Das Webinar widmete sich den Anforderungen an Cybersicherheit, IKT-Risiken und digitale operationale Resilienz welche sich aus der Verordnung 2022/2554 (https://eur-lex.europa.eu/eli/reg/2022/2554/oj) DORA - Digital Operational Resilience Act - ergeben.
Gemeinsam mit unseren Experten Dr. Hans Markus Wulf (Rechtsanwalt bei Heuking) und Hagen Lindner (Cybersecurity Consultant & Trainer bei Port Zero) geben wir einen rechtlichen Überblick mit Fokus auf die notwendigen Umsetzungsmaßnahmen und betrachten im Anschluss, was betroffenen Unternehmen und Institutionen jetzt konkret unternehmen müssen.
+++Agenda+++
- Willkommen und Einführung in das Thema, Daniel Meisen, kreuzwerker
- Rechtlicher Überblick zur neuen EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) mit Fokus auf notwendige Umsetzungsmaßnahmen für Unternehmen, Dr. Hans Markus Wulf, Heuking
- DORA - jetzt wird die IT endlich sicher! Welche technischen Maßnahmen sind erforderlich und warum gelten diese als “Best Practises” seit Jahrzehnten?, Hagen Lindner, Port Zero
Möchte man Verordnungen wie DORA zynisch betrachten, dann finden sich darin lediglich verbindliche Regelungen von Security Best Practises, welche seit Jahren von Cybersecurity Experten gepredigt werden. Und von Entscheidungsträgern in Unternehmen ignoriert oder zumindest übersehen werden:
”Security ist Chefsache”, “Notfallpläne gehören zur Grundausstattung”, “Kein Backup, kein Mitleid” wird dank DORA jetzt quasi zur Verpflichtung.
Der häufig zitierte “Mehraufwand” ist dabei auch die “dornige Chance” IT-Sicherheit endlich den Stellenwert einzuräumen, den sie verdient, wenn einem das eigene Business und die Kundendaten etwas bedeuten. Zumindest im Finanzsektor.
Und was müssen Sie jetzt tun?
Q&A
6. Dr. Hans Markus Wulf
Rechtanwalt | Partner
Fachanwalt für IT-Recht
Datenschutzauditor (TÜV)
DIGITAL OPERATIONAL
RESILIENCE ACT
EIN ÜBERBLICK ZUR RECHTSLAGE
7. 20 out of 400: HEUKING Technology law experts
400+
Anwälte
Steuerberater
Notare
8
Standorte
98
Partnerkanzleien
weltweit
Auszeichnungen
Die Sozietät
SOZIETÄT
10. ANWENDUNGSBEREICH
Finanzunternehmen
IKT-Dienstleister
(IKT – Informations und Kommunikationstechnologie)
Ausnahmen für Kleinst- und Kleinunternehmen, die nicht
mit größeren Unternehmen verflochten sind (Art. 2 III, 16)
IT-Dienstleister der
Finanzunternehmen
Bindend ab 17.01.2025
Cloud-Dienste, Software, SaaS, Rechenzentren,
elektronische Kommunikationsdienste, Anbieter, die
Zahlungen abwickeln oder Zahlungsinfrastrukturen
betreiben, und andere Anbieter von Datendiensten
Art. 2 Abs. 1 lit. a-u DORA:
z.B. Kredit- und Zahlungsinstitute,
Ratingagenturen, betriebliche
Altersversorgung, Versicherungsunternehmen
(regulierte Finanzunternehmen)
Leitungsorgane
(Art. 5 II)
Kritische IKT-Drittdienstleister
Einstufung durch die ESA anhand der Art der
Dienstleistung und des Empfängers (Art. 31)
“Das Leitungsorgan des
Finanzunternehmens definiert,
genehmigt, überwacht und
verantwortet die Umsetzung aller
Vorkehrungen im Zusammenhang mit
dem IKT-Risikomanagementrahmen.”
11. ZWEISTUFIGE GESETZGEBUNG
DORA-
Verordnung
DORA-Richtlinie
ITS
Format und Vorlagen für
Meldungen
Standardvorlagen für
das Informationsregister
für Finanzunternehmen
spezifische Vorgaben
Level-2-Rechtsakte
(in Arbeit, Art. 15)
FinmadiG
(Finanzmarktdigitalisierungsgesetz )
RTS
IKT-Risikomanagementrahmen
Kriterien zur Klassifizierung von IKT-Vorfällen
Meldung von IKT-Vorfällen und technische
Standards
TLPT-Tests
IKT-Drittanbieter Policy
Subunternehmer für kritische / wichtige
Funktionen
Aufsicht über kritische Drittdienstleister
Guidelines
Schätzung der Kosten
/Verluste bei größeren
IKT-Vorfällen
Zur Zusammenarbeit der
beaufsichtigenden
Behörden
Anpassung bestehender
Richtlinien an DORA
DE-Umsetzung (§ 25)
13. PFLICHTEN FÜR FINANZUNTERNEHMEN
Resilienztests &
TLPT
(Art. 24-27)
IKT-
Drittparteien
management
(Art. 28-30)
Interne Prozesse &
Richtlinien
Umgang mit IKT-
Vorfällen
(Art. 17-23)
IKT-
Risikomanagement
(Art. 5-16)
Verträge mit IKT-Dienstleistern
(vgl. RTS)
Risiko-Analyse (Art. 28 IV)
Informationsregister über
Verträge (vgl. RTS)
Berichtspflichten
Subdienstleister (vgl. RTS-E)
Risikomanagementrahmen
(siehe nachfolgende Folie)
bspw.:
Informationssicherheitsrichtlinie
Zugangs- & Zugriffsrechte
IKT-Änderungsmanagement
IKT-Geschäftsfortführungsleitlinie
...
Prozess zur Behandlung
Überwachung, Handhabung,
Weiterverfolgung
Klassifizierung (vgl. RTS)
Meldung an BaFin (vgl. RTS-E)
Risikobasierter Ansatz (vgl. RTS)
Jährliche Tests (außer kleine
Unternehmen)
Thread Lead Penetration Testing
für bedeutende Finanzunternehmen
(vgl. RTS-E)
14. RISIKOMANAGEMENTRAHMEN
Vereinfachter
Risikomanagement-
rahmen (Art. 16, RTS)
z.B. für kleine Wertpapierfirmen, ggf.
kleine Einrichtungen der betrieblichen
Altersversorgung, bestimmte
Zahlungs-und E-Geld-Institute (Art. 16)
verkürzter IKT-
Risikomanagementrahmen
IT-SIcherheits-Policy
Dokumentation kritischer /
wichtiger Funktionen
physische Sicherheit
Zugangskontrolle
Netzwerk-Sicherheit
....
Vorgaben zum
Risikomanagement
(Art. 6 ff, RTS)
Art. 24-27 DORA
(Tests)
Art. 28 DORA
(Drittparteienrisiko)
Richtlinien für:
IKT-Betriebssicherheit,
Netzsicherheit
Verschlüsselung und
Kryptografie (Art. 6 RTS),
IKT-Projekt- &
Änderungsmanagement
Erwerb, Entwicklung, Wartung
physische Sicherheit
Personalpolitik und
Zugangskontrolle
IKT-Störungsmanagement
IKT-Business-Continuity-
Management
-> Instrumente, Verfahren, Protokolle und Strategien zum Risikomanagement
Strategie zum
Drittparteienrisiko
Informationsregister
(RTS)
Regelung zur
Häufigkeit von Audits
Vorab-Bewertung von
Verträgen
Testverfahren
Leitlinien zu Priorisierung,
Klassifizierung und
Behebung von Problemen
Vereinfachte
Testverfahren für kleine
Unternehmen
ggf. Risikomanagement
für TLPT (RTS)
15. Definition, Genehmigung
und Überwachung des IKT-
Risikomanagementrahmens
VERANTWORTUNG DER LEITUNGSORGANE
Letztverantwortung des Leitungsorgans für das IKT-Risikomanagement,
insbesondere für Verträge über kritische / wichtige IKT-Funktionen (Art. 5)
Sicherstellung
ausreichender IKT-
Investitionen und -Budgets
Unternehmensinterne Meldekanäle
für IKT-Vorfälle und Informationen
zu IKT-Drittdienstleistern
Eigene Richtlinie zum
Management des IKT-
Drittparteienrisikos
Schulungen
Benennung eines Mitglieds der
Geschäftsleitung zur Überwachung der
mit IKT-Drittdienstleisterverträgen
verbundenen Risikoexposition und für die
Dokumentation
Sanktionsgefahr
(Art. 50 V)
17. wichtige & kritische Funktionen:
Ausfall kann die finanzielle
Leistungsfähigkeit oder die
Leistungen des Finanzunternehmens
die Verpflichtungen nach dem
Finanzdienstleistungsrecht erheblich
beeinträchtigen
Alle IKT-Dienstleister (Art. 30 II):
Bei bei Unterstützung wichtiger oder
kritischer Funktionen (Art. 30 III):
Unterauftragsvergabe nur, soweit vertraglich vereinbart Unverzügliches Eingreifen bei Nichterreichen präziser Leistungsziele
Sicherstellung von Verfügbarkeit, Authentizität, Integrität und
Vertraulichkeit der Daten -> IKT-Risikomanagement
Implementierung und Testen von Notfallplänen,
Einsatz von Tools und Richtlinien
Sicherstellung von Zugang, Wiederherstellung und Rückgabe der
Daten an das Finanzunternehmen (auch bei Insolvenz o.ä.)
Zusammenarbeit bei Vor-Ort-Inspektionen und Audits durch die
Behörden, das Finanzunternehmen oder beauftragte Dritte
kostenlose / vorabdefinierte Unterstützung bei IKT-Vorfällen Mitwirkung an TLPT
Zusammenarbeit mit Behörden Entwicklung einer Ausstiegsstrategie
Teilnahme an Schulungen des Finanzunternehmens Gewährleistung eines Übergangszeitraums bei Anbieter-Wechsel
PFLICHTEN
18. VERTRÄGE MIT IKT-DIENSTLEISTERN
Schrift
form!
(further obligations)
Pflichtinhalte nach Art. 30 DORA (ggf. bestimmen,
ob wichtige/kritische Funktionen betroffen sind)
Eindeutige Definition und Zuweisung
der vertraglichen Pflichten
Kündigungsmöglichkeiten bei:
Erheblichen Verstößen des Dienstleisters gegen
Gesetz, Vorschriften, Vertragsbedingungen
1.
Umständen, die geeignet sind, die erbrachten
Funktionen zu verändern
2.
Unzureichendem Risikomanagement
3.
Unmöglichkeit wirksamer Beaufsichtigung
4.
Im Einzelfall weitere Inhalte (ggü. MaRisk und EBA -
Guidelines ebenfalls Änderungen erforderlich)
19. Inspektionsrechte (inkl. Vor-Ort-
Inspektionen und “DawnRaids”)
Empfehlungen zu IKT-Anforderungen,
physischer Sicherheit, Risikomanagement
Zwangsgelder (tageweise verhängt: jeweils
bis 1% des weltweiten Tagesumsatzes)
Ansonsten: Zwangskündigung oder -
Aussetzung von Verträgen
Art. 31: Bei Einstufung durch die ESA (European
Supervisory Authorities) anhand folgender Kriterien:
Systemische Bedeutung für Finanzdienstleistungen
Abhängigkeit der Finanzunternehmen
Bedeutung für kritische Funktionen
Grad der Substituierbarkeit
Überwachung durch ESA:
Pflichten:
IKT-Management
Bereitstellung umfassender
Informationen und Unterlagen
Befolgung von Empfehlungen
KRITISCHE IKT-DIENSTLEISTER
Bei Sitz und Niederlassungen in Drittstaaten:
Gründung eines Tochterunternehmens in der EU
25. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
2
Port Zero
Port Zero GmbH ist spezialisiert auf individuelle Softwarelösungen und IT-
Sicherheit.
Port Zero entwickelt und betreibt Systeme für ihre Kunden mit einem Fokus auf
Sicherheit und Stabilität.
Wir beraten Kunden individuell bei der Einführung und Umsetzung von
Sicherheitskonzepten, testen deren Infrastruktur und Produkte auf
Sicherheitslücken und entwickeln hierfür teils eigene Security-Tools.
Kontakt
Paul-Lincke Ufer 7e
10999 Berlin
Tel.: +49 (0) 30 / 12 089 345 0
E-Mail: contact at port-zero.com
PGP Key: 0682 3089 FB67 BC06 4E0B B74C A365 7586 5EF5 2D92
26. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
3
DORA - Technische Maßnahmen
‣ Vereinfachung: DORA & “Benachbarte Richtlinien”
‣ Verpflichtung: Die 6 Säulen
‣ Veranschaulicht: Praxisbeispiel AWS solutions & tools
‣ Verdeutlicht: Der Maßnahmenkatalog
27. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
4
Vereinfachung
DORA &
“Benachbarte Richtlinien”
28. DORA & “Benachbarte Richtlinien”
5
ISO/IEC
27001
NIST CSF PSD2
EU-NIS-2
GDPR
Cybersecurity
Standards
Weitere
EU-Richtlinien
MaGo
MaRisk
VAIT
BAIT
Weitere Finanz-Richtlinien
EBA-Guidelines
KAMaRisk ZAIT
Digital Operational Resilience Act (DORA)
ISO 20022
29. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
6
NIS-2 (Network and Information Systems
Directive 2)
‣ Konzentriert auf Gewährleistung der
Cybersicherheit in KRITIS (Energie, Verkehr,
Gesundheitswesen und digitale Dienstleister)
‣ Breiterer Rahmen für Schutz von Netzwerken
und Informationssystemen in verschiedenen
Sektoren, nicht nur Finanzsektor
‣ Besonderer Wert: Meldung von
schwerwiegenden Sicherheitsvorfällen an
nationale Behörden
DORA & “Benachbarte Richtlinien”
DORA (Digital Operational Resilience Act)
‣ Fokussiert auf Stärkung der Cybersicherheit &
operativen Widerstandsfähigkeit im Finanzsektor
‣ Besonderer Wert auf Sicherheit und Kontinuität
von digitalen Diensten in Finanzinstitutionen
‣ Konzentriert auf Gewährleistung der
Widerstandsfähigkeit gegenüber
Cyberbedrohungen, um reibungslosen Betrieb
von Finanzdienstleistungen sicherzustellen
30. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
7
PSD2 (Richtlinie über Zahlungsdienste)
‣ Überschneidung mit Payment Services Directive
2 (PSD2) in von Finanzdienstleistungen
GDPR (Datenschutz-Grundverordnung)
‣ Datenschutz und Datensicherheit in DORA von
Bedeutung
‣ Überschneidungen mit den
Datenschutzanforderungen der GDPR gegeben
(Schutz personenbezogener Daten geht)
DORA - weitere Überschneidungen
Allgemeine Cybersicherheitsstandards
‣ Überschneidung zu Standards wie ISO/IEC
27001 oder NIST Cybersecurity Framework
(enthalten bewährte Verfahren zur Sicherung von
Informationssystemen und -diensten)
ISO 20022
‣ Überschneidungen mit ISO 20022 geben, der
internationalen Norm für den Austausch
elektronischer Daten im
Finanzdienstleistungssektor
31. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
8
MaGo (Mindestanforderungen für das
Geschäftsorganisationsmodell)
‣ ebenfalls Teil der MaRisk
‣ legen Mindestanforderungen an Organisation
von Kreditinstituten & Finanzdienstleistungs-
unternehmen fest
VAIT (Versicherungsaufsichtliche Anf. an die IT)
‣ spezifische Anforderungen an die IT im Bereich
der Versicherungen
‣ legen fest, wie Versicherungsunternehmen ihre
IT im Rahmen der Geschäftsorganisation & des
Risikomanagements gestalten sollen
DORA - noch mehr Überschneidungen
MaRisk (Mindestanforderungen an das
Risikomanagement)
‣ Reihe von Mindestanforderungen der
Bundesanstalt für Finanzdienstleistungsaufsicht
(BaFin)
‣ regeln Risikomanagement von Kreditinstituten
und Finanzdienstleistungsunternehmen
BAIT (Bankaufsichtliche Anforderungen an die IT)
‣ spezifische Anforderungen an die
Informationstechnologie im Kontext der MaRisk
‣ legen fest, wie Kreditinstitute und Finanz-
dienstleister ihre IT-Systeme & Prozesse im
Rahmen des Risikomanagem. gestalten sollen
32. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
9
EBA-Guidelines (European Banking Authority
Guidelines)
‣ Richtlinien der Europäischen
Bankenaufsichtsbehörde (EBA)
‣ enthalten Leitlinien und Empfehlungen für
einheitliche Anwendung von EU-
Rechtsvorschriften im Bankensektor
DORA - noch mehr Überschneidungen
KAMaRisk (Kapitaladäquanzverordnung)
‣ deutsche Umsetzung der europäischen
Kapitaladäquanzverordnung (CRR)
‣ regeln die Eigenkapitalanforderungen für
Kreditinstitute und Finanzdienstleister
ZAIT (Zusatzanforderungen an die IT)
‣ spezifische Anforderungen an
Informationstechnologie im Kontext der
KAMaRisk
‣ legen zusätzliche Anforderungen an IT-Systeme
von Kreditinstituten fest
33. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
10
Verpflichtung
DORA - die 6 Säulen
35. DORA - die 6 Säulen
12
Q: https://rfc-professionals.com/wp-content/uploads/2022/03/dora.jpg
36. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
13
Verdeutlicht
DORA -
Der Maßnahmenkatalog
37. ‣ Direkte Einbeziehung des Leitungsorgans in
IKT-Risiko Bewertungsprozesse und die
Bewertung und Kontrolle von Restrisiken
‣ Planen spezifischer
Sicherheitsinvestitionen
‣ Implementieren und Ausführung von
Sicherheitsmaßnahmen wie Security
Awareness Programmen
DORA Maßnahmenkatalog - Anforderungen
1. Governance & Strategie
‣ Das Unternehmensleitung ist verpflichtet, eine
aktive und entscheidende Rolle bei der
Verwaltung von Sicherheitsmaßnahmen Risiken
einzunehmen und setzt sich für die Achtung
einer starken Cybersecurity ein.
‣ Darüber hinaus:
‣ Klare Definition von Rollen und
Verantwortlichkeiten für alle IKT-
bezogenen Funktionen
‣ kontinuierliches Engagement
Risikosteuerung und -überwachung durch
definierte Prozesse
‣ angemessene Zuweisung von IKT-
Investitionen und Schulungen
14
38. ‣Gegenmaßnahmen und Wiederherstellung:
‣ Unternehmen sind verpflichtet, Reaktions-
und Wiederherstellungsmaßnahmen zu
ergreifen sowie entsprechende Notfall-
strategien und -pläne zur Fortführung des
Geschäftsbetriebs zu entwickeln.
‣ Firmen, die sonst bereits viele der IKT-
Risikomanagement-Anforderungen von
DORA erfüllen, sollten daher prüfen, ob
auch ihre Reaktions- & Wiederherstellungs-
strategien & -pläne den erweiterten Regeln
in diesen Bereichen entsprechen.
DORA Maßnahmenkatalog - Anforderungen
2. IKT-Risikomanagement
‣Starke Einbeziehung des Vorstands:
‣ Der Vorstand verantwortet beispielsweise
alle Vorkehrungen im Zusammenhang mit
dem IKT-Risikomanagementrahmen und
muss die Business-Continuity- sowie
Notfallwiederherstellungspläne prüfen.
‣Identifizierung:
‣ Unternehmen müssen Geschäftsfunktionen
und diese unterstützende Informationsres-
sourcen, die potenzielle Quellen eines IKT-
Risikos darstellen, identifizieren, klassifi-
zieren & dokumentieren. Insbesondere für
Systembereiche, die mit internen und
externen IKT-Systemen vernetzt sind.
15
39. DORA Maßnahmenkatalog - Anforderungen
2. IKT-Risikomanagement
‣Schutz und Prävention:
‣ Die Funktionsweise der IKT-Systeme muss
kontinuierlich überwacht und kontrolliert
werden, um einen angemessenen Schutz zu
gewährleisten. Dafür sind vorbeugend
geeignete Sicherheitsstrategien, -richtlinien,
-verfahren und -tools zu implementieren.
‣Erkennung anomaler Aktivitäten:
‣ Unternehmen müssen über Mechanismen
verfügen, um anomale Aktivitäten
umgehend zu erkennen und alle
potenziellen Schwachstellen zu ermitteln.
16
‣Kommunikation:
‣ Firmen müssen einen Krisenkommuni-
kationsplan erarbeiten, der „eine
verantwortungsbewusste Offenlegung IKT-
bezogener Vorfälle oder erheblicher
Anfälligkeiten“ gegenüber Kunden, anderen
Finanzunternehmen und der Öffentlichkeit
ermöglicht.
40. ‣Berichterstattung:
‣ Unternehmen sind verpflichtet,
schwerwiegende IKT-Vorfälle innerhalb
vorgeschriebener Fristen und unter
Verwendung harmonisierter
Berichtsvorlagen der zuständigen Behörde
zu melden.
DORA Maßnahmenkatalog - Anforderungen
3. Meldung von
IKT-bezogenen Vorfällen
‣Management:
‣ Finanzunternehmen müssen einen
spezifischen Incident-Management-
Prozess zur Identifizierung, Verfolgung,
Protokollierung, Kategorisierung und
Klassifizierung von IKT-Vorfällen einrichten
und anwenden.
‣Klassifizierung:
‣ Die Klassifizierung von IKT-Vorfällen muss
anhand einer Reihe von Kriterien erfolgen,
die vom gemeinsamen Ausschuss der
ESAs weiterentwickelt werden sollen.
17
41. DORA Maßnahmenkatalog - Anforderungen
4. Prüfung der digitalen
Betriebsstabilität
‣Allgemeine Anforderungen:
‣ Als integralen Bestandteil des IKT-
Risikomanagementrahmens fordert DORA
von Unternehmen die Einführung eines
soliden und umfassenden Programms zur
Prüfung der digitalen Betriebsstabilität,
das IKT-Instrumente, -Systeme und
-Prozesse abdeckt.
18
42. DORA Maßnahmenkatalog - Anforderungen
4. Prüfung der digitalen
Betriebsstabilität
‣Erweiterte Prüfung:
‣ Bestimmte Finanzinstitute müssen
mindestens alle drei Jahre erweiterte
Prüfungen ihrer IKT-Instrumente, -Systeme
und -Prozesse anhand
bedrohungsorientierter Penetrationstests
durchführen.
‣ Betroffene Firmen sollten genau verfolgen,
wie die ESAs die Durchführungskriterien
ausarbeiten.
19
43. DORA Maßnahmenkatalog - Anforderungen
5. Steuerung des Risikos
durch IKT-Drittanbieter
‣Allgemeine Grundsätze:
‣ Finanzunternehmen müssen das Risiko
durch IKT-Drittanbieter innerhalb ihres IKT-
Risikomanagementrahmens in Einklang mit
bestimmten Grundsätzen steuern.
‣ Diese umfassen: Verantwortung und
Haftung, Verhältnismäßigkeit, eine Strategie
für das Risiko durch IKT-Drittanbieter,
Dokumentation und Aufzeichnung, Analyse
vor Vertragsabschluss,
Informationssicherheit, Prüfungen und
Inspektionen, Kündigungsrechte sowie
Ausstiegsstrategien.
20
‣Wesentliche Vertragsbestimmungen:
‣ Die Rechte und Pflichten des
Finanzunternehmens und des IKT-
Drittanbieters müssen eindeutig zugewiesen
und in einer vertraglichen Vereinbarung
festgelegt werden, deren detaillierter
Umfang in den Rechtsvorschriften definiert
wird.
44. DORA Maßnahmenkatalog - Anforderungen
5. Steuerung des Risikos
durch IKT-Drittanbieter
‣Vorläufige Bewertung des IKT-
Konzentrationsrisikos und weiterer Sub-
Outsourcing-Vereinbarungen:
‣ Bewertung zielt darauf ab, festzustellen, ob
der Abschluss einer vertraglichen
Vereinbarung in Bezug auf IKT-Dienste zu
einem Vertrag mit marktbeherrschenden
IKT-Drittanbietern führen würde, die nicht
ohne Weiteres ersetzbar sind. Ebenso soll
sie zeigen, ob mehrere vertragliche
Vereinbarungen über die Erbringung von
IKT-Diensten mit demselben oder einem eng
verbundenen Dienstleister getroffen wurden.
21
45. DORA Maßnahmenkatalog - Anforderungen
6. Vereinbarungen zum
Informationsaustausch
‣Austausch zu Cyberbedrohungen:
‣ DORA ermöglicht Finanzunternehmen,
Informationen und Erkenntnisse über
Cyberbedrohungen untereinander
auszutauschen, um die digitale
Betriebsstabilität zu stärken.
‣ Das umfasst Indikatoren für
Beeinträchtigungen, Taktiken, Techniken,
Verfahren, Cybersicherheitswarnungen und
Konfigurationstools.
22
46. ‣Netzwerksicherheit stärken
‣ Detaillierung, welche Arten von
Netzwerkverkehr zu verschlüsseln sind,
bspw. auch lokale Netzwerke
‣ Lebenszyklus für Firewallregeln (Regeln,
die Netzwerkverkehr von kritischen oder
wichtigen Funktionen steuern, halbjährlich
rezertifizieren, alle anderen jährlich)
‣ gesamte Netzwerkarchitektur ist
mindestens einmal im Jahr einem
vollständigen Review zu unterziehen
‣ Möglichkeiten zur temporären Isolation
von Subnetzen, Netzwerkkomponenten
und Geräten schaffen
Praktische Auswirkungen
‣Informations- und IKT-Assets sind zentrale
Elemente der Risikobewertung in DORA
‣ Identifizierung & Klassifizierung
(Schutzbedarf) von Informations- & IKT-
Assets am Anfang der Risikobestimmung.
Das Mapping auf die Geschäftsprozesse
erfolgt nachgelagert
‣ Wechselwirkung der ICT-Assets
untereinander und Verbindung zu den
Geschäftsfunktionen berücksichtigten
‣ IKT-Assets nach Change neu bewerten
23
47. ‣Verschlüsselung & Kryptografie
‣ Daten sind entsprechend ihrer Kritikalität in
allen Zuständen zu verschlüsseln (at rest, in
transit & in use)
‣ Falls Verschlüsselung während der
Verarbeitung nicht möglich ist, müssen
Daten in separierten und besonders
Geschützen Umgebungen verarbeitet
werden oder anderer geeigneter
Maßnahmen getroffen werden
‣ Regeln für die Verschlüsselung von
internem und externem Netzwerkverkehr
‣ Lifecycle Management für kryptographische
Schlüssel
Praktische Auswirkungen
‣Meldevorschriften
‣ Bereitstellung von Berichten zur
Ursachenanalyse spätestens einen Monat
nach Auftreten eines größeren IKT-Vorfalls
‣ Ggf. Mehraufwand durch detaillierte
Aufzeichnung aller Tätigkeiten vor und
während einer IT-Störung
‣Software-Beschränkung
‣ Regelmäßiger Check Quellcode von Dritten
und proprietäre Software auf
Verwundbarkeiten und Anomalien
24
48. ‣Erkennung & Behandlung von
Schwachstellen
‣ Anforderungen an automatisierte
Schwachstellenscans & Behebung von
Schwachstellen sind gestiegen, IKT-Assets,
die kritische oder wichtige Funktionen
unterstützen, wöchentlich scannen
‣ Bei der Behebung von Schwachstellen sind
Patches prioritär gegenüber anderen
Maßnahmen zu installieren
‣ FU müssen die Priorisierung nach
Kritikalität der Schwachstelle und des
betroffenen Assets durchführen
‣ Fremdbezogene Softwarekomponenten
regelmäßig auf Schwachstellen überprüfen
(Lieferkettenrisiko)
Praktische Auswirkungen
‣BCM Testszenarien & Desaster Recovery
‣ Wiederherstellung gesicherter Daten mit
einer nicht mit der Hauptumgebung
zusammenhängenden Betriebsumgebung
‣ RTS fokussiert auf das Testen und die
Mindestinhalte der
Wiederherstellungspläne
‣ Tests auf Basis realistischer Szenarien,
inkl. Services von IKT-Drittdienstleistern
‣ für kritische & wichtige Funktionen ist
Switch- Over zu Backup-Rechenzentrum
testen
‣ Gestiegene Anzahl definierter
Mindesttestszenarien (im Vergleich zur
MaRisk von vier auf neun)
25
49. Praktische Auswirkungen & Anforderungen
‣digitale operationelle Belastbarkeitstests
‣ Vulnerability assessments and scans
‣ Open source analyses
‣ Network security assessments
‣ Gap analyses
‣ Physical security reviews
‣ Questionnaires & scanning solutions
‣ Source code reviews where feasible
‣ Scenario-based tests
‣ Compatibility testing
‣ Performance testing
‣ End-to-end testing
‣ Penetration testing
26
https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
‣Zusammenspiel Anomalie & Incident
‣ Anomalieerkennung implementieren
‣ Begrifflichkeiten “Events” oder “Problems"
werden in DORA nicht verwendet
‣ Schwellenwert, der einen durch eine
Anomalie ausgelösten Alarm zu einem
Incident werden lässt, bestimmen
‣ Trigger, welche Behandlung im Incident-
Management auslösen (data loss,
malicious activity, unavailiblity, …)
50. operationelle Cyber-Resilienz
‣Verzahnung zwischen
‣ IT-Betrieb
‣ Business Continuity Management
‣ Krisenmanagement
‣ Outsourcing
‣ Informationsrisiko- und
-sicherheitsmanagement
‣ Folgen einheitlicher Vorgaben für optimale
Resilienz im Ernstfall
‣ steigende Cyber-Bedrohungslage erfordert
bessere Vorbereitung auf Vorfälle, wirksames
Reagieren und schnelle Erholung
‣ Verantwortung auf Leitungsebene
27
IT-Betrieb
BCM
Krisenmgmt
Outsourcing
IRM/ISM
51. Cyber-Resilienz
Definition & Implementierung sind nicht neu:
‣ ISO 27001: Information Security
Management System (ISMS)
‣ NIST Cybersecurity Framework (CSF)
Identifikation —> Schutz —> Erkennung —>
Reaktion —> Wiederherstellung
‣ BSI-Grundschutz
‣ CERT Resilience Management Model
(CERT-RMM)
‣ Europäische Agentur für Netz- und
Informationssicherheit (ENISA) Leitfaden
‣ IT-Grundschutz des BSI
‣ Center for Internet Security (CIS) Controls
28
53. Port Zero GmbH
DORA - digitale
Betriebsstabilität im
Finanzsektor
29.02.2024
30
Veranschaulicht
DORA Praxisbeispiel
AWS solutions & tools
54. ‣Governance und Überwachung
‣ AWS Config - ermöglicht die kontinuierliche
Überwachung und Aufzeichnung von AWS-
Ressourcenkonfigurationen und deren
automatische Auswertung
‣ CloudWatch - ermöglicht Sammeln und
Verfolgen von Metriken, das Sammeln und
Überwachen von Protokolldateien, das
Festlegen von Alarmen und das
automatische Reagieren auf Änderungen an
AWS-Ressourcen. Ermöglicht systemweite
Einblicke in die Ressourcenauslastung, die
Anwendungsleistung und Betriebszustand
‣ Service Health Dashboard -
up-to-the-minute information on the health of
AWS services
Praxisbeispiel AWS solutions & tools
‣AWS Well-Architected Framework
‣ Reliability Pillar
‣ AWS Config
‣AWS CloudTrail
‣ a service that provides a record of actions
taken by a user, role, or an AWS service
‣AWS Audit Manager
‣ frameworks provide prebuilt control
mappings for common compliance standards
and regulations. (CIS Foundation
Benchmark, PCI DSS, GDPR, HIPAA,
SOC2, GxP, and AWS operational best
practices)
31
56. ‣AWS Security Hub (EDR)
‣ AWS Security Hub is a cloud security posture management (CSPM) service that performs
security best practice checks, aggregates alerts, and enables automated remediation.
Praxisbeispiel AWS solutions & tools
33
57. Praxisbeispiel AWS solutions & tools
‣GuardDuty
‣ Amazon GuardDuty is a threat detection service that continuously monitors your AWS accounts
and workloads for malicious activity and delivers detailed security findings for visibility and
remediation.
34
58. Mögliches Vorgehen
1. Gap-Analyse
Bewerten Sie den aktuellen Reifegrad Ihres Unternehmens in Bezug auf Governance,
Risikomanagement und Einhaltung der bestehenden Richtlinien und Standards.
2. Entwicklung einer Roadmap
Ermitteln Sie die Prioritäten und Aufwände, die erforderlich sind, um die DORA-Anforderungen zu
erfüllen und eine solide Strategie für die Betriebsstabilität digitaler Systeme zu schaffen.
3. Angleichung von Governance und Praxis
Stellen Sie sicher, dass die Führungs- und Betriebspraktiken des Instituts mit den in DORA
dargelegten Säulen der Resilienz übereinstimmen.
4. Überwachung der regulatorischen Aktualisierungen
Halten Sie sich über neue technische Regulierungsstandards (RTS) und technische
Durchführungsstandards (ITS) auf dem Laufenden, die von den Aufsichtsbehörden während des
Umsetzungszeitraums festgelegt werden könnten.
35
59. 36
DORA birgt einige Herausforderungen aber auch
reale Chancen für mehr IT-Sicherheit.
Wir lassen sie damit nicht allein.