DORA vs. ISO/IEC 27001 und NIS-2: Drittanbieterrisiko – mehr Sicherheit oder nur mehr Bürokratie?

Brüssel hält das Tempo hoch: DORA, der Digital Operational Resilience Act. Er verpflichtet Finanzunternehmen zu stärkeren Maßnahmen für IT-Sicherheit. Aber was unterscheidet diese Norm von ISO/IEC 27001 und NIS-2?

André Säckel, Program Manager für Informationssicherheits-Managementsysteme, DQS

Drittanbieterrisiko. Dieser sperrig anmutende Begriff aus dem EU-Vokabular hat erneut eine aktuelle Brisanz. Denn vor kurzem verursachte ausgerechnet ein Hersteller von Sicherheitssoftware den größten IT-Ausfall der Geschichte. Er entstand durch einen Programmierfehler in einem automatischen Update. Vermutlich haben sich viele IT-Teams einfach auf eine fehlerfreie Aktualisierung verlassen und sie nicht selbst getestet – keine gute Idee, denn es gibt ja das Drittanbieterrisiko.

Ab Januar 2025 könnte das Vernachlässigen von Grundlagen wie Integrationstests neuer Releases in der Finanzbranche zu Ärger mit den Behörden führen.”

Der dann geltende Digital Operational Resilience Act (DORA) verpflichtet sie unter anderem dazu, Drittanbieterrisiken zu berücksichtigen. Weitere Regelungen des DORA sind die Einführung eines IT-Risikomanagements, eine Meldepflicht und die Verpflichtung zu regelmäßigen Sicherheitstests. Damit soll die Cybersicherheit im Finanzsektor erhöht werden.

Aber haben wir nicht ähnliche Maßnahmen in NIS-2? Und sollten Unternehmen nicht ohnehin nach ISO/IEC 27001 zertifiziert sein?

Ist DORA also nur bürokratischer Overkill?

Die Frage ist nachvollziehbar, denn die drei Standards haben sich die Stärkung der IKT-Sicherheit auf die Fahnen geschrieben. Es ist hilfreich, die verschiedenen Themenkomplexe voneinander zu trennen.

ISO/IEC 27001, NIS-2 und DORA: Gemeinsamkeiten und Unterschiede

Zunächst zu ISO/IEC 27001: Der anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS) bietet einen systematischen Ansatz für das Management der IT-Sicherheit. Dazu gehören Risikomanagement, Compliance, Schutz von Vermögenswerten, effiziente Prozesse und kontinuierliche Verbesserung. Die eigentlich freiwillige ISO-Norm ist durch die Marktentwicklung zu einer Pflicht geworden. Unternehmen nutzen die Zertifizierung nach ISO/IEC 27001 als Vertrauensbeweis und Nachweis für ihre Bemühungen im Bereich der Informationssicherheit. Aus dem Geschäftsleben ist sie kaum mehr wegzudenken, eine fehlende Zertifizierung ist oft ein K.O.-Kriterium.

In Europa liegt dies auch daran, dass die Cybersecurity-Richtlinie NIS-2 (Network and Information Security Directive 2) implizit eine Zertifizierung nach ISO/IEC 27001 fordert.”

Denn die NIS-2 definiert Unternehmen, die zur kritischen Infrastruktur gehören und für die deshalb besonders hohe Cybersecurity-Standards gelten. Die betroffenen Unternehmen müssen technische und organisatorische Maßnahmen zur Cybersicherheit umsetzen und Netze und Systeme nach dem Stand der Technik absichern. Dazu gehören die Einführung eines entsprechenden Managementsystems und als zentraler Punkt eine Meldepflicht. Unternehmen müssen die Behörden ihres Landes innerhalb kurzer Fristen über erhebliche Vorfälle in Kenntnis setzen und sind dabei an kurze Fristen gebunden: Je nach Organisationsart und Art des Vorfalls muss die Erstmeldung innerhalb von 24 Stunden oder sogar unverzüglich erfolgen.

Managementsysteme, Meldepflichten, Stand der Technik – all dies findet sich grundsätzlich auch in DORA.”

Das EU-Sicherheitsgesetz widmet sich jedoch ausschließlich dem Finanzsektor und führt zusätzliche Regelungen ein, die über NIS-2 hinausgehen. Im Kern geht es darum, dass Finanzinstitute und ihre Tier-1-Dienstleister in der Lage sind, Cyberangriffe und Betriebsunterbrechungen zu überstehen und sich schnell davon zu erholen. Um dies nachzuweisen, sind die Unternehmen beispielsweise verpflichtet, die Sicherheit regelmäßig zu überprüfen, etwa durch Cyber-Krisenübungen. Darüber hinaus kennt DORA in Bezug auf das Drittparteienrisiko das Eingreifen der Aufsichtsbehörden: IT-Dienstleister, die im Finanzsektor tätig sind, können von den Aufsichtsbehörden direkt (auch vor Ort) überprüft werden. Bei negativen Ergebnissen können die Aufsichtsbehörden die Finanzunternehmen sogar zwingen, die Zusammenarbeit mit den betreffenden Dienstleistern einzustellen.

Im Ernstfall kommt das BSI ins Haus

Der letzte Punkt zeigt die Besonderheit von DORA: Es basiert nicht allein auf Selbstauskünften oder Audits, sondern ist eher wie die deutsche Gewerbeaufsicht konstruiert, die Unternehmen vor Ort kontrollieren kann. In Deutschland wird dies bei DORA die BaFin und die Bundesbank übernehmen. Die eingangs erwähnte, auch in Deutschland folgenschwere IT-Panne wäre womöglich ein Fall, der das BSI bei den betroffenen Unternehmen der Finanzwirtschaft auf den Plan gerufen hätte.

Wie eine solche Prüfung konkret aussieht, ist derzeit allerdings noch unklar – auch die Behörden müssen sich erst noch auf DORA einstellen.”

Der neue Security Act zeigt, dass die hohe Schlagzahl der EU-Regularien einer inneren Logik folgt und nicht etwa der bürokratischen Selbstbeschäftigung dient: Je kritischer die Branche, desto strenger die Regeln. Doch es gibt eine gute Nachricht:

Finanzunternehmen, die bereits ISO-zertifiziert sind, befinden sich in einer hervorragenden Ausgangsposition.”

Sie verfügen als solide Basis über ein Informationssicherheits-Managementsystem (ISMS). DORA erweitert diese Grundlage um spezifische Anforderungen zur Verbesserung der digitalen Resilienz.

Wie auch die ISO/IEC 27001 legt DORA großen Wert auf das IT-Assetmanagement. Es fordert eine detaillierte Dokumentation und Bewertung aller IT-Ressourcen, um deren Schutzbedarf zu ermitteln. Ergänzt wird dies durch ein umfassendes Risikomanagement, das Bedrohungen identifiziert und bewertet. Dazu gehört auch, dass externe Partner die DORA-Anforderungen erfüllen müssen. Finanzunternehmen werden daher nicht umhinkommen, ihre Dienstleister zu überprüfen und von ihnen Konformitätserklärungen zu verlangen.

Besser werden, denn Cyberkriminelle schlafen nicht

In der Unternehmenspraxis führt DORA zu klaren Anforderungen. So benötigen Finanzunternehmen Vorkehrungen für Backup & Restore. Dabei müssen sie Prozesse verwirklichen, mit denen die Integrität und Verfügbarkeit der Backups sichergestellt wird. Besonders wichtig ist die Ermittlung des Datenverlustrisikos, also des potenziellen Schadens durch einen IT-Ausfall und der Zeit, die das Unternehmen benötigt, um den Normalbetrieb wieder aufzunehmen.

Diese beiden Kennzahlen helfen bei der Entwicklung einer Disaster-Recovery-Strategie.”

Sie ist die wichtigste Komponente des Business Continuity Managements (BCM). In Finanzunternehmen umfasst es weit mehr als die Wiederherstellung des IT-Betriebs. Daher ist es wichtig, dass alle Notfallpläne im Rahmen des BCM praxistauglich sind. Sie müssen regelmäßig überprüft und in Notfallübungen getestet werden, damit sie im Ernstfall funktionieren. Dazu gehört aufseiten der IT auch ein Test der Datensicherung und -wiederherstellung. Beides muss reibungslos ablaufen und die wiederhergestellten Daten und Systeme müssen nach der Sicherung funktionsfähig sein. Auch das geht nicht ohne praktische Tests.

Allerdings sollten Unternehmen davon absehen, DORA & Co. in einem Schritt umzusetzen. Die EU-Vorgaben fordern vielmehr einen kontinuierlichen Verbesserungsprozess.”

Dies ist im dynamischen Feld der IT und den teilweise stürmischen Entwicklungen in der Cybersicherheit sinnvoll. Daher ist der PDCA-Zyklus (Plan-Do-Check-Act) ein zentraler Bestandteil von DORA. Er fördert angesichts der Dynamik der Cyberkriminalität eine kontinuierliche Weiterentwicklung der Sicherheitsmaßnahmen. So sind die gesetzlichen Verpflichtungen durch NIS-2 und DORA ein Garant dafür, dass der Finanzsektor als Teil der kritischen Infrastruktur alles unternimmt, um besonders sicher zu sein.André Säckel, DQS/aj