Worum es bei DORA (Digital Operational Resilience Act) geht und was die neue Verordnung für deutsche Unternehmen im Finanzsektor bedeutet, haben wir bereits in unserem ersten Beitrag zu diesem Thema erklärt. Nun steigen wir in die Praxis ein und geben Ihnen nützliche Checklisten an die Hand, um die notwendigen Vorbereitungen treffen zu können.
Generelle Vorbereitung auf DORA
Um den Anforderungen von DORA gerecht zu werden, müssen Finanzunternehmen umfassende Maßnahmen umsetzen. Das beginnt mit einer gründlichen Analyse der bestehenden IT-Systeme und -Prozesse und endet mit der Implementierung neuer Technologien und Verfahren. Drei wichtige Aufgaben sollten dabei ganz oben auf der Agenda stehen:
- Erstellung eines IKT-Risikomanagementplans
- Unternehmen müssen eine umfassende Risikobewertung ihrer IT-Systeme durchführen und präventive Maßnahmen implementieren. Dies umfasst auch die Identifizierung potenzieller Schwachstellen und die Entwicklung von Notfallplänen.
- Weiterbildungen und Workshops für Mitarbeiter in IT-Sicherheitsfragen sind ebenfalls unerlässlich, um sicherzustellen, dass alle Beteiligten die aktuellsten Best Practices kennen und anwenden.
- Etablierung eines Vorfallmanagementsystems
- Die Betroffenen müssen ein effektives System zur Überwachung, Protokollierung und Meldung von IT-Vorfällen implementieren. Dazu gehört vor allem auch die Definition klarer Meldewege und Verantwortlichkeiten, um sicherzustellen, dass schwerwiegende Vorfälle schnell und effektiv gemeldet werden können.
- Regelmäßige Schulungen für Mitarbeiter sorgen dafür, dass alle Teammitglieder wissen, wie sie im Ernstfall reagieren müssen.
- Durchführung regelmäßiger IT-Tests
- Um die Widerstandsfähigkeit der IT-Systeme zu gewährleisten, müssen Unternehmen regelmäßige Penetrationstests und andere sicherheitsrelevante Prüfungen umsetzen. Die Ergebnisse dieser Tests müssen dokumentiert und notwendige Maßnahmen zur Behebung von Schwachstellen ergriffen werden.
- Tools wie die nscale Process Automation Platform (PAP) (Verlinkung zu Lösungsseite) können dabei helfen, Prozesse zu automatisieren, die Effizienz der Workflows zu verbessern und Mitarbeiter zu entlasten.
Checklisten für unterschiedliche Bereiche
Neben den übergreifenden Aufgaben, müssen Finanzunternehmen auch ihre unterschiedlichen Bereiche auf DORA einstellen und hier gezielt Maßnahmen durchführen, um den Anforderungen der Verordnung gerecht zu werden. Konkret bedeutet dies:
Prozessmanagement
- Risikobewertung aller IT-Systeme durchführen
- Präventive Maßnahmen und Notfallpläne implementieren
- Regelmäßige Schulungen für Mitarbeiter einplanen und durchführen
- System zur Vorfallsüberwachung und -protokollierung einrichten
- Verantwortlichkeiten und Meldewege definieren
- Penetrationstests und weitere Sicherheitsprüfungen planen und durchführen
Dokumentenmanagement
- Überprüfung und Aktualisierung der Dokumentationsstandards
- Implementierung eines zentralen, digitalen Dokumentenmanagementsystems
- Sicherstellung der Revisionssicherheit aller Dokumente
- Automatisierung der Dokumentenerstellung und -verteilung mittels Tools wie nscale PAP
- Regelmäßige Überprüfung und Aktualisierung der Dokumentationsprozesse
Vertragswesen
- Überprüfung aller bestehenden Verträge mit IT-Drittanbietern
- Anpassung der Verträge an die neuen Anforderungen von DORA
- Implementierung eines zentralen Vertragsmanagementsystems
- Schulung der Mitarbeiter im Umgang mit neuen Vertragsanforderungen
- Regelmäßige Überprüfung und Aktualisierung der Vertragsstandards
Durch die Umsetzung der oben genannten Maßnahmen und die Nutzung moderner Technologien können Unternehmen im Finanzsektor ihre digitale Resilienz stärken und den neuen Anforderungen von DORA gerecht werden. Brauchen Sie Unterstützung bei der Umsetzung, damit bis Januar 2025 alles steht? Dann kommen Sie gern auf uns zu und wir sehen uns Ihre individuelle Situation gemeinsam an.
Ceyoniq Technology GmbH ist ein Konzernunternehmen von Kyocera Document Solutions.