Die wesentlichen Vorgaben zum IKT-Vorfallmanagement sind im Kapitel III – Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle,   insbesondere im Artikel 17 bis 19 enthalten. Begleitende Vorgaben beschreiben die Artikel 10, 11, 13 und 14 der DORA sowie zwei ergänzende RTS und ein ITS.

Artikel 17 – Prozess für die Behandlung IKT-bezogener Vorfälle

Artikel 17 des Digital Operational Resilience Act (DORA) legt die Anforderungen an den Prozess zur Behandlung IKT-bezogener Vorfälle fest. Ziel ist es, Vorfälle jedweder Art schnell und zuverlässig zu identifizieren, zu bewerten, zu behandeln und zu beheben. Die Ursachen hierfür können verschieden sein, u.a. Hackerangriffe, Systemausfälle oder Datenlecks.

Die Klassifizierung von IKT-Vorfällen gemäß Artikel 18 des DORA ist essentiell für eine angemessene Reaktion und umfasst Kriterien wie die Kritikalität der betroffenen Funktionen, die Anzahl und Relevanz betroffener Kunden, die Dauer und geografische Ausbreitung des Vorfalls sowie die betroffenen Schutzziele hinsichtlich Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit. Auch die wirtschaftlichen Auswirkungen des Vorfalls werden bewertet. Diese Klassifizierung ermöglicht es Unternehmen, die Schwere eines Vorfalls präzise zu bestimmen und daraus resultierende Meldepflichten gegenüber der BaFin abzuleiten.

Neu ist auch, dass Cyberbedrohungen nach einem festgelegten Kriterienkatalog bewertet werden müssen, um ihre Bedeutung und potenzielle Einstufung als erheblich zu ermitteln.

Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen

Gemäß Artikel 19 sind Finanzunternehmen verpflichtet, innerhalb von 24h, 72h und 30 Tagen über schwerwiegende Vorfälle der zuständigen Behörde zu melden. Werden Finanzunternehmen von mehreren nationalen Behörden beaufsichtigt, benennen die Mitgliedstaaten eine einzige zuständige Behörde. Diese nationale Behörde leitet die Meldung unverzüglich an die EZB weiter.

Die Meldungen von Cyberbedrohungen sind im zugehörigen ITS geregelt und basieren auf freiwilliger Basis. Allerdings überprüft die europäische Aufsicht die Freiwilligkeit der Meldung bis 2028 (DORA Art. 58).

Institute müssen sicherstellen, dass alle notwendigen Daten für die Meldungen vorhanden sind und ein effizienter Meldeprozess implementiert wird, ohne die Ressourcen zur Behebung des IKT-Vorfalls zu beeinträchtigen. Dabei sollte die Behebung des Vorfalls stets im Vordergrund stehen. Es wird empfohlen, den Meldeprozess mit geeigneten Tools zu unterstützen, um eine einfache und effiziente Übermittlung im MVP-Portal zu gewährleisten. Idealerweise sind die erforderlichen Datenfelder bereits mit internen Datenquellen wie Ticketsystemen verknüpft, um eine schnelle Erstellung der Meldungen zu ermöglichen.

Zusammenfassung

Auf Basis der bisherigen Anwendungserfahrungen aus diversen DORA Umsetzungsprojekten sehen wir insbesondere folgende Herausforderungen in der wirksamen Etablierung eines IKT-Vorfallsmanagements:

1. Der heutige Incident-Begriff wird deutlich erweitert, bspw. um Informationssicherheitsvorfälle und Datenschutzverletzungen, um alle Schutzziele (Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit) abzudecken.
    
2. IKT-Vorfallsmanagement wird interdisziplinäre Koordinationsaufgabe (Zusammenarbeit mit IT-Betrieb, SOC, ISB, Notfallmanagement, Auslagerungsmanagement, Kommunikationsabteilung, Compliance/Datenschutz, etc.).
    
3. Bestehende Prozesse sind zu konsolidieren, bspw. die Behandlung von Informationssicherheitsvorfällen und Datenschutzverletzungen, werden obsolet bzw. gehen im ganzheitlichen Incident Management Prozess neu auf.
    
4. Ein System von Frühwarnindikatoren ist einzurichten und zu monitoren, um IKT-Vorfälle oder Cyberbedrohungen rechtzeitig zu erkennen (u.a. Security-Incident-Event-Monitoring (SIEM), Kapazitätsmanagement, etc.).
    
5. Kommunikationsstrategien  und -pläne sind zu entwickeln, um relevante Stakeholder verlässlich und umfassend zu informieren, u.a. Mitarbeiter, externe Interessengruppen, Medien, Kunden und gegebenenfalls Finanzinstitute als Gegenparteien und Dienstleister.
    
6. Eine umfassende Datenhaltung ist essenziell, um IKT-Vorfälle korrekt zu klassifizieren und alle Informationen für die unterschiedlichen Berichte und Meldungen zuverlässig bereitzustellen (allein die Meldungen umfassen ca. 100 Datenfelder!).
    
7. IKT-Drittdienstleister sind in das eigene IKT-Vorfallsmanagement einzubinden und bspw. Mitwirkungspflichten und Kosten zur Unterstützung der Behebung von IKT-Vorfällen im Vorhinein festzulegen.
    
8. Das IKT-Vorfallsmanagement ist regelmäßig zu verproben, bspw. im Rahmen des Resilienz-Test Programms, um die Wirksamkeit der bestehenden Prozesse zu bewerten und aus (schwerwiegenden) IKT-Vorfällen zu lernen.

Zudem sollte der Meldeprozess personell von denjenigen getrennt werden, die mit der Behebung und Koordination des IKT-Vorfalls beschäftigt sind, um Ressourcenkonflikte zu vermeiden.

Ab sofort erhalten Sie regelmäßig eine Blogserie zu DORA. Diese Serie dient dazu, Sie bestmöglich auf den verbindlichen Anwendungstermin der DORA am 17. Januar 2025 vorzubereiten. DORA ist ein entscheidender Meilenstein für Unternehmen und Organisationen, um ihre digitale Betriebsbereitschaft zu bewerten und zu verbessern. Die Blogserie wird Ihnen wertvolle Einblicke, Tipps und Best Practices bieten, um die Umsetzung in Ihrem Institut zu begleiten.

Unsere DORA- und IT-Experten von Severn unterstützen Sie gerne.

Gerne steht Ihnen Norman Nehls für eine erste Kontaktaufnahme und für weitere Fragen zur Verfügung