Prüfung des Digital Operational Resilience Act (DORA)
Ab dem 17. Januar 2025 sind die Anforderungen des Digital Operational Resilience Act (DORA) in allen EU-Mitgliedstaaten verbindlich. Dieser wichtige Rechtsrahmen zielt darauf ab, die Cybersicherheit und digitale Betriebsfestigkeit des Finanzsektors zu stärken. Angesichts der zunehmenden Bedrohungen durch Cyberangriffe ist diese Maßnahme von entscheidender Bedeutung, um die Finanzsysteme vor erheblichen Schäden zu schützen.
Anwendbarkeit der DORA
Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die für den gesamten Finanzsektor gilt. Sie umfasst nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektor. Hierzu gehören in Abhängigkeit zur FinmadiG unter anderem folgende Institute:
- CRR Kreditinstitute
- Leasinggesellschaften
- Factoringgesellschaften
- Zahlungsinstitute
- E-Geld-Institute
- Wertpapierinstitute
- Versicherungsunternehmen
Interne Revision und Prüfungsgebiete gemäß Digital Operational Resilience Act
Folgende Prüfungsfelder sind unter anderem im Rahmen der Internen Revision als Prüfungsfelder zu berücksichtigen (Aufzählung nicht abschließend):
- IKT-Risikomanagement (Kapitel II) Organisatorische Pflichten: Finanzinstitute müssen ein umfassendes IKT-Risikomanagement implementieren. Dazu gehören Richtlinien, Arbeitsanweisungen und Prozesse zur Identifizierung und Reaktion auf IKT-Störungen. IKT-Sicherheitsmaßnahmen: Die Nutzung von IKT-Sicherheitstools, Richtlinien und Verfahren ist verpflichtend. Notfallpläne müssen erstellt und regelmäßig getestet werden.
- Behandlung, Klassifizierung und Berichterstattung IKT- bezogener Vorfälle (Kapitel III) Überwachung von Cyber-Bedrohungen: Finanzinstitute müssen standardisierte Verfahren zur Überwachung von Cyber-Bedrohungen etablieren. Klassifizierung von IKT-Vorfällen: Alle IKT-Vorfälle müssen klassifiziert und umfassend analysiert werden. Meldepflichten: Schwere IKT-Vorfälle müssen umgehend gemeldet werden. Es bestehen strenge Aufzeichnungspflichten und Kommunikationspläne.
- Testen der digitalen operationalen Resilienz (Kapitel IV) Penetration Testing: Finanzinstitute sind verpflichtet, regelmäßig Penetrationstests durchzuführen, um die Widerstandsfähigkeit ihrer digitalen Infrastruktur zu überprüfen. Prüfung kritischer Funktionen: Dazu gehört die Prüfung aller kritischen Funktionen und Dienstleistungen, inklusive derer, die ausgelagert wurden. Testverfahren: Geeignete Testverfahren und die Beauftragung externer Dienstleister für Threat-Led Penetration Tests (TLPT) sind vorgeschrieben.
- IKT- Drittparteienrisikomanagement (Kapitel V) Risikobewertung: Finanzinstitute müssen das Risiko, das durch Drittanbieter entsteht, regelmäßig bewerten und managen. Vertragsmanagement: Es gibt detaillierte Vorgaben für die Vertragsgestaltung mit IKT-Drittanbietern. Diese Verträge müssen regelmäßig überprüft und aktualisiert werden.
Unsere Lösung
Sowohl bei Banken- und Finanzdienstleistungsinstitute und Versicherungsunternehmen haben wir langjährige, branchenbezogene Prüfungserfahrung. In diesem Zusammenhang arbeiten wir mit branchen- und themenspezifischen Experten. Gerne unterstützen wir Sie dabei im Rahmen einer Erstprüfung eine GAP Analyse durchzuführen.