Digital Operation Resilience Act der EU

Eine Debatte um Herausforderungen & Herangehensweisen der DORA
In unserem 2. Cyber Diskussionsforum am 31. Januar 2024 debattierten wir mit betroffenen Expertinnen und Experten gemeinsam die verschiedenen Aspekte der DORA, die Auswirkungen auf Unternehmen, die regulatorischen Anforderungen und die Herausforderungen bei der Umsetzung und tauschten so unterschiedliche Ansichtsweisen, Erfahrungen und Erkenntnisse in Bezug auf DORA aus. In drei virtuellen Roundtable-Sessions wurden dafür mit unseren BDO Cyber Ansprechpartnerinnen und Ansprechpartnern drei Thesen zugrunde gelegt. Im Folgenden sind die Ergebnisthesen dargestellt.


Thema 1

“DORA. Ein kleiner Fluch für die Finanzbranche mit großen Auswirkungen für IKT-Dienstleistungen.”

Zuerst widmeten sich die Teilnehmenden den Anpassungen der Vertragsbestimmungen in bestehenden IKT-Dienstleistungen, welche Finanzinstitute in ein Dilemma führen können. In der zweiten Runde befassten sich die Teilnehmenden mit der Frage, ob die Erstellung, Pflege und das Berichtswesen zum IKT-Risikoregister eine neue organisatorische Funktion erfordert. Abschließend wurde in Runde 3 diskutiert, ob es für Finanzinstitute handhabbar ist, Ausstiegsstrategien für kritische/wichtige Funktionen von IKT-DL umzusetzen.

Ergebnisthesen:
  1. DORA zwingt Finanzinstitute IKT-Dienstleistungen von größeren IKT-Dienstleistern zu beziehen, da die kleineren IKT-Dienstleister die umfassenden Anforderungen der DORA nicht umsetzen können.
  2. Die Aktualisierung aller Vertragsbestandteile stellt die Finanz­institute vor eine große Herausforderung. Diese kann nur in Zusammenarbeit zwischen Finanzinstitut und IKT-Dienstleis­ter erfolgen. Dafür können Interessensgruppen (z.B. Verbän­de) unterstützen, um eine zentrale Schnittstelle zu (großen) IKT-Dienstleistern darzustellen. Anderenfalls benötigen kleinere Finanzinstitute spezialisierte Rechtsanwälte die DORA-konforme Vertragsbestandteile erstellen können, da sie nicht das spezifische Know-How in der Organisation haben.
  3. Die Anwendung des Proportionalitätsprinzips Bedarf weiterer Konkretisierung für die Finanzinstitute. Für Cyber-Versicherer wird die Umsetzung dieser Anforderungen eine zunehmend relevante Komponente bei der Vergabe von Cyber-Versicherungen werden.


Thema 2

“Schon Best Practice, oder dringend nötig?! Threat Led Penetration Tests sind erstmals verpflichtend. Das ist eine Chance!” 

In der ersten Runde wurde die bereits gelebte Praxis des Penetrationstestings diskutiert. In Runde 2 erörterte man die Frage, welche neuen Anforderungen und auch Herausforderungen durch die Einführung der DORA, vor allem im Bereich Threat-Led Penetrationstesting (TLPT), gesehen werden. In Runde 3 wurde abschließend diskutiert, wie gut die einzelnen Unternehmen bereits auf diese Anforderungen reagieren können und in welcher Form externe Unterstützung benötigt wird.

Ergebnisthesen:
  1. TLPT belastet Regulierte und Regulierer gleichermaßen; die Lieferfähigkeit - intern wie extern - bleibt unklar. Eine Abhilfe: Etablierte Lieferbeziehung und die Ausweitung auf weitere Partnerschaften.
  2. Die Gefahr einer mit DORA einhergehenden Überregulierung schränkt jedoch die Selbstbestimmung der Unternehmen ein und überstimmt etablierte Testing Best-Practices der Unternehmen. Dies hat Potenzial, dass es sowohl prozessual wie finanziell ein Alptraum werden kann.


Thema 3

“Cyber Information Sharing zwischen IKT-DL und FI ist in Zukunft eine Herausforderung!“ 

Zunächst befasste man sich mit der Frage, welche Bedingungen im Unternehmen erforderlich sind, um eine notwendige und offene Kooperation auf gängigen Plattformen zu ermöglichen. Anschließend diskutierte man die Frage, welches Format bevorzugt für einen vertrauensvollen und fairen Austausch wird. Letztendlich wurde erörtert, wann der Austausch von sicherheitsrelevanten Information mit Konkurrenten einen Mehrwert schaffen würde.

Ergebnisthesen:
  1. Das Teilen eigener Erkenntnisse wird aufgrund gefürchteter Reputationsschäden kritisch gesehen. Gleichzeitig wird aber der Wert dieser Informationen aus externen Quellen für das eigene Unternehmen sehr hoch eingeschätzt.
  2. Es ist ein automatisiertes und anonymisiertes Meldesystem notwendig, welches von einer vertrauenswürdigen Instanz bereitgestellt wird.
  3. Zentrale Vorgaben für die Strukturierung wären empfehlenswert, da die Informationen sowohl fall- als auch branchenspezifisch sein können.