BANKINGCLUB: Das Ziel der DORA ist die Harmonisierung sowie Rationalisierung der bestehenden IKT-Risiken in allen von der EZB genannten Institutionen. Die Konsolidierung ist dafür ausgelegt, einen effektiven und einheitlichen Ansatz der digitalen Operationalisierung zu etablieren bei gleichzeitiger Steigerung der Resilienz. Welche Bedrohungslage ist hier aus Ihrer Sicht zu betrachten?
Durch die Digitalisierung und zunehmende Vernetzung von Finanzdienstleistern steigt natürlich auch das Risiko für Cyberangriffe. Darüber hinaus stellen Krisen wie die Corona-Pandemie oder der Ukraine Krieg Unternehmen vor neue Herausforderungen bzw. machen diese zur Zielscheibe für Hacker. Hierbei haben es die Angreifer auf hoch sensible Daten abgesehen, weshalb es umso wichtiger ist, dass sich Bankinstitute und andere Financial Service Anbieter bestmöglich gegen diese Risiken absichern. Hinzu kommt, dass viele Einrichtungen sich noch mit Altlasten wie veralteten Systemen und fehlenden Strukturen herumschlagen müssen und darüber hinaus auf personeller Ebene nicht über die notwendigen Kompetenzen verfügen, da zu wenig oder nur ungeschultes Personal vorhanden ist.
Die DORA ist das Lex specialis der NIS2 Verordnung. Inwiefern kann der deutsche Bankenmarkt sich auf Grundlage der bestehenden lokalen Gesetze von der Konkurrenz aus dem europäischen Ausland behaupten bzw. kooperieren und zu seinem Vorteil nutzen?
Die DORA bietet dem deutschen Bankenmarkt Vorteile gegenüber der europäischen Konkurrenz. Strenge lokale Gesetze und umfassende Compliance-Erfahrung stärken das Vertrauen und die operative Effizienz deutscher Banken. Durch die Harmonisierung der IKT-Sicherheitsstandards in der EU erleichtert DORA grenzüberschreitende Kooperationen, fördert den Wissenstransfer und ermöglicht die Nutzung von Best Practices. Synergien und Effizienzgewinne aus gemeinsamen Ressourcen und Sicherheitslösungen stärken darüber hinaus die Wettbewerbsfähigkeit. Insgesamt profitieren deutsche Banken also von einer stabilen und sicheren europäischen Finanzmarktlandschaft, die durch die aktive Umsetzung von DORA gefördert wird.
Die Implementierung der DORA-Verordnung betrifft zehntausende Unternehmen der Finanzbranche. Der Zeitplan für die Umsetzung der vorgeschriebenen Maßnahmen sieht mehrere Phasen vor, um eine schrittweise Anpassung zu gewährleisten. Welche spezifischen Schritte müssen das Management der Institutionen jetzt ergreifen, um die Anforderungen der DORA-Verordnung fristgerecht zu erfüllen und einer Prüfung standzuhalten?
Zunächst gilt es, ein umfassendes IKT-Risikomanagement-Framework zu entwickeln sowie regelmäßige Risiko- und Bedrohungsanalysen durchzuführen. Darüber hinaus ist die Implementierung von Schutzmaßnahmen für IKT-Systeme als auch Schulung und Sensibilisierung der Mitarbeiter essenziell. Zuletzt steht dann die Durchführung regelmäßiger Resilienztests und die Sicherstellung der Berichterstattung über Vorfälle auf der Agenda. Zudem müssen klare Verantwortlichkeiten und interne Kontrollmechanismen etabliert werden, um die Einhaltung der DORA-Vorgaben sicherzustellen.
Angesichts der sich stetig wandelnden regulatorischen Landschaft, wo identifizieren Sie derzeit den größten Bedarf an spezialisierten Fachkräften bei Finanzdienstleistern im Bereich der Regulatorik?
Ganz klar in den Feldern IT-Sicherheit und Risikomanagement. Besonders gefragt sind Experten mit technischem Hintergrund und fundierten Kenntnissen der gängigen Sicherheitsstandards sowie Risikostandards. Diese Fachkräfte sind entscheidend, um effektive Risikomanagementstrategien zu entwickeln, die den neuen regulatorischen Anforderungen entsprechen. Sie müssen in der Lage sein, komplexe regulatorische Anforderungen in praktikable Sicherheits- und Compliance-Maßnahmen zu übersetzen, um die digitale Resilienz der Unternehmen zu stärken. Darüber hinaus benötigen Finanzdienstleister Experten, die die Implementierung und Überwachung von IT-Sicherheitsmaßnahmen leiten können, um den Schutz vor Cyberangriffen zu gewährleisten und regulatorische Prüfungen erfolgreich zu bestehen. Insgesamt tragen solche Fachkräfte wesentlich zur Einhaltung der Vorschriften und zur Sicherstellung der Betriebsstabilität bei.
Wie können Personaldienstleister bei der Umsetzung von DORA und anderen regulatorischen Anforderungen unterstützen?
Der große Vorteil von Personaldienstleistern wie der top itservices AG ist, dass wir uns durch die enge Zusammenarbeit mit einer Vielzahl an Kunden in der Financial Services Branche sehr gut mir den neusten Trends und Entwicklungen auskennen. Das betrifft nicht nur Themen im direkten IT-Umfeld, sondern eben auch regulatorische Anforderungen wie DORA aktuell. Durch diese Expertise können wir unseren Kunden auf Augenhöhe begegnen, wenn es um konkrete Bedarfe für die Umsetzung von Projekten geht und gezielt nach den passenden Kandidaten suchen. Darüber hinaus verfügen wir über ein sehr großes Netzwerk an Experten und können so auch kurzfristig Consultants rekrutieren. Insbesondere bei zeitkritischen Projekten im Regulatorik-Umfeld ist das ein großer Vorteil und kann entscheidend für die erfolgreiche Umsetzung sein.
Interview mit Daniel Thee & Michael Erwin Petry
Michael Erwin Petry
Michael Erwin Petry ist ein erfahrener Offensive Security Experte, ISO 27001 Lead Auditor und Implementierer sowie DORA Lead Manager, der als Freelancer in seinem Unternehmen mpetry-IT tätig ist. Er bringt umfassende Fachkenntnisse in den Bereichen IT-Sicherheit und Compliance mit, um Unternehmen bei der Sicherstellung ihrer Informationssicherheit zu unterstützen.