Die EU-Verordnung DORA (Digital Operational Resilience Act) trat vor kurzem in Kraft und wird sich bald auf Tausende von Finanzdienstleistungsunternehmen in der gesamten Europäischen Union (EU) auswirken. In diesem Blog beschreiben meine Kollegin Clara Lemaire und ich die Anforderungen von DORA und zeigen, wie Splunk Finanzdienstleistungsunternehmen auf ihrem Weg zu Resilienz unterstützen kann. Sehen wir uns DORA genauer an!
Was ist operationale Resilienz?
Es gibt viele Definitionen für operationale Resilienz, doch diese verwende ich am häufigsten:
„Die Fähigkeit eines Unternehmens, sich schnell an Störungen anzupassen und gleichzeitig den laufenden Geschäftsbetrieb aufrechtzuerhalten und Menschen, Assets und den allgemeinen Markenwert zu schützen.“
Mir gefällt diese Definition, da sie anklingen lässt, dass es viele verschiedene Störungen gibt, die die Fähigkeit von (Finanzdienstleistungs-)Unternehmen gefährden, eine hohe operationale Resilienz aufrechtzuerhalten. Beispiele sind Technologieprobleme, Sicherheitsbedrohungen und politische/wirtschaftliche Instabilität, es gibt aber noch viele andere. Wichtiger ist aber vielleicht, dass die Definition den direkten Zusammenhang zwischen Resilienz und positiven Geschäftsergebnissen anspricht. Resilienz fördert den Markenwert, was sich wiederum auf die Business Performance auswirkt.
Die Pandemie veränderte das Gesicht der Finanzdienstleistungen für Privatkunden für immer, da sie viele Verbraucher dazu zwang, zu digitalen Kanälen zu wechseln. Es zeigte sich schnell, dass dies eine enorme Herausforderung für viele Finanzdienstleister darstellte, da sie Schwierigkeiten hatten, wichtige Geschäftsleistungen zu erbringen. Es war jedoch nicht das erste Mal, dass die Branche mit operationale Resilienz zu kämpfen hatte: Dies zeigt eine kürzlich von der britischen Aufsichtsbehörde „Financial Conduct Authority“ gegen eine Bank verhängte hohe Geldstrafe wegen Fehlern beim operationalen Risikomanagement und der Governance, d. h. der operationalen Resilienz“ im Jahr 2018.
Die kollektiven Anstrengungen der Branche hinsichtlich operationaler Resilienz haben dazu geführt, dass in vielen Rechtssystemen neue Vorschriften eingeführt wurden. Vor allem die britischen Regulierungsbehörden führten Leitlinien für die operative Resilienz ein, deren Einhaltung alle Finanzdienstleistungsunternehmen ab 2025 nachweisen müssen. Rund um den Globus folgen viele weitere Regulierungsbehörden diesem Beispiel.
Was ist der EU Digital Operational Resilience Act (DORA) und wann wurde er eingeführt?
Die Europäische Kommission veröffentlichte im September 2020 ihren Vorschlag für ein Gesetz für digitale operationale Resilienz (Digital Operational Resilience Act, DORA). Zu diesem Zeitpunkt stellte die EU fest, dass es kein konsistentes Framework für den Umgang mit Risiken gab, die sich aus der Abhängigkeit von Finanzdienstleistungsunternehmen von Informations- und Kommunikationstechnologie (IKT) ergaben. „IKT-Risiken stellen weiterhin eine Herausforderung in puncto operationaler Resilienz, Performance und Stabilität des EU-Finanzsystems dar“, lautete die Beurteilung der Kommission.
Nach zweijährigen Verhandlungen wurde der Gesetzestext schließlich Ende 2022 endgültig beschlossen und am 16. Januar 2023 verabschiedet. Das Gesetz wird am 17. Januar 2025 in Kraft treten. Bis dahin werden die europäischen Aufsichtsbehörden mehr als zwei Dutzend technische Regulierungsstandards (RTS) entwickeln, um die Maßnahmen der Verordnung zu spezifizieren und Finanzdienstleistungsunternehmen bei ihrer Einhaltung zu unterstützen.
DORA ist eine EU-Verordnung und wird als solche direkt in die nationale Gesetzgebung übernommen, ohne von den 27 EU-Mitgliedstaaten angepasst zu werden. Es gibt nur wenige Textabschnitte darin, die im Ermessen der Mitgliedstaaten liegen.
Welche Anforderungen stellt der EU Digital Operational Resilience Act (DORA) an Finanzdienstleistungsunternehmen?
DORA legt vier zentrale Anforderungen fest, die Finanzdienstleistungsunternehmen erfüllen müssen:
Anforderung 1: Governance und IKT-Risikomanagement
Finanzdienstleistungsunternehmen müssen resiliente IKT-Systeme und -Tools einrichten und pflegen, die die Auswirkungen von IKT-Risiken minimieren. Einige dieser Risikomanagement-Maßnahmen werden vom Funktionsumfang von Splunk exakt abgedeckt (siehe Abbildung), wie etwa das Monitoring und die Identifizierung von IKT-Risikoquellen und die Erkennung anomaler Aktivitäten.
Abb. 1 (rechts): Sechs Schritte beim Management von IKT-Risiken
Anforderung 2: Incident Management, Klassifizierung und Reporting für IKT-Systeme
Die Verordnung enthält als allgemeine Anforderung an Finanzdienstleistungsunternehmen die Auflage, einen Managementprozess für das Monitoring und Logging von Vorfällen im Zusammenhang mit IKT-Systemen zu erarbeiten und zu implementieren. Außerdem müssen sie Vorfälle klassifizieren und ihre Auswirkungen anhand einer Kriterienliste bestimmen.
Nur „schwerwiegende Vorfälle“ müssen den zuständigen nationalen Behörden gemeldet werden. Es gibt drei erforderliche Meldungen: 1. eine erste Meldung; 2. ein Zwischenbericht, „sobald sich der Status des ursprünglichen Vorfalls wesentlich geändert hat“; und 3. ein Abschlussbericht, „wenn die Kernursachenanalyse abgeschlossen ist“. Die Fristen für die einzelnen Schritte sowie das Format der Berichte werden durch technische Regulierungsstandards festgelegt.
Anforderung 3: Testen der digitalen operationalen Resilienz
Finanzdienstleistungsunternehmen müssen außerdem ein solides, umfassendes Testprogramm für die digitale operative Resilienz einrichten und pflegen. Die Tests sollen zeigen, inwieweit die Unternehmen in der Lage sind, IKT-bezogene Vorfälle zu handeln, Schwachstellen, Mängel und Lücken in ihrer operativen Resilienz zu erkennen und direkt Abhilfemaßnahmen umzusetzen.
Anforderung 4: Risikomanagement im Zusammenhang mit IKT-Drittanbietern
Das Management des IKT-Drittanbieterrisikos wird als eigenständige Komponente des IKT-Risikos betrachtet. Neben Maßnahmen, die für alle Drittanbieter gelten, enthält DORA auch einen speziellen Maßnahmenkatalog für die Kontrolle kritischer externer Serviceanbieter.
Welche Unternehmen gelten als kritische Anbieter? Anbieter, deren Ausfall „systemische Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Bereitstellung von Finanzdienstleistungen“ haben könnte, bzw. Anbieter, die nicht ohne weiteres durch andere Anbieter ersetzt werden können. Die Aufsichtsbehörden werden sämtliche kritischen Anbieter zu einem späteren Zeitpunkt benennen.
Wie kann Splunk Finanzdienstleistungsunternehmen zu mehr Resilienz verhelfen?
In einem früheren Blog-Post habe ich aufgezeigt, wie wichtig Datennutzung ist, um einen holistischen Überblick über die mit einem potenziell destabilisierenden Ereignis verbundenen Risiken zu erhalten, wenn man die operationale Resilienz verbessern möchte.
Splunk ist gut aufgestellt, um Finanzdienstleistungsunternehmen dabei zu unterstützen. Außerdem unterstützen unsere Produkte die Hauptanforderungen von DORA – insbesondere die Anforderung 1: Governance und IKT-Risikomanagement und Anforderung 2: Incident Management, Klassifizierung und Reporting für IKT-Systeme. Abbildung 2 (unten) gibt einen groben Überblick über die Fähigkeiten von Splunk zur Einhaltung von DORA. Ein entscheidender Vorteil ist, dass Splunks einheitliche Plattform die Bereiche Security und Observability vereint.
Abb. 2: Wie kann Splunk die operationale Resilienz verbessern?
Aus rein regulatorischer Sicht ist die Datennutzung zur Verbesserung der MTTR (Mean Time to Respond) bei Störungen unerlässlich, um nachweisen zu können, dass alle Vorfälle effektiv gehandelt wurden. Neben dem Compliance-Nachweis für die Einhaltung gesetzlicher Vorschriften können dieselben Daten häufig auch Erkenntnisse liefern, die für die kontinuierliche Weiterentwicklung und Verbesserung von Produkt- und Serviceangeboten notwendig sind.
Ausblick: Wie ist man zukünftig gut für DORA und digitale operationale Resilienz aufgestellt?
Die operativen Rahmenbedingungen scheinen noch unsicherer zu sein. In Reaktion auf die ungewissen Aussichten hat das Europäische Parlament ein Papier über geopolitische Risiken und die Schwachstellen des Bankensektors veröffentlicht, dessen Schwerpunkt auf der Zunahme von Cyberangriffen und den Auswirkungen der Energiekrise liegt. Dies sind nur zwei der vielen potenziell destabilisierenden Ereignisse, die in letzter Zeit die Notwendigkeit für verbesserte Resilienz und Risikomanagement erhöht haben.
Zur Stärkung ihrer Resilienz durchlaufen die meisten Unternehmen eine bestimmte Entwicklung: Diese beginnt damit, für grundlegende Transparenz zu sorgen, und baut diese dann im Laufe der Zeit aus, um schließlich optimierte Erlebnisse zu erzielen. Die nachfolgende Abbildung 3 fasst Splunks Sicht auf den Weg hin zu ausgereifter Resilienz zusammen.
Abb. 3: Splunks Framework für die Entwicklung ausgereifter operationaler Resilienz
Das oberste Ziel von Finanzdienstleistungsunternehmen besteht in der Regel darin, ein außergewöhnliches Kundenerlebnis zu bieten. Auf dem Weg dorthin müssen sie natürlich auch die Anforderungen gemäß DORA erfüllen. Die beiden Ziele – Compliance mit den Vorschriften und Optimierung des Kundenerlebnisses – sind daher untrennbar miteinander verknüpft, weshalb die Fähigkeit, ausgereifte Resilienz zu erreichen, heute eine Vorstufe für den langfristigen Geschäftserfolg darstellt.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
