Contents
(Allgemeine) Geschäftsfortführungsleitlinie (inkl. BIA) (Art. 11 Abs. 1 und 5 i.V.m. Art. 5 Abs. 2 lit. e DORA)
Die Verordnung (EU) 2022/2554 (DORA) verpflichtet Finanzunternehmen zur Einführung eines systematischen Programms zur Prüfung der digitalen operationalen Resilienz. Dieses Testprogramm ist das zentrale Instrument zur Bewertung, ob alle eingesetzten IKT-Systeme, Tools und Prozesse tatsächlich widerstandsfähig gegenüber Störungen und Angriffen sind.
| Artikel | Inhalt |
|---|---|
| Art. 25 Abs. 1 DORA | Konkrete Testarten für digitale Resilienz |
| Art. 24 Abs. 2 DORA | Struktur und Inhalte des Testprogramms |
Ziele des Programms
- Frühzeitige Erkennung von Schwachstellen in IKT-Systemen
- Beurteilung der Resilienzfähigkeit unter realistischen Stressszenarien
- Sicherstellung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten
- Erfüllung der DORA-Vorgaben für Penetrationstests und TLPT (Art. 26 DORA)
Inhalte und Testarten laut DORA
| Testtyp | Beschreibung |
|---|---|
| Schwachstellenanalysen & -scans | Automatisierte Suche nach Schwachstellen in IKT-Systemen |
| Netzwerksicherheitsbewertungen | Überprüfung der Segmentierung, Firewalls und Zugänge |
| Open-Source-Analysen | Prüfung auf Schwachstellen in quelloffener Software |
| Gapanalysen & Kompatibilitätstests | Ermittlung technischer und organisatorischer Lücken |
| Quellcodeprüfungen | Manuelle oder automatisierte Analyse sicherheitsrelevanter Softwarebestandteile |
| Szenariotests & End-to-End-Tests | Durchspielen von realitätsnahen Störfällen oder Angriffsszenarien |
| Penetrationstests | Simulation von gezielten Angriffen auf Systeme, Prozesse oder Personen |
| Physische Sicherheitsüberprüfungen | Bewertung der baulichen, personellen und technischen Schutzmaßnahmen |
| Fragebögen & Self-Assessments | Standardisierte Erhebungen zur digitalen Resilienz über Fachbereiche hinweg |
Anforderungen an die Umsetzung
- Jährliche Durchführung aller relevanten Tests (je nach Kritikalität der Systeme)
- Dokumentation der Testplanung, Durchführung und Ergebnisse
- Analyse und Priorisierung der gefundenen Schwächen (Art. 24 Abs. 5 DORA)
- Nachweisbare Ableitung von Verbesserungsmaßnahmen inkl. interner Validierung
- Abstimmung mit dem IKT-Risikomanagement (Art. 6 DORA)
Verbindung zu weiteren DORA-Vorschriften
| Bezug | Bedeutung |
|---|---|
| Art. 26 DORA | TLPT: Advanced Threat-Led Penetration Testing |
| Art. 11 DORA | Reaktion und Wiederherstellung auf Basis von Testergebnissen |
| Art. 6 DORA | Testprogramm als Bestandteil des IKT-Risikomanagements |