Pia Streicher, Managing Consultant & Topic Lead, IT-Security, ADWEKO Consulting GmbH

Bei der DORA-Umsetzung ist der Endspurt zwar noch nicht gestartet, jedoch ist die Jahresmarke bereits geknackt – bis zum 17.01.2025 vergehen keine zwölf Monate mehr. In vielen Finanzunternehmen läuft die Implementierung dementsprechend bereits auf Hochtouren, zugleich stehen aber oft noch ungeklärte Fragen im Raum.

In Projekten empfiehlt sich unserer Meinung nach ein unkomplizierter, aber ganzheitlicher Ansatz für eine erfolgreiche Umsetzung.

Der ganzheitliche Ansatz

Bei der Umsetzung des Rechtsakts empfehlen wir den Einstieg mit einer Gap-Analyse eigener Vorgaben und der schriftlich fixierten Ordnung (im Folgenden: sfO) gegenüber den regulatorischen Anforderungen im IT-Bereich. Hier machen feste Abstimmungsrunden mit den einzelnen Fachexpertinnen und Fachexperten Sinn, um ein umfassendes Bild zu gewinnen.

Die erfolgte Analyse kann dann in einem oder mehreren Workshops nachgehalten werden, um Fragestellungen zu klären, detaillierte Analysen anzustoßen und erste Handlungsmöglichkeiten zu erörtern. Sinnvollerweise werden dabei risikobasierte Prioritäten für die Umsetzung ermittelt und mögliche Quick Wins identifiziert. 

Durch die Gesamtbetrachtung aller Anforderungen im IT-Bereich können auch andere bestehende Lücken erkannt und sinnvoll mit neuer Regulatorik im Blick geschlossen werden. Gerade im Finanzbereich bauen die regulatorischen Anforderungen oft aufeinander auf, sodass sich eine vereinzelte Betrachtung negativ auf die Gesamtstruktur, die Fähigkeit Risiken zu managen und damit die Effizienz auswirken kann.

Inhaltliche Schwerpunkte

Während im DORA-Kontext vor allem das Management von IKT-Risiken und IKT-Dienstleisterrisiken, der Umgang mit IKT-Vorfällen und der Test der digitalen operationalen Resilienz im Vordergrund stehen, umfassen andere Anforderungen deutlich mehr.

Betrachtet man bspw. die MaRisk und die BAIT oder die MaGo und die VAIT, etc. zeichnet sich ein breiteres Bild, das die DORA-Anforderungen miteinschließt:

• IT-Strategie, inkl. digitaler operationaler Resilienz
• IT-Governance, inkl. der geforderten Funktionen
• Informationssicherheits- und Informationsrisikomanagement, inkl. Tests der IT
• Operative Informationssicherheit
• Identitäts- und Berechtigungsmanagement
• IT-Projekt- und -Portfoliomanagement
• Individuelle Datenverarbeitung und Softwareentwicklung, inkl. deren Test
• IT-Betrieb, inkl. des Tests von Änderungen
• Outsourcing und I(K)T-Dienstleistermanagement, inkl. Dienstleisterrisiken
• IT und Business Notfallmanagement, inkl. I(K)T-Vorfällen und Tests der Widerstandsfähigkeit

Entlang dieser Themengebiete kann die Gap-Analyse durchgeführt und eine Planung zur Schließung erkannter Lücken aufgesetzt werden.

PRAXISTIPPS

• Verlieren Sie das große Ganze nicht aus dem Blick. Die Umsetzung der DORA bietet Gelegenheit, die gesamte IT-Compliance zu betrachten und Lücken gesamthaft zu schließen.
• Suchen Sie sich kompetente Unterstützung. Ob interne oder externe Expertinnen/Experten, wichtig ist ein übergreifendes Verständnis der IT-Regulatorik, um eine risikobewusste, effiziente und sinnvolle Umsetzung sicherzustellen.
• Weniger ist mehr. Im Markt zeigt sich zum Teil ein Vorgehensmodell, dass große Arbeitsgruppen mit verschiedensten Perspektiven und maximalem Overhead gegründet werden. Wir empfehlen Expertenrunden mit maximal drei Teilnehmern, die nach kurzer Vorbereitung direkt die sfO anpacken und die Gap-Analyse direkt als Veränderungsvorschlag einfügen.
• Die Gap-Analyse muss nicht teuer sein. Wenn Sie sich für externe Unterstützung entscheiden, kann eine solche Gap-Analyse inkl. der Ergänzung der sfO für unter 40.000 € in weniger als acht Wochen erfolgen. Danach können Sie direkt in die operative Umsetzung starten.
• Seien Sie mutig. Stand heute kann nicht final bewertet werden, welche Interpretation und Umsetzung aufsichtlich „richtig“ ist. Dokumentieren und begründen Sie Ihre Entscheidungen und lassen Sie sich nicht übermäßig von Unsicherheiten bremsen.