Fünf-Punkte-Plan für mehr digitale Sicherheit

Cybersicherheit und Cyber-Resilienz sind nicht mehr nur Themen, mit denen sich ausschliesslich die IT-Abteilung beschäftigt. Auch der Schweizer Regulator befasst sich ausgiebig damit: BÜPF, DSG, DSÖ, NIS, … all diese Gesetze sollen die Bekämpfung der Cyberkriminalität unterstützen.

Mit ihren Bemühungen, die Cyber-Resilienz der Wirtschaft zu stärken, steht die Schweiz nicht allein da. Ende 2022 hat die Europäische Kommission mit dem Digital Operational Resilience Act ein Massnahmenpaket lanciert, das sich vorerst darauf konzentriert, die digitale Widerstandsfähigkeit von Finanzdienstleistungsunternehmen zu erhöhen. Ab 17. Januar 2025 wird DORA verpflichtend für mehr als 22’000 in der EU tätige Unternehmen und IKT-Dienstleister gelten.

Die neue Regulierung betrifft nicht nur in der EU ansässige Banken, Wertpapierfirmen, Versicherungsunternehmen, Anbieter von Krypto-Anlagen und Cloud-Dienstleister. Denn DORA legt EU-Finanzunternehmen auch Pflichten auf, wenn sie mit IKT-Anbietern in Ländern ausserhalb der EU, einschliesslich der Schweiz, zusammenarbeiten.

Schweizer IKT-Anbieter, die Dienstleistungen für EU-Finanzunternehmen erbringen, sollten sich daher schnellstmöglich mit den Anforderungen von DORA auseinandersetzen. Zu diesen Dienstleistungen gehören digitale und datentechnische Angebote wie Datenspeicherung und Cloud-Services, Datenverarbeitungs- und Berichterstattungsdienste sowie Datenüberwachung und datenbasierte Geschäftsunterstützungsdienste.

Auch Schweizer Unternehmen, die mit EU-Finanzunternehmen verbunden sind und konzerninterne IKT-Dienstleistungen für ihre EU-Tochtergesellschaften erbringen, fallen unter die Regulierung. Schweizer Finanzunternehmen, die Geschäfte mit Unternehmen in der EU machen, müssen ebenfalls den DORA-Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Reparatur von IKT-bezogenen Vorfällen folgen.

Der Digital Operational Resilience Act adressiert gezielt bestehende Schwachstellen im Bereich ICT, Sicherheit und Risikomanagement, die bei Finanzdienstleistern und IKT-Dienstleistern auftreten. Um den Anforderungen von DORA gerecht zu werden, müssen betroffene Schweizer Unternehmen ihre digitalen Betriebs-Resilienz-Massnahmen überprüfen und gegebenenfalls gemäss der folgenden fünf primären Handlungsfelder von DORA anpassen.

1. Verbesserung des IKT-Risiko-Management: Die europäische Regulierung wird die Geschäftsleitungen stärker in die Verantwortung nehmen. Sie sind dafür verantwortlich, dass Geschäftsfunktionen und unterstützende Informationsressourcen, die potenzielle Quellen von IKT-Risiken darstellen, identifiziert, klassifiziert und dokumentiert sind.

2. Entwicklung präventiver Sicherheitsstrategien: Um die operative digitale Belastbarkeit zu kontrollieren, müssen Unternehmen für das Risikomanagement ein robustes Programm einführen. Dieses umfasst IKT-Werkzeuge, -Systeme und -Prozesse und überprüft mindestens alle 3 Jahre die IKT-Infrastruktur mittels bedrohungsbasierten Penetrationstests.

3. Proaktives Störungsmanagements: Ein zentrales Element von DORA ist das proaktive Handeln der Geschäftsleitung. Es ist unerlässlich, dass Risiken nicht nur erkannt, sondern auch angemessen bewertet und behandelt werden.

4. Risikomanagement für Drittanbieter: Durch eine obligatorische Vorprüfung soll evaluiert werden, ob das Risiko besteht, dass IKT-Dienstleistungen bei einem Anbieter bezogen werden, der als marktbeherrschend angesehen wird und der nicht ohne weiteres austauschbar ist.

5. Vereinbarung zum Informationsaustausch: Informationen und Erkenntnisse zu Cyber-Bedrohungen sind freiwillig an die jeweiligen Behörden oder andere Unternehmen weiterzugeben.

Die neue europäische Verordnung umfasst ein komplexes Regelwerk. Viele Unternehmen können den Aufwand für die Implementierung nicht allein bewältigen und ziehen daher externe Experten bei. Diese bringen das notwendige Know-how mit und verfügen meist über vorbereitete Tool-Sets, die die Implementierung von DORA standardisieren und vereinfachen.

Die externe Unterstützung entlastet ausserdem die Mitarbeitenden. Letztere sollten umfassend und kontinuierlich über die neuen Anforderungen informiert sein. Zwar nimmt der Digital Operational Resilience Act insbesondere die Geschäftsleitung in die Verantwortung, die Mitarbeitenden sind im operativen Geschäft aber direkter mit der Umsetzung der geforderten Massnahmen konfrontiert.

Der erste Schritt, um die DORA-Tauglichkeit des Unternehmens zu überprüfen, ist eine Gap-Analyse. Diese identifiziert und dokumentiert Schwachpunkte im IKT-System. Danach wird eine Roadmap zur Beseitigung dieser Schwachpunkte erstellt. Die offenen Punkte werden priorisiert und externe Abhängigkeiten identifiziert. Die Integration der Verbesserungen sollte vorab unbedingt den Regulatoren und dem Audit abgestimmt werden.

Danach geht es in die Details. Das IKT-Risk Management-Framework wird überprüft, Dokumentationen sowie Policies angepasst und mit der bestehenden Organisation abgestimmt. Ein wichtiges Element von DORA ist das Incident-Management und -Reporting. Hierfür gilt es die vorgeschriebenen Inzident-Erkennungs- und Reporting-Mechanismen zu implementieren. Dies ist ein kontinuierlicher Prozess. Einerseits können die Massnahmen nicht von heute auf morgen umgesetzt werden. Andererseits braucht es regelmässige Übungen und Simulationen, um das interne Know-how zu etablieren wie auch Schwachstellen zu identifizieren.

Das kontinuierliche Monitoring der DORA-Implementierung sollte zeitlich definiert sein und Verbesserungsmassnahmen dokumentiert werden. Die Dokumentation dient auch der Kommunikation mit den Stakeholdern und ist hilfreich, die vordefinierte Kommunikationsstrategie umzusetzen. Diese ist vor allem dann von Bedeutung, wenn es zu einem Krisenfall kommt.

Wie Verstösse gegen DORA sanktioniert werden, ist derzeit noch nicht abschliessend geklärt. Aktuell ist die Definition entsprechender Strafen den Mitgliedstaaten überlassen. Das in DORA genannte Zwangsgeld beträgt zum Beispiel für IKT-Drittdienstleister zurzeit bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes, der im vorangegangenen Geschäftsjahr erzielt wurde. Gebüsst werden können Drittanbieter mit Sitz in Europa oder anderswo. Wollen Schweizer Finanzunternehmen, oder IKT-Anbieter von Finanzdienstleistungen, Finanztechnologieunternehmen und anderen als kritisch eingestufte Anbieter, wettbewerbsfähig bleiben, sollten sie sich unbedingt noch vor Inkrafttreten mit den DORA-Anforderungen auseinandersetzen.

Unternehmen, die externe Anbieter für die Etablierung der betrieblichen, digitalen Widerstandsfähigkeit auf Basis der DORA-Verordnung beiziehen möchten, tun gut daran, diese nun umgehend in den Prozess einzubeziehen. Ein zeitnahes Onboarding ermöglicht es, wertvolle Zeit für die Identifizierung und Validierung kritischer Funktionen, die Priorisierung der wichtigsten Bedrohungsszenarien und die Festlegung des Tempos für die Implementierung zu gewinnen.

Besondere Beachtung sollten Unternehmen der Auswahl von externen Partnern schenken. Dies, da DORA Wert auf ein umfangreiches Drittanbieter-Risikomanagement legt. Aber vor allem auch, da DORA die IKT-Dienstleister als Treiber für die Überwachung, Genehmigung, Überprüfung und Festlegung der vorgeschriebenen Prozesse benennt und ihre Beteiligung als der Schlüssel zum Erfolg der Implementierung von entsprechenden Massnahmen sieht.