Gepostet am 09. Juli 2024 von
Die wesentlichen Vorgaben zum IKT-Vorfallmanagement sind im Kapitel III – Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, insbesondere im Artikel 17 bis 19 enthalten. Begleitende Vorgaben beschreiben die Artikel 10, 11, 13 und 14 der DORA sowie zwei ergänzende RTS und ein ITS.
Artikel 17 des Digital Operational Resilience Act (DORA) legt die Anforderungen an den Prozess zur Behandlung IKT-bezogener Vorfälle fest. Ziel ist es, Vorfälle jedweder Art schnell und zuverlässig zu identifizieren, zu bewerten, zu behandeln und zu beheben. Die Ursachen hierfür können verschieden sein, u.a. Hackerangriffe, Systemausfälle oder Datenlecks.
Die Klassifizierung von IKT-Vorfällen gemäß Artikel 18 des DORA ist essentiell für eine angemessene Reaktion und umfasst Kriterien wie die Kritikalität der betroffenen Funktionen, die Anzahl und Relevanz betroffener Kunden, die Dauer und geografische Ausbreitung des Vorfalls sowie die betroffenen Schutzziele hinsichtlich Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit. Auch die wirtschaftlichen Auswirkungen des Vorfalls werden bewertet. Diese Klassifizierung ermöglicht es Unternehmen, die Schwere eines Vorfalls präzise zu bestimmen und daraus resultierende Meldepflichten gegenüber der BaFin abzuleiten.
Neu ist auch, dass Cyberbedrohungen nach einem festgelegten Kriterienkatalog bewertet werden müssen, um ihre Bedeutung und potenzielle Einstufung als erheblich zu ermitteln.
Gemäß Artikel 19 sind Finanzunternehmen verpflichtet, innerhalb von 24h, 72h und 30 Tagen über schwerwiegende Vorfälle der zuständigen Behörde zu melden. Werden Finanzunternehmen von mehreren nationalen Behörden beaufsichtigt, benennen die Mitgliedstaaten eine einzige zuständige Behörde. Diese nationale Behörde leitet die Meldung unverzüglich an die EZB weiter.
Die Meldungen von Cyberbedrohungen sind im zugehörigen ITS geregelt und basieren auf freiwilliger Basis. Allerdings überprüft die europäische Aufsicht die Freiwilligkeit der Meldung bis 2028 (DORA Art. 58).
Institute müssen sicherstellen, dass alle notwendigen Daten für die Meldungen vorhanden sind und ein effizienter Meldeprozess implementiert wird, ohne die Ressourcen zur Behebung des IKT-Vorfalls zu beeinträchtigen. Dabei sollte die Behebung des Vorfalls stets im Vordergrund stehen. Es wird empfohlen, den Meldeprozess mit geeigneten Tools zu unterstützen, um eine einfache und effiziente Übermittlung im MVP-Portal zu gewährleisten. Idealerweise sind die erforderlichen Datenfelder bereits mit internen Datenquellen wie Ticketsystemen verknüpft, um eine schnelle Erstellung der Meldungen zu ermöglichen.
Auf Basis der bisherigen Anwendungserfahrungen aus diversen DORA Umsetzungsprojekten sehen wir insbesondere folgende Herausforderungen in der wirksamen Etablierung eines IKT-Vorfallsmanagements:
Zudem sollte der Meldeprozess personell von denjenigen getrennt werden, die mit der Behebung und Koordination des IKT-Vorfalls beschäftigt sind, um Ressourcenkonflikte zu vermeiden.
Ab sofort erhalten Sie regelmäßig eine Blogserie zu DORA. Diese Serie dient dazu, Sie bestmöglich auf den verbindlichen Anwendungstermin der DORA am 17. Januar 2025 vorzubereiten. DORA ist ein entscheidender Meilenstein für Unternehmen und Organisationen, um ihre digitale Betriebsbereitschaft zu bewerten und zu verbessern. Die Blogserie wird Ihnen wertvolle Einblicke, Tipps und Best Practices bieten, um die Umsetzung in Ihrem Institut zu begleiten.
Unsere DORA- und IT-Experten von Severn unterstützen Sie gerne.
Gerne steht Ihnen Norman Nehls für eine erste Kontaktaufnahme und für weitere Fragen zur Verfügung