28. März 2025 In Allgemein

Implementierung von Schlüssel-Rollen gemäß DORA

Mit der Einführung der Digital Operational Resilience Act (DORA) steht die gesamte Finanzbranche vor der Notwendigkeit, ihre digitalen Infrastrukturen widerstandsfähiger gegen Bedrohungen zu machen. DORA zielt darauf ab, Finanzdienstleister und ihre Dienstleister besser gegen Cyberangriffe, Systemausfälle und andere digitale Bedrohungen zu schützen. Ein zentraler Bestandteil dieser Verordnung ist die Etablierung organisatorischer Strukturen, die sich auf die Gewährleistung digitaler Resilienz konzentrieren. Die Verantwortung für die Sicherstellung der Maßnahmen und die angemessene Ressourcenausstattung obliegt dem Leitungsorgan.

 

 

Ein zentraler Bestandteil dieser Verordnung ist die Etablierung organisatorischer Strukturen,
die sich auf die Gewährleistung digitaler Resilienz konzentrieren.“

 

 

Damit steht jedes Leitungsorgan eines Finanzinstituts oder eines Marktteilnehmers in dieser Branche vor der Herausforderung, die gemäß der DORA notwendigen Strukturen und Prozesse in seinem Unternehmen zu etablieren. Wesentlich dafür sind die Identifizierung der erforderlichen Rollen und Fähigkeiten, um nicht nur den Anforderungen der DORA gerecht zu werden, sondern auch die digitale Resilienz faktisch zu stärken.

 

BEDEUTUNG DER IDENTIFIZIERUNG RELEVANTER NEUER ROLLEN

Die Identifizierung der relevanten neuen Rollen, die zur Umsetzung der DORA-Verordnung erforderlich sind, ist ein entscheidender Schritt zur Einführung der DORA für Unternehmen der Finanzbranche. Diese Rollen sind nicht nur als regulatorische Anforderungen zu verstehen, sondern sie sind auch zentral für die effektive Umsetzung der digitalen Resilienzstrategie. Die Herausforderung liegt zusätzlich darin, dass bereits bestehende Rollen, wie z.B. der Informationssicherheitsbeauftragte aus den regulatorischen Vorgaben, wie z.B. den BAIT bzw. VAIT angepasst oder integriert werden müssen. Die Schaffung und Besetzung dieser Rollen sind die Voraussetzung dafür, dass Finanzinstitute und deren IKT-Dienstleister den notwendigen Fokus haben, um den ständig wachsenden Herausforderungen in der Absicherung ihrer digitalen Assets und Prozesse zu begegnen.

WICHTIGE ASPEKTE DER IDENTIFIZIERUNG:

1. Regulatorische Compliance:

Die Identifizierung und Implementierung der notwendigen Funktionen und deren Ver- ankerung in neuen oder bestehenden Rollen, die für eine angemessene Umsetzung der DORA notwendig sind, ist unerlässlich, um den gesetzlichen Anforderungen nachhaltig und auch über Einführungsprojekte hinweg gerecht zu werden. Finanzinstitute müssen sicherstellen, dass sie über die notwendigen Ressourcen und Strukturen verfügen, um die gesetzlichen Verpflichtungen zu erfüllen.

 

2. Sicherstellung der operativen Resilienz:

Die erforderlichen Funktionen sind darauf ausgerichtet, Schwachstellen in den IT- und Sicherheitssystemen systematisch zu identifizieren, zu bewerten und gezielt zu beheben. Durch die klare Trennung von Funktionen innerhalb der 1st Line of Defense (z.B. operative IT-Sicherheit, verantwortlich für die Identifikation und Behebung von Schwachstellen) und der 2nd Line of Defense (unabhängiges Risikomanagement, das die Bewertung von Risiken, einschließlich residualer Risiken, vornimmt und zusätzliche Maßnahmen initiiert), wird die Widerstandsfähigkeit des Unternehmens gegenüber operativen Risiken und Cyber- Bedrohungen gestärkt. Diese Funktions- trennung schafft nicht nur eine klare Verantwortlichkeitsstruktur, sondern verbessert auch die Risikotransparenz und Effizienz in der Risikoüberwachung und -steuerung.

 

3.Spezialisierte Fachkompetenz:

Die Etablierung dieser Rollen bringt spezialisierte Fachkräfte ins Unternehmen, die sich gezielt mit den Herausforderungen digitaler Resilienz beschäftigen. Diese Experten sind zwar zunächst für die Einhaltung der Vorschriften zuständig, bringen jedoch insbesondere die erforderlichen Kenntnisse und Erfahrungen mit, um Schutzmaßnahmen kontinuierlich weiterzuentwickeln und an sich verändernde Bedrohungen anzupassen.

 

4. Organisatorische Klarheit und Verantwortung:

Mit klar abgegrenzten Funktionen werden Verantwortlichkeiten innerhalb des Unternehmens geschärft, was zu einer besseren Koordination und schnelleren Reaktionsfähigkeit im Falle von Vorfällen führt. Dies verringert die Risiken von Missver- ständnissen oder ineffektiver Krisen- bewältigung.

ROLLEN NACH DER DORA-VERORDNUNG:

Aus der DORA-Verordnung heraus können eine Reihe von spezialisierten Rollen abgeleitet werden, die gezielt auf verschiedene Aspekte der digitalen Resilienz und des Risikomanagements ausgerichtet sind.

 

Nachfolgend werden die wichtigsten dieser Rollen und ihre zentralen Aufgaben beschrieben. Dabei sind nicht alle Rollen neu; viele erfahren eine Präzisierung und Erweiterung um zusätzliche Aufgaben und Verantwortlichkeiten.

 

 

Chief Digital Resilience Officer (CDRO)

– Zwar obliegt die Verantwortung für die digitale Resilienz nach der DORA beim Leistungsorgan. Naturgemäß wird dieses aber von Führungskräften unterstützt. So gibt es aus gutem Grund Risiko- oder Strategieabteilungen, die diese Themen für die Unternehmensleitung vorbereiten, oft übergreifende Prozesse im Haus gestalten und durchführen sowie erforderliche Analysen vornehmen.

– Die DORA spannt einen weiten Bogen von der IKT-Betriebsstabilität, über die notwenigen physikalischen / baulichen Installationen für IKT-Systeme über IT- Sicherheit hin zum Dienstleister- management mit den Verträgen und zugehörigen Risikobewertungen. Dazu kommen die Aspekte des Informationsrisikomanagements, die in die Betrachtung der operationellen Risiken wiederum angemessen einfließen müssen. Dies zeigt, dass in der bestehenden Organisation zahlreiche Einheiten einzubinden und zu koordinieren sind. Es ist beispielsweise erforderlich, eine Digital Operational Resilience Strategie zu entwickeln und vom Leitungsorgan zu
verabschieden.

– Hieraus ergibt sich die Notwendigkeit, eine übergreifende Funktion zu etablieren, welche in eine bestehende Rolle oder in einer neuen Rolle (CDRO – den Chief Digital Resilience Officer) verankert wird. Er ist damit unterhalb des Leitungsorgans dafür verantwortlich, die strategischen Grundzüge der digitalen Resilienz innerhalb des Unternehmens zu koordinieren, abzu- stimmen und dem Leistungsorgan zur Verabschiedung vorzulegen. Ebenso ist er koordinativ für alle übergreifenden Themen verantwortlich. Diese Rolle ist entscheidend für die Entwicklung und Umsetzung der IKT- Governance und der Risikomanagement- strategien.

 

Beispiele für übergreifende Funktionen:

 

      • IKT-Betriebsstabilität: Sicherstellung eines stabilen IT-Betriebs durch Monitoring und Management kritischer
        Systeme.
      • IT-Sicherheit: Implementierung von Maßnahmen zur Gewährleistung der Informationssicherheit und Cyber- abwehr.
      • Dienstleistermanagement: Überwachung und Bewertung von externen Dienstleistern, einschließlich Vertrags- und Risikomanagement.
      • Informationsrisikomanagement: Integration von Informationsrisiken in das übergeordnete Risikomanagement, um operationelle Risiken ganzheitlich zu steuern.

 

Grundsätzlich gilt, dass die Einführung neuer Funktionen nicht zwangsläufig die Einrichtung einer neuen Position oder die Schaffung einer entsprechenden Abteilung im Unternehmen erfordert. Sie kann stattdessen sinnvoll einer bestehenden Rolle als zusätzliche Funktion zugeordnet werden. Aufgrund des Charakters der digitalen Resilienz besteht hier ein Schwerpunkt auf Themen des IT-Betriebs und der IT-Sicherheit. Es bietet sich daher an, die Rolle beim CIO oder – sofern eine ausreichende Organisation dahintersteht – beim CISO anzusiedeln. Aufgrund einer geeigneten Funktionstrennung, wie sie auch die DORA vorsieht, ist die Ansiedelung beim CISO zu bevorzugen.

 

Three-Lines-of-Defense-Modell: Rollen nach der DORA-Verordung

Chief Information Security Officer (CISO)

Der CISO ist verantwortlich für die Sicherstellung der Informationssicherheit im gesamten Unternehmen. Zu seinen Kernaufgaben gehören die Überwachung von Sicherheitsmaßnahmen, die Reaktion auf Sicherheitsvorfälle sowie die Implementierung und Durchsetzung von Sicherheitsrichtlinien. Diese Rolle ist bereits etabliert, wird jedoch durch die DORA-Verordnung weiter präzisiert. Insbesondere gewinnt der CISO eine strategischere Rolle in der Umsetzung und Überwachung der digitalen Resilienz- anforderungen, die DORA vorschreibt, und trägt so maßgeblich zur operativen Stabilität und Sicherheit des Unternehmens bei. Zusätzlich bilden weitere regulatorische Rahmenwerke wie die NIS2-Richtlinie (Network and Information Security Directive) und gegebenenfalls sektorspezifische Anforderungen, etwa aus der MaRisk, eine wichtige Basis für diese Rolle.

 

IKT-Kontrollfunktion

Diese Funktion ist für die Überwachung und Kontrolle der IKT-Risiken zuständig. Sie sorgt für die unabhängige Bewertung der IKT- Risikomanagementpraktiken und stellt sicher, dass diese effektiv sind. Es empfiehlt sich, diese Funktion im Bereich „Management operationeller Risiken“ bzw. „Informationsrisikomanagement“ anzudocken.

 

Information Security Manager

Der Information Security Manager ist operativ für die Umsetzung von Sicherheitsmaßnahmen verantwortlich, einschließlich der Überwachung und Reaktion auf Bedrohungen. Er findet sich in der Organisation des CIO oder CISO.

 

Protection and Resilience

Diese Funktion fokussiert sich auf die Sicherstellung der betrieblichen Resilienz und den Schutz kritischer Infrastrukturen, einschließlich der Notfallwiederherstellung und Business Continuity Management (BCM). Je nach Organisationsform der Unternehmen, wird man diese Funktion dort ansiedeln, wo das BCM für das Unternehmen verantwortet wird.

 

Digital Resilience Testing Coordinator

Der Koordinator plant und stellt die regelmäßige Durchführung der Tests der digitalen Resilienz sicher, wie etwa Penetrationstests und Sicherheitsüberprüfungen, um die Widerstandsfähigkeit gegen Bedrohungen sicherzustellen. Er ist auch für die Etablierung der
zusätzlichen Tests zur Digitalen operationellen Resilienz (DOR-Test) und deren Durchführung verantwortlich. Sofern ein Unternehmen bereits einen Testbereich unterhält, bietet es sich an, die Rolle hier zu verorten. Andernfalls sollte man sich an der bisherigen Organisationsform orientieren. Mindestens für BCM- und DOR-Tests sollte eine zentrale Verantwortung und Koordinationsstelle geschaffen werden, wenn diese nicht schon etabliert ist.

 

Incident Communication Specialist

Diese Rolle ist verantwortlich Kommunikation im Falle von IKT-Vorfällen. Der Spezialist koordiniert die interne und externe Kommunikation und stellt sicher, dass Krisenreaktionen effektiv sind. Hier ist die bisherige Organisation der Krisen- kommunikation im Unternehmen zu erweitern. Sofern diese noch nicht institutionalisiert ist, sollte die DORA dazu zum Anlass genommen werden.

 

Interne Revision

Die Interne Revision überwacht die Einhaltung der DORA-Anforderungen und bewertet die Effektivität der IKT-Risikomanagement- prozesse. Dies ist eine Erweiterung der heutigen Audit-Funktion.

 

Überwachungsfunktion TPM (Third-Party Management)

Diese Funktion überwacht das Management von Drittanbietern und stellt sicher, dass deren IKT-Risiken den Anforderungen entsprechen. Unter anderem sind Konzentrationsrisiken zu überwachen und die Existenz geeigneter Ausstiegsstrategien sicherzustellen. Diese Funktion kann im Dienstleister- oder auch im Risikomanagement angesiedelt werden.

 

IKT-Risikomanagementfunktion

Die IKT-Risikomanagementfunktion ist verantwortlich für das Identifizieren, Bewerten und Steuern von IKT-Risiken und spielt eine zentrale Rolle in der Sicherstellung der digitalen Resilienz des Unternehmens. Diese Funktion gehört zur 1st Line of Defense und erfordert ein tiefes Verständnis sowohl der IKT-Risiken als auch der geschäftlichen Prozesse, um effektive Maßnahmen zur Risikominderung zu entwickeln und zu implementieren. Die Positionierung sollte in den Bereichen des Managements von operationellen Risiken oder des Informationsrisikomanagements geprüft werden, da hier die Verantwortung für die proaktive Risikosteuerung liegt.

Im Gegensatz dazu nimmt die IKT- Kontrollfunktion (siehe oben) eine unabhängige Überwachungsrolle innerhalb der 2nd Line of Defense ein. Die IKT-Kontrollfunktion bietet dem Leitungsorgan somit eine unabhängige Sicht auf die Effektivität der Risikomanagement- prozesse.

IMPLEMENTIERUNGSSTRATEGIEN FÜR DIE NEUEN ROLLEN

Die Implementierung dieser teilweise neuen Rollen erfordert eine strukturierte Herangehensweise, die sowohl auf die Struktur als auch auf die Kultur des Unternehmens abgestimmt ist. Hier sind einige wichtige Schritte zur erfolgreichen Implementierung:

 

  1. Rollenanalyse und Anpassung: Unternehmen müssen eine gründliche Analyse ihrer bestehenden Strukturen durchführen, um zu entscheiden, wo neue Rollen geschaffen und bestehende Rollen angepasst werden müssen. Unsere Ausführungen in diesem Artikelgeben dazu erste Hinweise.
  2. Rekrutierung und Schulung: In Fällen, in denen das nötige Fachwissen intern nicht vorhanden ist, müssen bestehende Mitarbeiter intensiv geschult oder externe Experten rekrutiert werden, um die neuen Anforderungen zu erfüllen.
  3. Integration in die Organisation: Die neuen Rollen müssen nahtlos in die bestehende Unternehmensorganisation und Governance-Strukturen integriert werden. Es müssen klare Kommunikationslinien zwischen diesen Rollen und den Führungsebenen etabliert werden.
  4. Überwachung und Anpassung: Nachdem die neuen Rollen implementiert wurden, ist es entscheidend, deren Effektivität
    kontinuierlich zu überwachen und gegebenenfalls Anpassungen vorzu- nehmen, um sicherzustellen, dass die Anforderungen der DORA-Verordnung mit dieser Organisation erfüllt werden.

FAZIT

Die DORA-Verordnung stellt Finanzinstitute vor neue Herausforderungen, bietet aber auch die Chance, die digitale Resilienz auf ein höheres Niveau zu heben. Die Einführung und Identifizierung der relevanten neuen Rollen sind von zentraler Bedeutung, um sicherzustellen, dass Unternehmen in der Lage sind, die Anforderungen zu erfüllen und gleichzeitig ihre operativen Risiken zu minimieren. Durch eine gezielte Implementierung dieser Rollen können Unternehmen nicht nur die regulatorische Compliance gewährleisten, sondern auch ihre Widerstandsfähigkeit gegenüber zukünftigen digitalen Bedrohungen stärken.

 

IHRE ANSPRECHPARTNER

Dr. Volkmar Weckesser
Telefon: +49 (0) 89 660 395 273
Mobil: +49 171 478 3708
Mail: volkmar.weckesser@macros-group.com

Djamila Ben Abdallah
Telefon: +49 (0) 89 660 395 723
Mobil: +49 173 326 7421
Mail: djamila.benabdallah@macros-group.com

 

Tags: