Nagler & Company: Expertise

DORA: Meldung von IKT-bezogenen Vorfällen. Herausforderungen im Detail.

von Alexander Klug und Sascha Peindl

Die ab 17. Januar 2025 anzuwendende Digital Operational Resilience Act (DORA) Verordnung3 fordert unter anderem IKT-bezogene Vorfälle zu klassifizieren und zeitgerecht an die zuständigen Behörden zu melden. Dieser Artikel beschäftigt sich mit den Fragen WIE ein Vorfall zu klassifizieren ist, WANN die entsprechenden Berichte zu übermitteln sind und WELCHE Informationen in diesen Berichten enthalten sein müssen.

Wie bereits in unserem ersten Artikel1 beschrieben, erfordert die Umsetzung der DORA-Richtlinie die Meldung IKT-bezogener Vorfälle an die zuständigen Behörden. Die dedizierten Anforderungen an die Finanzinstitute wurden durch die europäischen Aufsichtsbehörden (EIOPA, ESMA und EBA – die ESAs) in den beiden Tranchen an finalen Entwürfen erläutert.

  • Erste Tranche:
    • Kriterien zur Klassifizierung IKT-bezogener Vorfälle
  • Zweite Tranche:
    • Zeitliche Richtlinien zur Übermittlung der Berichte als Meldung IKT-bezogener Vorfälle
    • Inhaltliche Kriterien der Berichte zu IKT-bezogenen Vorfällen

Klassifizierung von IKT-bezogenen Vorfällen

Die Klassifikation von IKT-bezogenen Vorfällen, wie in Abbildung 1 dargestellt, liefert eine mehrstufige Herangehensweise.

Betrifft der Vorfall ein kritisches System wird dieser unmittelbar als schwerwiegend eingestuft (rot), andernfalls gilt es sechs sekundäre Kriterien zu überprüfen (gelb).

  • Kunden, finanzielle Gegenparteien und Transaktionen: Dieses Kriterium behandelt alle betroffenen Kunden, Finanzpartner und Transaktionen, welche während des Vorfalls nicht in der Lage sind, einen Service in Anspruch zu nehmen oder durch nicht durchführbare vertragliche Vereinbarungen benachteiligt werden.
  • Datenverlust: Hierbei liegt der Fokus auf die Einschränkungen im Zusammenhang mit der Verfügbarkeit, der Integrität, der Authentizität oder der Vertraulichkeit von Daten, welche vom betroffenen System verwendet werden.
  • Auswirkungen auf den Ruf: Dieses Kriterium berücksichtigt den Grad der Sichtbarkeit des Vorfalls, wie etwa die Darstellung in verschiedenen Medien, eingetroffene Beschwerden oder den Verlust von Kunden und finanzielle Gegenparteien.
  • Dauer des Vorfalls und Ausfallzeit des Services: Die Dauer eines Vorfalls wird vom Zeitpunkt des Vorfallauftritts bis zum Zeitpunkt, an dem dieser gelöst wird, berechnet. Die Ausfallzeit berechnet sich anhand des Zeitpunktes, ab dem der Service teilweise oder gänzlich unerreichbar ist, bis zu dem Punkt, an dem der Ursprungszustand der Aktivitäten wiederhergestellt wird.
  • Geografische Verteilung: Das Kriterium drückt die Signifikanz des Vorfalls für andere EU-Mitgliedsstaaten aus.
  • Wirtschaftliche Auswirkungen: Um die durch den Vorfall verursachten Kosten und Verluste für das Finanzinstitut zu ermitteln, werden direkte und indirekte Kosten berücksichtigt.

Zur Bestimmung der Sekundärkriterien liefern die ESAs die Schwellenwerte wie in Abbildung 2 dargestellt. Somit ergeben sich zwei mögliche Varianten:

  • Ist mehr als ein Zusatzkriterium betroffen (gelb), so ist der Vorfall ebenso als schwerwiegend einzustufen (rot).
  • Der Vorfall ist nur dann, als nicht schwerwiegend einzustufen, sofern kein kritisches System betroffen ist und maximal ein Zusatzkriterium zutrifft (grün).

Zeitliche Vorgaben zur Meldung von IKT-bezogenen Vorfällen

Die Berichterstattung an die zuständigen Behörden erfolgt nach Maßgabe der in Abbildung 3 dargestellten zeitlichen Richtwerte. Den ersten Bericht bildet die initiale Benachrichtigung über einen IKT-bezogenen Vorfall. Im weiteren Verlauf der Untersuchung folgen Zwischenberichte, welche spätestens 72 Stunden nach Übermittlung des ersten Berichts und ab dann laufend in aktualisierter Form übermittelt werden müssen. Den Ausklang bildet der Abschlussbericht. Einfache Cyberbedrohungen können auf freiwilliger Basis den zuständigen Behörden gemeldet werden.

Inhalt der zu übermittelnden Berichte

Der Inhalt der Berichte ist durch die technischen Regulierungs- und Durchführungsstandards (RTS und ITS) der europäischen Aufsichtsbehörden vorgegeben. Die Inhalte reichen von generellen Informationen des Finanzinstituts über Daten bezüglich des Zeitpunktes der Erkennung des Vorfalls und den Zahlen zu den im Klassifizierungsschema enthaltenen Kriterien bis hin zum Zeitpunkt, an dem der Vorfall gelöst wurde. Tabelle 1 zeigt die im Zuge der Meldung eines IKT-bezogenen Vorfalls notwendigen allgemeinen Informationen zum Finanzinstitut. Tabelle 2, Tabelle 3 und Tabelle 4 zeigen die geforderten Informationen der jeweiligen Berichte. Zusätzlich enthalten die Tabellen weitere Informationen zum Format eines jeden in den Berichten enthaltenen Feldes. Eine detaillierte Darstellung kann aus Annex I und II der technischen Regulierungs- und Durchführungsstandards2 entnommen werden. Tabelle 5 zeigt den Inhalt sowie das Format der Informationen für die freiwillige Meldung von Cyberbedrohungen. Detailliertere Darstellungen können aus Annex III und IV der technischen Regulierungs- und Durchführungsstandards2 entnommen werden.

Durch die klaren Vorgaben an die Klassifizierung sowie den Inhalten der einzelnen Berichte, bietet sich die Möglichkeit automationsgestützte System zu implementieren, um so die vorgegebenen Richtlinien zeitgerecht einzuhalten und die Berichterstellung und Übermittlung möglichst ressourcenschonend durchzuführen. Systeme wie Robotic Process Automation (RPA) ermöglichen es repetitive Tätigkeiten zu minimieren und so den notwendigen Fokus auf die Untersuchung und Behebung des schwerwiegenden IKT-bezogenen Vorfalls zu legen. Somit kann eine rasche Wiederaufnahme der Geschäftstätigkeit erreicht werden. Abbildung 4: Beispielhafte Darstellung einer Automatisierung zeigt ein solches Vorgehen bespielhaft.

Wir bei Nagler & Company arbeiten seit Jahren für Banken, Versicherungen und Vermögensverwalter. Unsere Projekterfahrung reicht von der Automatisierung über die Optimierung von Datenbanken und Schnittstellen bis hin zur Prozessgestaltung sowie der fachlichen Unterstützung in übergreifenden Projekttätigkeiten. Wenn wir Sie als verlässlicher Partner bei Ihrem Projekt unterstützen können, oder Sie weitere Fragen zu diesem oder verwandten Themen haben, freuen wir uns auf Ihre Kontaktaufnahme.


Literaturverzeichnis

1https://www.nagler-company.com/de/expertise/artikel/dora-die-zweite-tranche-ist-veroeffentlicht-was-die-finalen-entwuerfe-bereithalten.html
2 https://www.eiopa.europa.eu/document/download/0dfbccfd-97b2-4076-9644-b5cf4566fc6f_en?filename=JC%202024-33%20-%20Final%20report%20on%20the%20draft%20RTS%20and%20ITS%20on%20incident%20reporting.pdf
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554&from=FR


 

DORA: Artikelreihe

Die zweite Tranche ist veröffentlicht. Was die finalen Entwürfe bereithalten.
Weiterlesen >>>

Meldung von IKT-bezogenen Vorfällen. Herausforderungen im Detail.
Weiterlesen >>>

Schätzung der Bruttokosten und Bruttoverluste. Worauf es bei deren Ermittlung ankommt.
Weiterlesen >>>

Threat-Led Penetration Testing. Was bedeutet das Red Teaming für die Finanzinstitute.
Weiterlesen >>>

Alexander Klug

Alexander Klug

Sascha Peindl

Sascha Peindl

Expertise