Zurück zur Übersicht

Cybersicherheit & IT-Steuerung

DORA im Praxistest

Am 17. Januar 2025 trat der Digital Operational Resilience Act (DORA) in Kraft. Eine vollständige Compliance in kurzer Zeit ist schwer vorstellbar, da die Umsetzung weiter komplex ist.

Herausforderungen auf dem Weg zur Umsetzung

1. Mangelnde Finalisierung sämtlicher Rechtsakte

Auch wenn kurzfristig zum Beispiel der ITS zum Informationsregister veröffentlicht und in einer Antwort der ESAs klargestellt wurde, dass von regulierten Finanzdienstleistern im Zusammenhang mit ihrer Finanzdienstleistung erbrachte IKT-Dienste nicht als IKT-Dienstleistung im Sinne von DORA mit entsprechenden Vertragsanpassungen und Exit-Strategien eingestuft werden, warten wir immer noch auf die finalen Rechtsakte zum Threat Led Penetration Testing und zur Unterauftragsvergabe.

2. Organisatorische Struktur der Digital Operational Resilience (DOR)-Funktion
Die Integration der neuen Vorgaben in bestehende Strukturen stellt viele Banken vor Herausforderungen. Die genaue Aufgabenverteilung zwischen der IKT-Risikofunktion und benachbarten Bereichen muss in der Praxis geklärt werden. Zudem sind Ressourcen knapp, weshalb viele Banken auf eine schrittweise Anpassung setzen, deren Erfolg sich erst mit ersten Umsetzungserfahrungen bewerten lässt.

3. Testmanagement und Meldewesen
Die Testprozesse für die operationelle Resilienz sind bislang kaum erprobt, und das erforderliche Ambitionsniveau bleibt unklar. Zudem werden neue Klassifizierungskriterien für das Vorfalls- und Meldewesen Anpassungen in den Prozessen notwendig machen. Diese dürften sich erst mit der Zeit stabilisieren.

4. Berichtswesen: Notwendige Anpassungen
Die Frequenz und der Umfang der Berichterstattung müssen sinnvoll gestaltet werden. Welche Informationen zusammengeführt werden und welche Schlüsse sich daraus ableiten lassen, wird sich erst im praktischen Betrieb zeigen.

Fazit: Austausch zu Best Practices als ein effektiver Weg für eine praxisnahe Umsetzung

Der VÖB hat daher eine institutsübergreifende Austauschplattform für Best Practices etabliert, um seinen Mitgliedsinstituten Unterstützung bei den aktuellen Herausforderungen zu bieten.

In dem Zusammenhang sei auch auf unsere Publikation zum CRA verwiesen, da er im Kontext von DORA und NIS2 den industrieübergreifenden Rahmen bildet, digitale Resilienz aufzubauen und Cyberbedrohungen effektiv zu begegnen.