Für das IKT-Risikomanagement legt DORA in Kapitel II über die Finanzsektoren hinweg harmonisierte und einheitliche Anforderungen fest.

Diese Anforderungen sollen dazu beitragen, die Funktionsfähigkeit der Finanzunternehmen insbesondere hinsichtlich Cyber-Gefahren aufrechtzuerhalten bzw. gegebenenfalls wiederherzustellen. Damit sorgen sie dafür, dass die Finanzunternehmen eine für sie angemessene digitale operationale Resilienz erreichen – also so widerstands- und anpassungsfähig sind, dass sie ihre digitalen operationellen Prozesse auch während und nach einem Störungsfall aufrechterhalten können.

Mit den Anforderungen im Bereich der Governance und Organisation etabliert DORA durch die erforderliche Einrichtung eines internen Governance- und Kontrollrahmens zur Gewährleistung eines umsichtigen Managements von IKT-Risiken einen zentralen Baustein zur Zielerreichung einer hohen digitalen Resilienz des Finanzunternehmens. Diese Bedeutung zeigt sich auch in der hervorgehobenen Rolle des Leitungsorgans im Verordnungstext: Diesem obliegt die Letztverantwortung für das Management der IKT-Risiken des Finanzunternehmens. Weiter fallen ihm wichtige Aufgaben wie die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz als auch die Zuweisung angemessener Budgetmittel für den IKT-Risikomanagementrahmen zu. Darüber hinaus sind die Mitglieder des Leitungsorgans angehalten, ausreichende Kenntnisse und Fähigkeiten aktiv auf den neuesten Stand zu halten, um ihre Aufgaben adäquat wahrnehmen zu können.

Als zweiten Baustein des IKT-Risikomanagements soll ein solider, umfassender und gut dokumentierter IKT-Risikomanagementrahmen dazu beitragen, den IKT-Risiken, mit denen das Finanzunternehmen konfrontiert ist, angemessen zu begegnen. Als Bestandteil des Gesamtrisikomanagements umfasst der Rahmen folgende Elemente:

• Identifizierung,
• Schutz und Prävention,
• Erkennung,
• Gegenmaßnahmen und Wiederherstellung,
• Lernen sowie
• Weiterentwicklung und Kommunikation.

Die mit den Elementen einhergehenden Anforderungen orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren (best practices) als auch Standards.

Ihre insgesamt standard- und technikneutralen Eigenschaften ermöglichen den Finanzunternehmen eine risikoorientierte und proportionale Umsetzung der Anforderungen. Der Proportionalitätsgedanke, den DORA zentral in Art. 4 mit dem Grundsatz der Verhältnismäßigkeit hervorhebt, zeigt sich darüber hinaus auch an einer anderen Stelle im IKT-Risikomanagement: Für bestimmte Finanzunternehmen sieht Artikel 16 DORA vereinfachte Anforderungen an den IKT Risikomanagementrahmen vor.

Was müssen Sie wissen?

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.