So schnell, wie die digitale Vernetzung zunimmt, so schnell nehmen auch die digitalen Bedrohungen zu. Zwar gibt es zahlreiche private Anbieter, die sich mit dem Thema Cybersicherheit auseinandersetzen. Aber auch der Schweizer Regulator beschäftigt sich ausgiebig damit: BÜPF, DSG, DSÖ, NIS – all diese Gesetze sollen die Bekämpfung der Cyberkriminalität unterstützen. Mit einem Minimalstandard für Informations- und Kommunikationstechnologien (IKT) werden aber auch freiwillige Empfehlungen und Richtlinien herausgegeben, die für alle Organisationsformen anwendbar sind.
Mit ihren Bemühungen, die Cyberresilienz der Wirtschaft zu stärken, steht die Schweiz natürlich nicht allein da. Ende 2022 hat die Europäische Kommission mit dem Digital Operational Resilience Act (DORA) ein erstes Massnahmenpaket lanciert, das sich vorerst darauf konzentriert, die digitale Widerstandsfähigkeit von Finanzdienstleistungsunternehmen zu erhöhen. Ab Januar 2025 wird DORA verpflichtend für mehr als 22’000 in der EU tätige Unternehmen und IKT-Dienstleister gelten.
Weitere Branchen betroffen
Die neue Regulierung betrifft nicht nur in der EU ansässige Banken, Wertpapierfirmen, Versicherungsunternehmen, Anbieter von Krypto-Anlagen oder Cloud-Dienstleister. DORA legt EU-Finanzunternehmen zusätzliche Pflichten auf, wenn sie mit IKT-Anbietern in Ländern ausserhalb der EU, einschliesslich der Schweiz, zusammenarbeiten.
Schweizer IKT-Anbieter, die Dienstleistungen für EU-Finanzunternehmen erbringen, sollten sich mit den Anforderungen von DORA auseinandersetzen. Zu diesen Dienstleistungen gehören digitale und datentechnische Angebote wie Datenspeicherung und Cloud-Services, Datenverarbeitungs- und Berichterstattungsdienste sowie Datenüberwachung und datenbasierte Geschäftsunterstützungsdienste.
Auch Schweizer Unternehmen, die mit EU-Finanzunternehmen verbunden sind und konzerninterne IKT-Dienstleistungen für ihre EU-Tochtergesellschaften erbringen, fallen unter die Regulierung. Diese Unternehmen sollten sich wahrscheinlich auf DORA-konforme globale Mindeststandards konzentrieren.
Schweizer Finanzunternehmen, die Geschäfte mit Unternehmen in der EU tätigen, müssen ebenfalls die DORA-Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Reparatur von IKT-bezogenen Vorfällen befolgen.
DORA adressiert gezielt bestehende Schwachstellen im Bereich ICT, Sicherheit und Risikomanagement, die bei Finanzdienstleistern und IKT-Dienstleistern auftreten. Solche Schwachstellen können auch in Unternehmen aus anderen Sektoren auftreten. Daher ist es wahrscheinlich, dass in Zukunft ähnliche Regelungen für diese Branchen gelten werden. Unternehmen, die in sensiblen Bereichen wie der kritischen Infrastruktur arbeiten, sollten sich daher frühzeitig mit den Hauptaspekten von DORA vertraut machen.
Der Digital Operational Resilience Act (DORA) soll die Cyberresilienz von Finanzdienstleistungsunternehmen erhöhen: Ab 2025 gilt DORA für mehr als 22’000 Unternehmen und IKT-Dienstleister in der EU. (Quelle: Bearingpoint)
Die fünf Hauptpfeiler der Resilienz
Um den Anforderungen von DORA gerecht zu werden, müssen betroffene Schweizer Unternehmen ihre digitalen Betriebs-Resilienzmassnahmen überprüfen und gegebenenfalls gemäss der fünf Hauptpfeiler von DORA anpassen.
1. Verbesserung des IKT-RisikomanagementsDie europäische Regulierung wird die Geschäftsleitungen stärker in die Verantwortung nehmen. Sie sind dafür verantwortlich, dass Geschäftsfunktionen und unterstützende Informationsressourcen, die potenzielle Quellen von IKT-Risiken darstellen, identifiziert, klassifiziert und dokumentiert sind. Die Führungskräfte müssen ausserdem zum Schutz des IKT-Systems dessen kontinuierliche Überwachung und Kontrolle gewährleisten, damit anormale Aktivitäten rechtzeitig erkannt und Schwachstellen identifiziert werden können. Für den Fall, dass es zu Zwischenfällen kommt, sind spezielle Prozesse für deren Management, Klassifizierung sowie der Meldung bei den zuständigen Behörden zu implementieren.
2. Entwicklung präventiver SicherheitsstrategienUm die operative digitale Belastbarkeit zu kontrollieren, müssen Unternehmen für das Risikomanagement ein robustes Programm einführen. Dieses umfasst IKT-Werkzeuge, -Systeme und -Prozesse und überprüft mindestens alle drei Jahre die IKT-Infrastruktur mittels bedrohungsbasierten Penetrationstests. Dabei sollten Unternehmen beachten, welche Umsetzungskriterien die relevanten Europäischen Aufsichtsbehörden festlegen.
3. Proaktives StörungsmanagementEin zentrales Element von DORA ist das proaktive Handeln der Geschäftsleitung. Es ist unerlässlich, dass Risiken nicht nur erkannt, sondern auch angemessen bewertet und behandelt werden. Eine Unterschätzung oder Vernachlässigung dieser Risiken kann zu erheblichen Konsequenzen führen, darunter rechtliche Sanktionen, finanzielle Strafen und Reputationsverlust. Daher ist es für die Geschäftsleitung von entscheidender Bedeutung, eine aktive Rolle bei der Risikobewertung und -minderung zu übernehmen.
4. Risikomanagement für DrittanbieterDurch eine obligatorische Vorprüfung soll evaluiert werden, ob das Risiko besteht, dass IKT-Dienstleistungen bei einem Anbieter bezogen werden, der als marktbeherrschend angesehen wird und der nicht ohne weiteres austauschbar ist. Die Unternehmen müssen das IKT-Drittanbieterrisiko ausserdem innerhalb ihres Risikomanagements nach gewissen Grundsätzen handhaben. Damit keine Unklarheiten bestehen, müssen die Rechte und Pflichten beider Parteien vertraglich definiert und eindeutig zugewiesen werden.
5. Vereinbarung zum InformationsaustauschInformationen und Erkenntnisse zu Cyber-Bedrohungen sind freiwillig an die jeweiligen Behörden oder andere Unternehmen weiterzugeben. DORA sieht dabei vor, dass IKT-Anbieter in diesen Informationsaustausch miteinbezogen werden. Eine abschliessende Definition dieser Einbindung ist allerdings noch ausstehend.
DORA effizient implementieren
Die neue europäische Verordnung umfasst ein komplexes Regelwerk. Viele Unternehmen können den Aufwand für die Implementierung nicht allein bewältigen und ziehen daher externe Experten bei. Diese bringen das notwendige Know-how mit und verfügen meist über vorbereitete Tool Sets, die die Implementierung von DORA standardisieren und vereinfachen.
Die externe Unterstützung entlastet ausserdem die Mitarbeitenden. Letztere sollten umfassend und kontinuierlich über die neuen Anforderungen informiert sein. Zwar nimmt DORA insbesondere die Geschäftsleitung in die Verantwortung, die Mitarbeitenden sind im operativen Geschäft aber direkter mit der Umsetzung der geforderten Massnahmen konfrontiert.
Ein erster Schritt, um die DORA-Tauglichkeit des Unternehmens zu überprüfen, ist eine Gap-Analyse. Diese identifiziert und dokumentiert Schwachpunkte im IKT-System. Danach wird eine Roadmap zur Beseitigung dieser Schwachpunkte erstellt. Die offenen Punkte werden priorisiert und externe Abhängigkeiten identifiziert. Die Integration der Verbesserungen sollte vorab unbedingt mit den Regulatoren und dem Audit abgestimmt werden.
Danach geht es in die Details. Das IKT Risk Management Framework wird überprüft, Dokumentationen sowie Policies angepasst und mit der bestehenden Organisation abgestimmt. Ein wichtiges Element von DORA ist das Incident Management und Reporting. Hierfür gilt es, die vorgeschriebenen Incident-Erkennungs- und Reporting-Mechanismen zu implementieren. Dies ist ein kontinuierlicher Prozess. Einerseits können die Massnahmen nicht von heute auf morgen umgesetzt werden. Andererseits braucht es regelmässige Übungen und Simulationen, um das interne Know-how zu etablieren wie auch Schwachstellen zu identifizieren.
Das kontinuierliche Monitoring der DORA-Implementierung sollte zeitlich definiert sein und Verbesserungsmassnahmen dokumentiert werden. Die Dokumentation dient auch der Kommunikation mit den Stakeholdern und ist hilfreich, die vordefinierte Kommunikationsstrategie umzusetzen. Diese ist vor allem dann von Bedeutung, wenn es zu einem Krisenfall kommt.
Wettbewerbsfähigkeit erhalten
Wie Verstösse gegen DORA sanktioniert werden, ist derzeit noch nicht klar. Aktuell ist die Definition entsprechender Strafen den Mitgliedstaaten überlassen. Das in DORA genannte Zwangsgeld beträgt zum Beispiel für IKT-Drittdienstleister zurzeit bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes, der im vorangegangenen Geschäftsjahr erzielt wurde. Gebüsst werden können Drittanbieter mit Sitz in Europa oder anderswo. Wollen Schweizer Finanzunternehmen oder IKT-Anbieter von Finanzdienstleistungen, Finanztechnologieunternehmen und andere als kritisch eingestufte Anbieter wettbewerbsfähig bleiben, sollten sie sich unbedingt mit den DORA-Anforderungen auseinandersetzen.
Unternehmen, die externe Anbieter für die Etablierung der betrieblichen, digitalen Widerstandsfähigkeit auf Basis der DORA-Verordnung beiziehen, tun gut daran, diese frühzeitig in den Prozess einzubeziehen. Ein rechtzeitiges Onboarding ermöglicht es, wertvolle Zeit für die Identifizierung und Validierung kritischer Funktionen, die Priorisierung der wichtigsten Bedrohungsszenarien und die Festlegung des Tempos für die Implementierung zu gewinnen.
Zeit lassen sollten sich Unternehmen auch bei der Auswahl externer Partner. Dies, da DORA Wert auf ein umfangreiches Drittanbieter-Risikomanagement legt. Aber vor allem auch, da DORA die IKT-Dienstleister als Treiber für die Überwachung, Genehmigung, Überprüfung und Festlegung der vorgeschriebenen Prozesse benennt und ihre Beteiligung als der Schlüssel zum Erfolg der Implementierung von entsprechenden Massnahmen sieht.
Der Autor
Tomas Chroust ist Partner sowie Leiter des Bereichs Data & Analytics und KI bei
Bearingpoint Schweiz. Er ist spezialisiert auf die Entwicklung und Umsetzung von daten- und technologiegetriebenen Unternehmenstransformationen. Ein besonderer Fokus liegt auf Data Analytics, AI, Data Governance und (ESG-) Reporting.
