DORA-Anforderungen: Wie Anforderungsmanagement-Software Finanzinstitute unterstützt

Wir arbeiten mit vielen Teams im Finanzdienstleistungssektor zusammen, und eines ist klar: Der Druck, bei technischen Problemen oder Cybervorfällen stabil zu bleiben, ist heute größer denn je.

Führungskräfte in Finanzinstituten berichten uns, dass sie sich nicht nur Sorgen um Systemausfälle machen. Sie machen sich auch Gedanken um die Nachweisfähigkeit. Sie wollen sicher sein, dass ihre Prozesse, Kontrollmechanismen und Aufzeichnungen bei Prüfungen Bestand haben.

Hier setzt DORA neue Maßstäbe. Es legt einheitliche Regeln fest, wie sich Finanzinstitute auf IKT-Vorfälle vorbereiten, darauf reagieren und sich davon erholen sollten.

In diesem Blogbeitrag wird erläutert, was DORA ist, welche Bedeutung es für jedes Finanzinstitut hat, welche Anforderungen es aus Sicht des Anforderungsmanagements stellt und wie Anforderungsmanagement-Software dabei helfen kann.

Überblick über das Gesetz zur digitalen Betriebsstabilität (DORA)

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, deren Schwerpunkt auf dem Schutz der von Finanzinstituten genutzten Netz- und Informationssysteme liegt.

Die DORA trat im Januar 2023 in Kraft und wurde ab 2025 vollständig umgesetzt. Daher müssen alle Unternehmen, die im europäischen Finanzsektor tätig sind – darunter Banken, Versicherungen, Zahlungsdienstleister, Fintech-Unternehmen sowie externe IKT-Dienstleister (Informations- und Kommunikationstechnologie) für Finanzinstitute – die Compliance-Anforderungen der DORA erfüllen. 

Darüber hinaus handelt es sich bei DORA nicht um eine unverbindliche Empfehlung, sondern um ein rechtsverbindliches Regelwerk, das festlegt, wie Finanzinstitute in der EU mit IKT-Risiken und der Meldung von Vorfällen umgehen, technische Tests durchführen und externe IKT-Dienstleister überwachen sollten, um die Stabilität und Widerstandsfähigkeit der Finanzsysteme zu erhöhen.  

DORA zwingt Finanzteams dazu, sich auf strukturierte Arbeitsabläufe, genaue Aufzeichnungen und Belege zu stützen, die bei Prüfungen Bestand haben. Daher können sich die Teams nicht einfach auf informelle Methoden und uneinheitliche Richtlinien verlassen.

Die fünf Säulen von DORA

DORA basiert auf fünf Kernsäulen, wobei jede Säule klare Pflichten für Finanzinstitute und ihre externen IKT-Partner festlegt. Diese Säulen ergänzen sich gegenseitig und bieten einen strukturierten Ansatz für das IKT-Management, der für Klarheit und mehr operative Kontrolle sorgt.

IKT-Risikomanagement

Das IKT-Risikomanagement ist ein zentraler Bestandteil der DORA-Konformität, die Finanzinstitute dazu verpflichtet, IKT-bezogene Risiken zu identifizieren, zu bewerten und gezielt zu mindern. Es fordert Finanzinstitute dazu auf, einen Rahmen zu schaffen, um IKT-Systeme kontinuierlich zu überwachen und Strategien zur Risikominderung zu entwickeln. Das Hauptziel besteht darin, die Stabilität des Systems zu gewährleisten, kleinere Probleme frühzeitig zu erkennen und Katastrophen oder Ausfälle zu verhindern.

Meldung von Vorfällen

Die „Vorfallsmeldung“ ist eine zweite Säule von DORA, deren Schwerpunkt auf der Standardisierung des Meldungsverfahrens für Vorfälle in europäischen Finanzinstituten liegt. Sie verpflichtet Finanzinstitute dazu, transparente Berichte zu erstellen, in denen die Ursache und die wiederholbaren Schritte aller IKT-bezogenen Vorfälle klar dargelegt werden. Dies ist entscheidend für die Schaffung von Vertrauen und die klare Erläuterung des Vorfalls gegenüber den Interessengruppen und Aufsichtsbehörden.

Prüfung der digitalen Betriebsstabilität

DORA empfiehlt Finanzinstituten, ihre Systeme durch regelmäßige Tests, bedrohungsorientierte Penetrationstests (TLPT), Stresstests usw. zu überprüfen. Diese Tests tragen dazu bei, sicherzustellen, dass ihre Wiederherstellungssysteme, Notfallpläne und technischen Kontrollmaßnahmen unter realen Bedingungen funktionieren.

Aufsicht über externe IKT-Anbieter

In Europa sind viele Finanzinstitute auf externe ICP-Dienstleister angewiesen, und diese vierte Säule der DORA legt den Schwerpunkt auf das Management der mit diesen externen Dienstleistern verbundenen Risiken. Die DORA verpflichtet Unternehmen dazu, diese Partner mit derselben Sorgfalt zu überwachen, die sie auch bei internen Systemen walten lassen. Dazu gehören Vertragsüberprüfungen, Leistungsüberprüfungen, Risikobewertungen und angemessene Ausstiegsstrategien. Im Mittelpunkt steht die Vermeidung von Versorgungslücken, die durch Probleme bei den Anbietern verursacht werden.

Informationsaustausch

Die fünfte Säule ermutigt Finanzunternehmen, Informationen über Cyberbedrohungen und -vorfälle innerhalb eines Netzwerks vertrauenswürdiger Organisationen auszutauschen. Dieser Austausch muss nach vereinbarten Regeln erfolgen und über sichere Kanäle abgewickelt werden. Ziel dieses Informationsaustauschs ist es, das Bewusstsein für Vorfälle zu schärfen und die kollektive Widerstandsfähigkeit zu stärken.

Was DORA in Bezug auf Dokumentation und Anforderungen erwartet

DORA legt großen Wert darauf, wie Finanzinstitute IKT-Anforderungen definieren, nachverfolgen, dokumentieren und verwalten. Aus Sicht des Anforderungsmanagements stellt DORA folgende Erwartungen an jedes Finanzinstitut:

• Strukturierte Anforderungen: DORA erwartet klar definierte und strukturierte Anforderungen. Für jede Anforderung sollten eindeutige Abnahmekriterien festgelegt sein.
• Verknüpfte Elemente: Jede Anforderung sollte mit übergeordneten Anforderungen, Aufgaben, Testfällen oder technischen Schritten verknüpft sein, die zu ihrer Umsetzung in der Produktion führen.
• Dokumentiertes Rahmenwerk für IKT-Risiken: Jedes Finanzinstitut muss sein Rahmenwerk für das IKT-Risikomanagement dokumentieren und Aufzeichnungen über Versionsaktualisierungen, die Genehmiger von Änderungen sowie alle weiteren relevanten Informationen führen.
• Nachverfolgbare Aufzeichnungen: Die Prüfer sollten in der Lage sein, einen direkten Weg vom Risiko über die Anforderung und die Kontrollmaßnahme bis hin zum Prüfergebnis nachzuvollziehen. Das bedeutet, dass die gesamte Kette zusammenhängen muss und nicht in separaten Dateien gespeichert werden darf.
• Einheitliche Vorlagen: Für Dokumente, Prüfberichte, Testfälle, Anforderungen usw. sind Unternehmen verpflichtet, vordefinierte Vorlagen zu verwenden, um die Einheitlichkeit im Anforderungsmanagement für Finanzinstitute zu gewährleisten.
• Live-Updates: Wenn sich Anforderungen ändern, müssen die entsprechenden Anforderungen und Dokumente aktualisiert werden, damit alles aufeinander abgestimmt bleibt.
• Lieferantenabgleich: Für jeden externen Anbieter müssen Anforderungen festgelegt werden, die sich auf dessen Aufgaben, Risiken und Leistungsumfang beziehen. Dies dient der Nachvollziehbarkeit.
• Nachweisweg: Finanzinstitute sind verpflichtet, für jeden Vorfall einen lückenlosen Nachweisweg vorzulegen. Sie sollten zudem dokumentieren, was sie geplant haben, wie sie dies umgesetzt und getestet haben und wie sie die Unterlagen für eine spätere Überprüfung vorbereitet haben.

Um die oben genannten DORA-Anforderungen zu erfüllen, benötigen Teams nicht nur eine gut strukturierte Strategie, sondern auch eine Plattform für das Anforderungsmanagement. Genau darauf gehen wir im nächsten Abschnitt ein.

Wie eine Anforderungsmanagement-Software wie Modern Requirements4DevOps bei der Einhaltung der DORA-Vorgaben hilft

Modern Requirements4DevOps ist ein Anforderungsmanagement-Tool, das speziell für stark regulierte Branchen wie Versicherungen, Finanzen, Banken, Behörden usw. entwickelt wurde und direkt in Azure DevOps integriert ist. So unterstützt es die Einhaltung der DORA-Anforderungen:

• Bietet eine zentrale Informationsquelle: Da Modern Requirements4DevOps direkt in Ihrem Azure-Arbeitsbereich läuft, stehen Ihnen alle Funktionen für das Anforderungsmanagement an einem Ort zur Verfügung, und Sie müssen nicht zwischen verschiedenen Tools wechseln.
• Rückverfolgbarkeit systemübergreifend und bei Risikokontrollen: DORA erwartet von Organisationen, dass sie jede Anforderung mit Testfällen, relevanten Aufgaben und allem anderen verknüpfen. MR4DevOps ermöglicht die Erstellung von horizontalen und Schnittmatrizen mit einem einzigen Klick und visualisiert die Beziehungen zwischen bestehenden Arbeitselementen.
• Umgang mit regulatorischen Änderungen im Laufe der Zeit: DORA erwartet, dass jede Änderung an den Anforderungen protokolliert wird. Die Versionskontrollfunktion von MR4DevOps hilft Teams dabei, den Verlauf von Anforderungen zu überprüfen oder Aktualisierungen zu dokumentieren. Darüber hinaus ermöglichen Baselines den Teams den Vergleich zwischen alten und neuen Versionen. Außerdem hilft die Funktion zur Folgenabschätzung dabei, nachzuverfolgen, wie sich eine Änderung an einem bestimmten Arbeitselement auf andere bestehende Arbeitselemente auswirken kann.
• KI für das Anforderungsmanagement: Copilot4DevOps arbeitet mit Modern Requirements4DevOps zusammen, einem KI-Assistenten für das Anforderungsmanagement. Er unterstützt bei der Erstellung von Anforderungen und Testfällen, sodass keine Anforderungen übersehen werden. Außerdem ermöglicht er eine KI-basierte Analyse der Anforderungen und hilft Teams dabei, sicherzustellen, dass alle IKT-Anforderungen DORA-konform sind.
• Genehmigungsprozesse für jede Änderung: MR4DevOps bietet eine Funktion zur Überprüfung, die die elektronische Unterschrift der Genehmigenden sowie den zeitlichen Ablauf der Änderungen protokolliert. Dies entspricht den Erwartungen von DORA hinsichtlich klarer Rollen, nachvollziehbarer Aktualisierungen und überprüfbarer Entscheidungen.
• Einheitliche Vorlagen für Arbeitsabläufe in den Bereichen Risiko, Tests und Vorfälle: Mit der SMartDocs-Funktion können Teams dynamische Dokumente erstellen, in die sie vorhandene Anforderungen per Drag-and-Drop einfügen können. Sobald sich also Anforderungen ändern, wird das Dokument automatisch aktualisiert. Außerdem bietet die Funktion vorgefertigte Vorlagen zur Verwaltung der DORA-Konformität, was zur Erstellung einheitlicher Dokumente beiträgt.
• Automatisierung der Audit-Vorbereitung und der Beweissicherung: Während der Tests oder der Nachverfolgung von Vorfällen können Nachweisdokumente direkt an die entsprechende Anforderung oder Kontrollmaßnahme angehängt werden. Zum Zeitpunkt des Audits können die Aufsichtsbehörden die Nachweise auf einen Blick einsehen, anstatt sie in mehreren Ordnern suchen zu müssen.

Auf diese Weise kann „Modern Requirements4DevOps“ jedem Finanzinstitut dabei helfen, sein IT-System DORA-konform zu gestalten.

Wenn sich Ihre Einrichtung auf DORA vorbereitet oder ihre operativen Kontrollmechanismen stärken möchte, ist jetzt der richtige Zeitpunkt, Ihren Anforderungsprozess zu optimieren – starten Sie dazu eine 30-tägige kostenlose Testversion von Modern Requirements4DevOps.