicklung eines umfassenden Frameworks zur koordinierten Bewertung und Minderung von IKT-Risiken, welches folgende Elemente beinhalten sollte:

  • Risikoidentifikation: Strukturierte Identifikation von IKT-Risiken.
  • Risikobewertung: Bewertung der Risiken hinsichtlich ihrer Wahrscheinlichkeit und potenziellen Auswirkungen.
  • Risikominderung: Entwicklung und Implementierung von Maßnahmen (z.B. Kontrollen) zur Minderung identifizierter Risiken, einschließlich technischer, organisatorischer und personeller Maßnahmen.
  • Restrisiken: Die Wartung einer Restrisikoliste für IKT-Risiken inkl. regelmäßigem Review und Begründung, warum die Risiken akzeptiert wurden.

Implementierung von Kontrollen zur Cyber- und Betriebssicherheit

Verschärfte Maßnahmen werden zudem im Betrieb von IKT-Systemen gefordert. Dazu gehören unter anderem:

  • Betriebsüberwachung: Anforderungen an Backup und Wiederherstellung von Ressourcen, Trennung der Entwicklungs- Test- und Produktivumgebung, Einhaltung von Regeln im Zusammenhang mit Tests, welche in der Produktivumgebung stattfinden.
  • Netzwerksicherheit & Verschlüsselung: Review der Firewall-Regeln mindestens alle sechs Monate, Review der Netzwerkarchitektur, Verschlüsselung von Daten „at rest“, „in transit“ und „in use“, wo anwendbar.
  • Zugriffskontrollen: Implementierung von strengen Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Personen Zugang zu Informationen und Systemen haben (z.B. Least-Privilege).
  • Change-Management: Regelmäßige Code Reviews im Rahmen des Entwicklungsprozesses, Einhaltung der intern definierten Change-Management Prozesse (z.B. Standard, Normal, Emergency)
  • Regelmäßige Sicherheitsaudits und -bewertungen: Durchführung regelmäßiger interner und externer Audits und Bewertungen der Systeme, um Schwachstellen zu identifizieren und zu beheben.

Best Practices für die Zusammenarbeit mit Drittanbietern

Die Zusammenarbeit mit Drittanbietern und Outsourcing-Partnern erfordert besondere Aufmerksamkeit im Rahmen von DORA. Folgende Best Practices sollten beachtet werden:

  • Due Diligence und Risikobewertung: Durchführung gründlicher Due-Diligence-Prüfungen und Risikobewertungen vor dem Beginn von Geschäftsbeziehungen mit Drittanbietern.
  • Vertragsgestaltung: Aufnahme spezifischer Sicherheitsanforderungen und eventuell Standardvertragsklauseln in Verträge mit Drittanbietern.
  • Kontinuierliches Monitoring und Auditierung: Etablierung von internen Prozessen für das kontinuierliche Monitoring und die regelmäßige Auditierung der Drittanbieter, um Compliance und Sicherheitsstandards zu gewährleisten.

Notfall- und Wiederherstellungspläne

Die Entwicklung und regelmäßige Überprüfung von Notfall- und Wiederherstellungsplänen ist entscheidend, um die Kontinuität der Geschäftstätigkeit zu gewährleisten. Diese Pläne sollten umfassen:

  • Business Continuity Planning (BCP): Erstellung von Plänen zur Aufrechterhaltung der Geschäftstätigkeit bei IT-Ausfällen oder Cyberangriffen.
  • Desaster Recovery Planning (DRP): Entwicklung von Strategien zur schnellen Wiederherstellung von IT-Systemen und Daten nach einem Vorfall.
  • Regelmäßige Tests und Übungen: Durchführung regelmäßiger Tests und Übungen der Notfall- und Wiederherstellungspläne, um ihre Effektivität zu gewährleisten. Die Verordnung fordert hier eine Reihe von Szenarien wie zum Beispiel Cyberangriffe, Nichtverfügbarkeit von kritischem Personal, Insider Angriffen, uvm.

Die Implementierung dieser Maßnahmen im IT-IKS ist eine kontinuierliche Aufgabe, die eine enge Zusammenarbeit zwischen den „Three lines of defense“ und dem Management erfordert. Durch die proaktive Anpassung an die Anforderungen von DORA können Finanzinstitute nicht nur regulatorische Strafen vermeiden, sondern auch ihre operationale Resilienz gegenüber einer Vielzahl von Bedrohungen stärken.
Im nächsten Teil werden wir uns Themen und Empfehlungen für die Interne Revision widmen, die bei der Umsetzung und Überwachung von DORA beachtet werden sollten.

Umgang mit technologischem Wandel und Innovation

Die schnelle Entwicklung von Technologien stellt eine kontinuierliche Herausforderung für die Einhaltung von DORA dar, insbesondere in Bezug auf die Bewertung neuer Risiken und die Anpassung der Kontrollen.

  • Empfehlung: Entwickeln Sie einen Prozess für die kontinuierliche Beobachtung und Bewertung technologischer Innovationen und Trends. Dies sollte eine regelmäßige Überprüfung und gegebenenfalls Anpassung des IKS und der Risikomanagementstrategien umfassen, um neue Risiken proaktiv zu erfassen und zu adressieren.

Themen und Empfehlungen für die Interne Revision

Die erfolgreiche Umsetzung und Aufrechterhaltung der Anforderungen des Digital Operational Resilience Act erfordert von der internen Revision nicht nur eine umfassende Überwachung der IKT- und Sicherheitsmaßnahmen, sondern auch ein proaktives Engagement für die kontinuierliche Verbesserung der operationalen Resilienz. Hier sind Themen und Empfehlungen, die interne Auditoren in diesem Kontext beachten sollten.

Schaffung einer Resilienzkultur und Förderung von Risikobewusstsein

Interne Auditoren spielen eine entscheidende Rolle bei der Gewährleistung, dass ihre Organisationen nicht nur die Anforderungen von DORA erfüllen, sondern auch eine Kultur der Resilienz und des Risikobewusstseins fördern.

  • Empfehlung: Arbeiten Sie eng mit dem Management und den IT-Abteilungen zusammen, um eine ganzheitliche Sicht auf die operationale Resilienz zu fördern. Dies beinhaltet die Unterstützung bei der Entwicklung effektiver Strategien zur Risikominderung, die Durchführung unabhängiger Überprüfungen und die Bereitstellung strategischer Einblicke, um die Widerstandsfähigkeit der Organisation zu stärken.

Integration von DORA in die reguläre Risikoüberwachung

DORA sollte nicht als isoliertes Projekt betrachtet werden, sondern als integraler Bestandteil der regelmäßigen Risikoüberwachungs- und Bewertungsprozesse der Organisation.

  • Empfehlung: Stellen Sie sicher, dass die durch DORA vorgeschriebenen Risikomanagementpraktiken und -kontrollen in die regelmäßigen Risikobewertungszyklen der internen Revision integriert werden. Dies beinhaltet die Anpassung von Auditplänen, um spezifische DORA-Aspekte regelmäßig zu überprüfen und zu bewerten.
    Die Anpassung an die Anforderungen von DORA und die Stärkung der operationalen Resilienz sind fortlaufende Prozesse. Interne Auditoren müssen daher aktiv bleiben, sich kontinuierlich weiterbilden und eng mit anderen Organisationseinheiten zusammenarbeiten, um zu gewährleisten, dass ihr Institut nicht nur compliant ist, sondern auch gut auf zukünftige Herausforderungen und aufsichtsrechtliche Prüfungen vorbereitet ist.

Fazit

Die Einführung des Digital Operational Resilience Act markiert einen wesentlichen Schritt hin zu einer stärkeren und ganzheitlichen digitalen operationalen Resilienz im europäischen Finanzsektor. Für die interne Revision von Finanzinstituten bringt diese regulatorische Veränderung sowohl Herausforderungen als auch Chancen mit sich. Durch die Überwachung der Einhaltung der Verordnung können sie einen wesentlichen Beitrag zur Stärkung der Sicherheit, Stabilität und Widerstandsfähigkeit ihrer Organisationen leisten.

Die Themen, die in diesem Beitrag diskutiert wurden, unterstreichen die Notwendigkeit einer proaktiven, informierten und integrierten Herangehensweise an die operationale Resilienz. Die Integration von DORA in die reguläre Risikoüberwachung, der Umgang mit technologischem Wandel und die enge Zusammenarbeit mit dem Management und den IT-Abteilungen sind wichtig für den Erfolg in dieser neuen regulatorischen Landschaft.

Die Revision steht an vorderster Front, um sicherzustellen, dass ihre Organisationen nicht nur auf dem Papier compliant sind, sondern tatsächlich widerstandsfähig gegenüber den vielfältigen und sich wandelnden Cyberbedrohungen. Die Rolle der internen Revision wird zunehmend strategischer, da sie nicht nur als Prüfer, sondern auch als Partner für das Management fungiert, um die digitale operationale Resilienz zu fördern.

Die Implementierung von DORA ist kein einmaliges Projekt, sondern ein sich weiterentwickelnder Prozess, der ständige Anpassung und Verbesserung erfordert. In einer Welt, in der die digitale Transformation weiterhin rasant voranschreitet, wird die Fähigkeit einer Organisation, operational resilient zu sein, für Viele ein Wettbewerbsvorteil. Interne Auditoren spielen eine Schlüsselrolle bei der Sicherung dieses Vorteils, indem sie ein tiefes Verständnis für die Risiken und Herausforderungen entwickeln und ihre Organisationen durch die komplexe Landschaft der digitalen operationalen Resilienz leiten.

Zusammenfassend lässt sich sagen, dass DORA den Finanzsektor stärker und widerstandsfähiger gegenüber digitalen Risiken machen wird. Für interne Auditoren bietet dies Gelegenheit, ihre Fähigkeiten zu erweitern, ihre Rolle innerhalb ihrer Organisationen zu stärken und einen wichtigen Beitrag zur langfristigen Sicherheit und des Erfolgs ihres Unternehmens zu leisten.

Die Herausforderung besteht darin, sicherzustellen, dass diese Maßnahmen nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch tatsächlich zur Stärkung der operationalen Resilienz beitragen.

Damit schließen wir unseren umfassenden Blogbeitrag zum Thema Digital Operational Resilience Act aus der Sicht der internen Revision ab. Wir haben die Herausforderungen, Maßnahmen und Themen, die nach der Implementierung von DORA entstehen können, betrachtet und Empfehlungen für eine erfolgreiche Anpassung und kontinuierliche Verbesserung der operationalen Resilienz gegeben. Einige finale Rechtsakte werden noch erscheinen, jedoch wird sich am grundlegenden Inhalt vermutlich nicht viel ändern. Daher sollten wir bereits jetzt schon bei der Analyse und Überprüfung möglicher Gaps unterstützen. Dieser Beitrag soll interne Auditoren dabei unterstützen, ihre Organisationen durch die Anforderungen und Möglichkeiten, die DORA mit sich bringt, zu navigieren und einen wertvollen Beitrag zur Stärkung der digitalen operationalen Resilienz zu leisten.

Über den Autor

Inhaltbars