DOR-Strategie (Art. 6 Abs. 8 i.V.m. Art. 5 Abs. 2 lit. d DORA)
Die DOR-Strategie, also die Strategie für digitale operationale Resilienz, ist eine gesetzlich geforderte zentrale Komponente des IKT-Risikomanagements. Sie beschreibt, wie ein Finanzunternehmen seine Resilienz gegenüber IKT-Risiken strategisch sicherstellt – unter voller Verantwortung der Geschäftsleitung.
Was ist eine DOR-Strategie?
Die DOR-Strategie legt dar, wie das Finanzunternehmen
- IKT-Risiken adressiert,
- digitale Resilienzziele definiert,
- und den IKT-Risikomanagementrahmen mit der Geschäftsstrategie verzahnt.
Sie ist kein technisches IT-Dokument, sondern ein führungsstrategisches Dokument, das gemäß Art. 6 Abs. 8 DORA verbindlich zu erstellen ist.
Unterscheidung zur IT-Strategie
Die DOR-Strategie ist nicht mit einer klassischen IT-Strategie zu verwechseln. Laut BaFin (FAQ) verfolgt die DOR-Strategie einen klaren Fokus auf Resilienz, während die IT-Strategie oft stärker auf Architektur, Infrastruktur und Entwicklung ausgerichtet ist. In der Praxis können beide Strategien sinnvoll miteinander verknüpft werden – sie müssen jedoch eindeutig abgrenzbar dokumentiert sein.
Siehe: Wie ist die DOR-Strategie im Vergleich zur IT-Strategie zu verstehen? (BaFin-FAQ)
Anforderungen gemäß Art. 6 Abs. 8 DORA
Die DOR-Strategie muss mindestens folgende Inhalte abdecken:
- Strategische Verankerung: Wie der IKT-Risikomanagementrahmen die Geschäftsstrategie und Ziele unterstützt.
- IKT-Risikoschwellen & Auswirkungsresilienz: Definition der IKT-Risikotoleranz und Auswirkungsgrenzen bei Störungen.
- Ziele der Informationssicherheit: Konkrete Sicherheitsziele mit Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs), z. B.:
- Max. Wiederanlaufzeit (RTO)
- Anzahl kritischer Vorfälle pro Quartal
- Systemverfügbarkeiten in %
- KRIs für Angriffsflächen (z. B. unverschlüsselte Schnittstellen)
- IKT-Referenzarchitektur: Beschreibung bestehender Architekturen und strategisch geplanter Änderungen.
- Mechanismen zur Vorfallprävention und -reaktion: Übersicht über eingesetzte Schutz-, Erkennungs- und Reaktionsmechanismen.
- Reifegradbewertung: Status der digitalen Resilienz anhand dokumentierter Vorfälle, Lessons Learned und Kontrollwirksamkeit.
- Resilienztests: Planung und Ergebnisse von DORA-konformen Tests (z. B. TLPT).
- Kommunikationsstrategie: Melde- und Kommunikationsverfahren bei IKT-bezogenen Vorfällen gemäß Art. 14 DORA.
Verantwortung des Leitungsorgans (Art. 5 Abs. 2 lit. d DORA)
Die DOR-Strategie darf nicht delegiert werden: Das Leitungsorgan ist verpflichtet, diese selbst zu definieren, genehmigen und regelmäßig zu überprüfen. Insbesondere muss es die IKT-Risikotoleranzschwelle aktiv festlegen.
Diese Verantwortung ist nicht übertragbar – weder an die IT noch an ein Informationssicherheits- oder Risikomanagementteam.
Umsetzungspflicht: Frist bis 17. Januar 2025
Die DOR-Strategie muss bis spätestens 17. Januar 2025 vollständig dokumentiert und durch das Leitungsorgan genehmigt sein. Bei Aufsichtsprüfungen nach diesem Stichtag ist die Vorlage verbindlich.
Verbindung zu anderen DORA-Dokumentationen
Die DOR-Strategie ist mit folgenden DORA-Anforderungen zu synchronisieren:
- IKT-Risikomanagementrahmen
- Kommunikationsstrategie für IKT-Vorfälle
- Teststrategie & TLPT