DORA Compliance

Mit 25 gezielten Fragen analysieren wir Kernaspekte der DORA-Richtlinien und präsentieren Ihnen einen klaren Überblick über Ihre aktuelle Compliance-Position. Anhand dieses Checks können Sie identifizieren, wo Maßnahmen erforderlich sind, um die Vorschriften vollständig einzuhalten und Ihre IT-Resilienz zu stärken.

Als zusätzlichen Mehrwert erhalten Sie Zugang zu unserem Benchmarking-Bericht, der es Ihnen ermöglicht, Ihre Performance mit branchenweiten Standards zu vergleichen und von Best-Practice-Beispielen zu lernen. Erfahren Sie, wie Sie sich im Vergleich zu Ihren Mitbewerbern positionieren und entdecken Sie, welche Schritte Sie unternehmen können, um Ihre IT-Infrastruktur und Ihre Geschäftsprozesse DORA-konform zu gestalten.

Der zentrale Teil des DORA Readiness Assessment ist die Überprüfung und Bewertung Ihres IKT-Risikomanagements mit Fokus auf

• Dokumentierte Richtlinien zum Management von IKT-Risiken,
• Festlegung klarer Zuständigkeiten des Managements im Rahmen des IKT-Risikomanagements,
• Definition und Messung der Risikotoleranz in Bezug auf IKT-Risiken,
• Verfahren für die regelmäßige Bewertung und Klassifizierung von IKT-Risiken,
• Verfahren für die Zuweisung und Steuerung von IKT-Risiken.

DORA stellt spezifische Anforderungen an das Management von Risiken, die sich aus Geschäftsbeziehungen zu IKT-Drittdienstleister ergeben, und enthält Bestimmungen für ein strengeres Lieferkettenmanagement.

Dazu zählt auch die Schaffung eines Registers für kritische IKT-Drittdienstleister.

Konkret evaluieren wir folgende Prozesse und Mechanismen:

• Mechanismen zur Durchführung einer Inventur Ihrer kritischen IT-Systeme und IKT-Dienstleister
• Prozess zur Überprüfung und Auswahl von IKT-Drittdienstleister vor einer Vertragsschließung
• Prozess zum Fortschreiben und Managen der IKT-Drittparteienrisiken nach Vertragsschließung mit einem IKT-Drittdienstleister
• Mechanismen zur Ausübung der Prüf- und Kontrollrechte gegenüber IKT-Dienstleistern gemäß DORA
• Kontrollmechanismen, um die Einhaltung von SLAs und Compliance-Anforderungen durch IKT-Drittdienstleister sicherzustellen

DORA etabliert ein europäisches Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen sowie einheitliche Regelungen für die Überwachung von IKT-Drittdienstleistern.

Daher überprüfen unsere Berater

• die Kenntnisse über die relevanten europäischen Überwachungsanforderungen und deren Auswirkungen auf Ihre IKT-Drittdienstleister,
• die Integration von europäischen Überwachungsstandards in die Verträge mit Ihren kritischen IKT-Drittdienstleistern,
• die Prozesse zur Erkennung und Meldung von IKT-Vorfällen und wesentlichen Cyberbedrohungen,
• die Protokolle für das Meldewesen von Meldung von IKT-Vorfällen und wesentlichen Cyberbedrohungen,
• die Verantwortlichkeiten von organisatorischen Funktionen für die Meldung von IKT-Vorfällen und wesentlichen Cyberbedrohungen.

DORA schreibt ein umfangreiches Testing, einschließlich Threat-Led Penetration Testing (TLPT) sowie Cyberkrisen- und Notfallübungen für alle relevanten Entitäten vor, was über die bisherigen regulatorischen Anforderungen der BaFiN hinausgeht.

Daher bewerten unsere Experten

• das Verbesserungspotenzial Ihrer Zeitpläne für regelmäßige Resilienztests, einschließlich TLPT,
• die Verwendung der Ergebnisse von Resilienztests zur Verbesserung der IKT-Systeme,
• die Notfallpläne für den Ausfall kritischer IKT-Drittdienstleister,
• die Verfahren zur Durchführung und Auswertung regelmäßiger Cyberkrisen- und Notfallübungen,
• die Verfahren zur Überprüfung und Aktualisierung von Notfallplänen auf Basis der Testergebnisse.

DORA fördert den Austausch von Informationen über Cyberbedrohungen und -schwachstellen zwischen Finanzinstituten, um sektorübergreifendes Lernen und eine stärkere Resilienz zu ermöglichen.

Daher evaluieren wir Ihre

• Kanäle und Prozesse für den Austausch von sicherheitsrelevanten Informationen innerhalb der Finanzbranche,
• Partnerschaften und Netzwerke, die den Austausch von Best-Practices und Informationen bezüglich IKT-Risikomanagement nach DORA fördern
• Schulungen und Sensibilisierungen des Personals in Bezug auf den Austausch von sicherheitsrelevanten Informationen,
• Mitarbeiterschulungen zu DORA-Themen, um ein unternehmensweites Bewusstsein für die Anforderungen zu schaffen,
• Strategie, um im Falle eines IT-Sicherheitsvorfalls die Öffentlichkeit angemessen zu informieren und das Vertrauen der Kunden aufrechtzuerhalten.

• Einrichtung eines dedizierten Regulatory-Affairs-Teams, das Entwicklungen und Veröffentlichungen der Aufsichtsbehörden kontinuierlich verfolgt.
• Implementierung von Regulatory-Intelligence-Tools, die automatisierte Updates zu neuen Entwicklungen bieten.
• Analyse der Auswirkungen regulatorischer Änderungen auf das Unternehmen, um potenzielle Compliance-Lücken zu erkennen.
• Durchführung einer detaillierten Überprüfung der bestehenden Richtlinien und Prozesse im Vergleich zu den neuen Anforderungen.
• Identifizieren von „Gaps“ oder Abweichungen und Erstellung eines priorisierten Aktionsplans zur Adressierung dieser Lücken.
• Sicherstellung der Anpassung an neue Anforderungen durch Überarbeitung von Prozessen und Kontrollen.

• Bewertung der Rahmenbedingungen und des Umfangs der Risiken, die sich durch die neuen oder geänderten Vorgaben ergeben.
• Einbindung von Risikoexperten zur Ermittlung von Risikotypen, die vorher möglicherweise nicht berücksichtigt wurden.
• Entwicklung von Risikominderungsstrategien und -aktionen, einschließlich Notfallplänen und Reaktionsverfahren.
• Überarbeitung und Anpassung von Richtlinien im Hinblick auf Resilienztests, Meldewesen und Management von IKT-Risiken.
• Definition neuer Standards und Verfahrensweisen, die die Operationalisierung der regulatorischen Anforderungen ermöglichen.
• Verbreitung der aktualisierten Richtlinien und Prozesse im gesamten Unternehmen durch interne Kommunikationskanäle.

• Stärkung der internen Audit- und Compliance-Abteilungen, um Überprüfung und Überwachung der neuen Anforderungen sicherzustellen.
• Einführung von Kontrollmechanismen für die fortlaufende Überprüfung der Einhaltung.
• Entwicklung von Reporting-Strukturen, um die Compliance-Leistung an das Management zu kommunizieren.
• Entwickeln und Umsetzen von Schulungsprogrammen für alle Mitarbeiter, um sie über die neuen Anforderungen und geänderten Verfahren aufzuklären.
• Einsatz von Change-Management-Praktiken, um Widerstände zu reduzieren und eine schnelle Anpassung zu fördern.
• Sicherstellen, dass Mitarbeiter die Bedeutung von Compliance und die sich daraus ergebenden Verantwortlichkeiten verstehen.

• Identifizierung der technologischen Notwendigkeiten zur Einhaltung der neuen Anforderungen, beispielsweise Verbesserung von Sicherheitssystemen oder Toolsets.
• Planung und Durchführung erforderlicher IT-Änderungen, um die Konformität mit den technischen Standards zu erzielen.
• Testen und Validieren der implementierten Änderungen, um deren Wirksamkeit und Compliance zu gewährleisten.
• Implementierung eines kontinuierlichen Überwachungsprogramms, das sicherstellt, dass die Compliance-Standards dauerhaft eingehalten werden.
• Einrichtung eines Feedback-Systems, das ermöglicht, Verbesserungsvorschläge und Anpassungen zeitnah umzusetzen.
• Implementierung von Qualitäts- und Effizienzmetriken, um die Effektivität der Compliance-Bemühungen messbar zu machen.

• Förderung des Austauschs mit Branchenverbänden, um Einblicke in Best Practices zu erhalten.
• Etablierung von Partnerschaften mit anderen Unternehmen und Regulierungsbehörden für einen effektiven Informationsaustausch.
• Teilnahme an Initiativen und Gremien, die zur Entwicklung gemeinsamer Industriestandards beitragen.
• Regelmäßige Abstimmung mit den zuständigen Behörden, um Interpretationsspielräume und Anwendungsfragen von Standards zu klären.
• Klare Kommunikationsstrategien entwickeln, um unkompliziertes Feedback von Aufsichtsbehörden zu erhalten und schnell auf Änderungen reagieren zu können.
• Dokumentation und Protokollierung des Austauschs mit Aufsichtsbehörden, um die Transparenz und Rückverfolgbarkeit von Diskussionen und Entscheidungen zu gewährleisten.

Wir beraten Sie bei

• der Etablierung eines zentralisierten Rahmens zur kontinuierlichen Identifikation von IKT-Risiken unter Berücksichtigung aller Aspekte des Unternehmens,
• der Definition und Zuweisung von Verantwortlichkeiten im Bereich IKT-Risikomanagement, um sicherzustellen, dass die Verantwortlichkeit auf allen Unternehmensebenen etabliert ist,
• der Entwicklung von Richtlinien und Verfahren zur konsequenten Bewertung und Steuerung von IKT-Risiken,
• der Einrichtung von Prozessen zur regelmäßigen Überwachung und Reporting von IKT-Risiken an die Unternehmensführung und Aufsichtsgremien,
• der Integration des IKT-Risikomanagements in die strategische Planung und in das Risikomanagement des Gesamtunternehmens.

Unsere Berater unterstützen Sie bei

• der systematischen Bewertung der eigenen IKT-Systeme und -Prozesse, um potenzielle Schwachstellen und Bedrohungen zu identifizieren,
• der Einbeziehung von externen Risikofaktoren, wie Marktveränderungen, technologische Entwicklungen und die Stabilität von IKT-Drittdienstleistern,
• der Einleitung von Maßnahmen zur Risikominderung, die auf der Risikobewertung basieren, und regelmäßige Aktualisierung dieser Maßnahmen entsprechend der sich ändernden Risikolandschaft.

Unsere Experten helfen Ihnen bei Konzeption und Etablierung von Prozessen zur

• Implementierung von Sicherheitsmaßnahmen wie Firewalls und Verschlüsselung, die auf die jeweiligen Risiken zugeschnitten sind,
• Durchführung von Sourcecode Reviews und Systemhärtung, um eine robuste IT-Infrastruktur zu gewährleisten,
• Einrichtung von Zugangskontrollen und Berechtigungsmanagementsystemen, um sicherzustellen, dass nur berechtigte Nutzer Zugriff auf sensible Informationen haben,
• Regelmäßiges Update und Patch-Management von Software und Systemen, um bekannte Sicherheitslücken zu schließen.

Mit der Expertise unserer Berater gelingen Ihnen

• die Ausarbeitung und Implementierung von Incident-Response-Plänen zur schnellen Reaktion auf Vorfälle,
• die Aufstellung von Business-Continuity-Plänen, um den Betrieb kritischer Funktionen und Dienstleistungen nach einem Vorfall aufrechtzuerhalten oder schnell wiederherzustellen,
• die regelmäßige Durchführung von Cyberkrisen- und Notfallübungen, um die Effektivität der Pläne zu testen und zu verbessern,
• die Entwicklung von Prozessen und Systemen zur Erkennung und Klassifikation von sicherheitsrelevanten Vorfällen und Cyberbedrohungen,
• der Aufbau eines schnellen und effektiven Reportings von relevanten Vorfällen an die zuständigen Aufsichtsbehörden und, wo erforderlich, an andere relevante Stakeholder.

Unsere Experten konzipieren und etablieren Prozesse zur

• Durchführung regelmäßiger Tests zur Überprüfung der IKT-Resilienz, einschließlich TLPT, um die Wirksamkeit der bestehenden Sicherheitsmaßnahmen zu bewerten,
• Organisation von internen und externen Audits zur unabhängigen Überprüfung und Dokumentation der Compliance mit Sicherheitsstandards und Vorschriften.

Unsere Experten beraten Sie bei der

• Etablierung eines klaren Prozesses für die Auswahl und Überwachung von IKT-Drittdienstleistern, der eine gründliche Risikoanalyse vor Vertragsabschluss beinhaltet,
• Durchführung von regelmäßigen Kontrollen und Bewertungen der Drittanbieter, um die Einhaltung vereinbarter Service Levels und Sicherheitsstandards zu gewährleisten,
• Sicherstellung von gruppeninterner Transparenz und Kontrolle bei der Bereitstellung von IKT-Dienstleistungen durch Assessment- und Überwachungsrichtlinien.

Gemeinsam mit den verantwortlichen Managern führen unsere Berater Maßnahmen durch zur

• Schaffung einer Kultur der Cybersicherheit, die alle Mitarbeiter einbezieht und ihnen die Wichtigkeit von sicherheitsbewusstem Verhalten vermittelt,
• Etablierung von Fortbildungsprogrammen und Sensibilisierungskampagnen für alle Beteiligten, um das Bewusstsein und die Kenntnisse in Bezug auf Cybersicherheitsbedrohungen zu stärken,
• Förderung einer aktiven Beteiligung am Austausch über Cybersicherheitsbedrohungen und Best Practices, um von kollektiven Einsichten und Erfahrungen zu profitieren,
• Ermutigung zur Teilnahme an branchenweiten Sicherheitsinitiativen und -plattformen, um die gemeinsame Verteidigung gegenüber Cyberbedrohungen zu verbessern.

Im ersten Schritt des DORA-Implementierungsprogramm schaffen wir den passenden regulatorischen Rahmen, in dem die nachfolgenden relevanten Risikodimensionen berücksichtigt werden.

• Operational Risk Management
• IKT-Risikomanagement
• Informationssicherheitsmanagement
• Datenschutzmanagement
• IT Service Continuity Management
• Vendor Risk Management

Damit stellen wir sicher, dass die DORA-Anforderungen in einem kohärenten und umfassenden Ansatz integriert werden.

Die Konzeption des Level 1 DORA-Frameworks ist entscheidend, um sicherzustellen, dass die DORA-Anforderungen in der gesamten Organisation einheitlich umgesetzt werden und dass ein solides Fundament für die weiteren Implementierungsschritte gelegt wird.

• Erstellung des Gesamtkonzepts zum DORA-Framework
• Anpassung relevanter Leitlinien und Richtlinien
• Erstellung/Anpassung der Richtlinie zu IKT-Drittdienstleister-Risikomanagement
• Erweiterung des Informationsverbunds um IKT-Dienstleistungen, IKT-Dienstleister und IKT-Dienstleisterverträge
• Erweiterung des Schutzzielsystems für das IKT-Risikomanagement

Durch den zuständigen Wirtschaftsprüfer erfolgt im Anschluss die Prüfung des Level 1 DORA-Frameworks auf Design Effectiveness.

Die Implementierung des Level 1 DORA-Frameworks setzt die grundlegenden Elemente effektiv um und trägt dazu bei, die IKT-Risiken zu minimieren und die Einhaltung der DORA-Verordnung zu gewährleisten.

• Verabschiedung und Veröffentlichung relevanter Leitlinien und Richtlinien
• Verabschiedung und Veröffentlichung erstellter/angepasster Richtlinie zu IKT-Drittdienstleister-Risikomanagement
• Implementierung des erweiterten Informationsverbunds um IKT-Dienstleistungen, IKT-Dienstleister und IKT-Dienstleisterverträge
• Implementierung erweiterten Schutzzielsystems für das IKT-Risikomanagement

Mit dem Design des Level 2 DORA-Frameworks stellen wir sicher, dass die spezifischen Anforderungen der DORA-Verordnung umfassend und effektiv umgesetzt werden können.

• Verfahren: Die detaillierten Verfahren für das IKT-Drittdienstleister-Risikomanagement werden entworfen, die die praktische Umsetzung der Richtlinie ermöglichen.
• Standards: Es werden technische Regulierungsstandards und Implementierungsstandards entwickelt, die als Maßstab für die Umsetzung des IKT-Drittdienstleister-Risikomanagements dienen. Darüber hinaus werden Standard-Verträge für die Zusammenarbeit mit IKT-Drittdienstleistern ausgearbeitet.
• Kontrollen: Die vorhandenen IKT-Kontrollen werden analysiert, und es wird ermittelt, wie sie auf die Verträge mit IKT-Drittdienstleistern anwendbar sind. Es wird konzipiert, wie sie in den Verträgen berücksichtigt werden können.
• Tools: Es wird ein Konzept entwickelt, wie die erforderlichen Tools und Systeme für den Dokumentation des Informationsverbunds, die Dokumentation von IKT-Risiken und das Register der IKT-Drittdienstleister angepasst und integriert werden können.

Das erstellte Level 2 DORA-Framework wird durch den Wirtschaftsprüfer einer unabhängigen Prüfung auf seine Design Effectiveness unterzogen, um sicherzustellen, dass es den Anforderungen entspricht und effektiv in der Praxis umgesetzt werden kann.

Mit der Implementierung des Level 2 DORA-Frameworks werden die spezifischen Anforderungen der DORA-Verordnung in der Organisation umgesetzt. Die folgenden Schritte ermöglichen die praktische Umsetzung und Einhaltung der DORA-Anforderungen und tragen zur Verstärkung des Schutzes von Informationen und IKT-Systemen bei.

• Verabschiedung und Veröffentlichung der relevanten Verfahren für das IKT-Drittdienstleister-Risikomanagement
• Entwicklung, Verabschiedung und Veröffentlichung der technischen Regulierungsstandards und Implementierungsstandards, sowie der Standard-Verträge für IKT-Drittdienstleister
• Überprüfung Analyse der IKT-Kontrollen und Konzeption deren Relevanz für die Verträge mit IKT-Drittdienstleister
• Überprüfung und Anpassung der Verträge mit IKT-Drittdienstleistern
• Anpassung und Integration der Tools für den Informationsverbund, die Dokumentation von IKT-Risiken und das Register der IKT-Drittdienstleister

Zum Abschluss folgen die Überprüfungen, ob das DORA-Frameworks ordnungsgemäß funktioniert und die erforderlichen Maßnahmen zur Risikominimierung und Einhaltung der DORA-Verordnung effektiv umgesetzt sind. Diese Überprüfungen tragen dazu bei, etwaige Schwachstellen oder Mängel frühzeitig zu identifizieren und zu beheben, um die Integrität und Wirksamkeit des Frameworks sicherzustellen.

• Test der umgesetzten Bestandteile des DORA-Frameworks
• Generalprobe des DORA-Frameworks
• Prüfung des DORA-Frameworks durch die interne Revision
• Prüfung des DORA-Frameworks auf Operational Effectiveness durch den zuständigen Wirtschaftsprüfer

Als Teil des DORA Implementierungsprojekt konzipieren und etablieren unsere Berater die DORA Governance Funktion, um in Ihrer Organisation die Verantwortlichkeit für das DORA-Framework zu verankern. Die DORA Governance Funktion übernimmt

• die Beobachtung, Überwachung und Gap-Analyse für das DORA-Framework,
• die Überprüfung der Bewertungen IKT-Drittdienstleisterrisiken in Stichproben,
• die Kontinuierliche Verbesserung aller Elemente des DORA-Frameworks,
• die Durchführung von Trainings und Awareness-Schulungen,
• den Austausch und die Kooperation innerhalb der Branche und den Dialog mit Aufsichtsbehörden.