Erfüllung des DORA-Mandats: Herangehensweise an das IKT-Risikomanagement mit Pentera

Der Countdown bis Januar 2025 läuft, und für Finanzinstitute in Europa ist der Digital Operational Resilience Act (DORA) nicht nur eine weitere Verordnung – es handelt sich um ein Mandat, das erhebliche Konsequenzen nach sich zieht. Bei Nichteinhaltung drohen hohe Strafen und ein möglicher Reputationsschaden für Ihre Institution.

Verständnis des IKT-Risikomanagementrahmens von DORA

Im November 2022 führte die EU einen einheitlichen Rahmen für das Risikomanagement im Bereich Informations- und Kommunikationstechnologie (IKT) ein

Zu den Hauptanforderungen von DORA gehören:

I – Umsetzung eines umfassenden IKT-Risikomanagementrahmens

II – Sofortige Meldung schwerwiegender IKT-Vorfälle an die Behörden

III – Testprogramm für die digitale Betriebsstabilität

IV – Management des IKT-Risikos durch Dritte

V – Weitergabe von Informationen über Cyber-Bedrohungen an andere Finanzunternehmen

Die wichtigsten Kapitel von DORA zur Cybersicherheit: Eine Aufschlüsselung

In diesem Artikel geben wir einen Überblick über die ersten vier Anforderungen und erläutern, wie Pentera Sie bei der Einhaltung unterstützen kann.

Kapitel I – IKT-Risikomanagement

Im Mittelpunkt der Anforderungen von DORA steht die Einrichtung eines robusten IKT-Risikomanagement-Rahmens, der die Widerstandsfähigkeit geschäftskritischer Systeme erhöht. Dieser Rahmen sollte umfassend und gut dokumentiert sein und in das allgemeine Risikomanagementsystem der Finanzorganisation integriert werden.

Pentera kann in folgenden Bereichen Unterstützung leisten:

• Dokumentation kritischer IKT-Vermögenswerte und Geschäftsfunktionen. Identifizierung kritischer Vermögenswerte und Zuordnung zu Klassifizierungsgruppen auf der Grundlage von Kritikalitätsstufen.
• Einleitung einer Gap-Analyse und Dokumentation der Ergebnisse. Benutzer können Risiken und Schwachstellen in der Sicherheitsabwehr aufdecken, die sich auf die Integrität und Verfügbarkeit von IKT-Systemen und -Diensten auswirken könnten.
• Definition von Risikobereitschaft und Toleranzschwellen. Die Plattform kann verwendet werden, um regelmäßig zu bestätigen, dass die definierten Schwellenwerte für die Bedrohungserkennung wirksam sind und dass entsprechende Prozesse vorhanden sind, um sicherzustellen, dass sie mit der gewünschten Toleranz übereinstimmen.
• Einrichtung eines kontinuierlichen Test- und Entwicklungsrhythmus. Überprüfen und optimieren Sie regelmäßig die Wirksamkeit Ihres IKT-Risikomanagement-Frameworks.

Kapitel II – IKT-bezogenes Vorfallmanagement, Klassifizierung und Berichterstattung

Es besteht die Pflicht, größere IKT-bezogene Vorfälle den Behörden zu melden. Dies erstreckt sich auch auf die freiwillige Meldung erheblicher Cyber-Bedrohungen. Um dies zu erreichen, müssen Organisationen eine umfassende Strategie entwickeln, die Technologie, Menschen und Prozesse sowohl für Vorfälle als auch für Cyber-Bedrohungen umfasst.

Es muss ein optimierter Prozess festgelegt werden, um alle IKT-bezogenen Vorfälle zu erkennen, zu protokollieren und zu klassifizieren, mit klaren Anforderungen an die Informationsbeschaffung und einem dokumentierten Berichtsrhythmus. Schließlich sollten Schwellenwerte für die Klassifizierung von Vorfällen definiert werden. Zu den Kriterien könnten die Quantifizierung der Auswirkungen, der Dauer und der Ausfallzeit, der betroffenen kritischen Dienste, der geografischen Ausbreitung und der wirtschaftlichen Auswirkungen gehören.

Wo Pentera helfen kann:

• Definition der Kategorisierung von Cyber-Bedrohungen und des Prozesses zur Analyse der Auswirkungen. Dies sollte die Wahrscheinlichkeit und die geschäftlichen Auswirkungen einer Sicherheitsverletzung auf der Grundlage der prognostizierten Auswirkungen auf kritische Systeme und Geschäftsabläufe umfassen.
• Harmonisierung und Weiterentwicklung von IKT-Managementprozessen. Überprüfen und optimieren Sie regelmäßig Ihre IKT-bezogenen Vorfallmanagement- und Berichterstattungsprozesse.

Kapitel III – Digitale Betriebsstabilitätstests

Dies erfordert ein Programm mit einem Testplan, der verschiedene Bewertungen, Methoden, Praktiken und Tools umfasst. Das Programm erfordert auch regelmäßige Tests der IKT-bezogenen Vorfallmanagementprozesse, -systeme und -reaktionsmaßnahmen.

Wo Pentera helfen kann:

• Initiieren Sie Testkadenzen für IKT-Risiken. Führen Sie Tests für alle IKT-Expositionsrisiken durch, und zwar über alle Angriffsflächen hinweg – vor Ort, in der Cloud und bei webbasierten Ressourcen.
• Initiieren Sie einen Testrhythmus für Sicherheitsmaßnahmen. Führen Sie Tests für alle Sicherheitsmaßnahmen und Lösungen zur Bedrohungserkennung durch.
• Bereiten Sie sich auf bedrohungsorientierte Penetrationstests vor. Verfügen Sie über die richtigen Tools, um einen Testrhythmus für bedrohungsorientierte Penetrationstests (TLPT) zu implementieren.

Kapitel IV – Management von IKT-Risiken durch Drittanbieter

Es müssen Maßnahmen zur Steuerung der mit IKT-Drittanbietern verbundenen Risiken getroffen werden. Organisationen müssen ein Verzeichnis der Drittanbieter erstellen, das alle ausgelagerten Aktivitäten, das Risiko, das sie für digitale Dienste und die Widerstandsfähigkeit darstellen können, und die Dienste, die für den Geschäftsbetrieb als kritisch erachtet werden, enthält. Ein Aufsichtsausschuss muss dann die Anforderungen für jeden IKT-bezogenen Dienstleister überprüfen.

Pentera kann Sie dabei unterstützen:

• Einführung eines Testrhythmus für IKT-bezogene Drittanbieterrisiken. Regelmäßige Tests von IKT-Dienstleistern gemäß Ihrem IKT-Risikomanagementrahmen.
• Harmonisierung von Prozessen und Kommunikation mit Partnern. Weiterentwicklung von Risikoanalyse-, Test- und Kommunikationsprozessen mit IKT-Dienstleistern.

DORA-Compliance erreichen und übertreffen

Die DORA-Compliance ist obligatorisch – aber sie bietet auch die Möglichkeit, in einer immer komplexeren Bedrohungslandschaft langfristige Resilienz aufzubauen. Durch den Einsatz von Pentera wird Ihre Organisation nicht nur dabei unterstützt, schwer zu erfüllende Anforderungen zu erfüllen, sondern erhält auch eine skalierbare, automatisierte Lösung, die sich an Budgetbeschränkungen anpasst, die Berichterstattung an die Interessengruppen verbessert und strategische Geschäftsziele unterstützt.

Erfahren Sie, wie Pentera Ihnen dabei helfen kann, die DORA-Konformität zu erreichen und aufrechtzuerhalten, oder vereinbaren Sie noch heute eine Demo, um unsere Plattform in Aktion zu sehen.

Quelle: Pentera-Blog