Implementierung von DORA: Lektionen von einem CTO

Wenn Unternehmen sich auf den Weg machen, um dem Digital Operational Resilience Act (DORA) zu entsprechen, ist für viele die Anfangsphase die größte Herausforderung.

Ich hatte die Gelegenheit, mich mit Pål Myren, CTO bei ZTL Payments, zusammenzusetzen, der sein Unternehmen derzeit durch die DORA-Implementierung führt. Wie wir bereits in unserem Blog berichtet haben, ist DORA eine Verordnung, die das digitale Risikomanagement in der Finanzbranche der Europäischen Union (EU) verändern soll. Sie ist zwar erst im Januar 2023 in Kraft getreten, soll aber bereits im Januar 2025 angewendet werden.

In meinem Gespräch mit Pål erläuterte er, wie man DORA-konform wird und was Unternehmen tun können, um die Herausforderungen zu meistern.

Andy: Pål, können Sie uns ein wenig über sich und Ihren Hintergrund erzählen?

Pål: Ich bin CTO bei einem norwegischen B2B-Paytech-Startup, das von der norwegischen FSA reguliert wird, daher unser Fokus auf DORA. Während meiner gesamten Laufbahn, vom Softwareentwickler bis hin zu mehreren C-Level-Positionen, war ich immer in irgendeiner Weise mit Compliance und regulatorischen Bescheinigungen oder Zertifizierungen verbunden.

Andy: Wann haben Sie zum ersten Mal von DORA gehört und wann hat Ihr Unternehmen begonnen, sich darauf vorzubereiten?

Pål: Ich habe das erste Mal vor zwei Jahren von der norwegischen FSA von DORA gehört. Sie präsentierten einige Informationen auf hohem Niveau, bevor irgendwelche Fristen gesetzt wurden. Da die aktuellen IKT-Vorschriften in Norwegen veraltet sind, war es überfällig und ein guter Zeitpunkt, sie zu überarbeiten.

Andy: Was war der erste Schritt, den Sie als Organisation unternommen haben, um den DORA-Implementierungsprozess zu beginnen?

Pål: Der erste Schritt besteht darin, zu verstehen, worum es bei DORA geht, die Anforderungen durchzulesen und Ähnlichkeiten mit anderen Vorschriften oder Zertifizierungen zu erkennen. Ich habe die fünf Säulen, die im Rahmenwerk genannt werden, in eine Tabelle eingetragen. Dann habe ich kartiert, was wir bereits hatten, ob es sich nun um Incident Management, Disaster Recovery oder Risikomanagementverfahren handelte. Es ist wichtig zu wissen, dass Sie die Zustimmung des Managements brauchen, jemanden auf der C-Ebene, der versteht, dass dies für Ihr Unternehmen von größter Bedeutung ist.

DORAs fünf Hauptsäulen sind:

• IKT-Risikomanagement
• Berichterstattung und Reaktion auf Cyber-Vorfälle
• Tests der betrieblichen Ausfallsicherheit
• Risikomanagement für Dritte
• Informationsaustausch

Andy: Wie lässt sich DORA mit anderen Kontrollen, Mandaten oder Vorschriften vergleichen, die Sie kennen?

Pål: Es gibt viele Ähnlichkeiten, und vieles davon ist selbstverständlich, wenn man in der IT-Branche arbeitet. Die Hauptschwerpunkte, die ich bei den Regulierungsbehörden sehe, sind die Cybersicherheit angesichts der aktuellen geopolitischen Lage und das Lieferantenmanagement, insbesondere die Durchführung von Risikobewertungen der Unternehmen oder Anbieter, mit denen Sie Geschäfte machen.

Andy: Wie haben Sie während der DORA-Implementierung die abteilungsübergreifende Zusammenarbeit zwischen den verschiedenen Abteilungen verwaltet und gefördert?

Pål: Die abteilungsübergreifende Zusammenarbeit ist wahrscheinlich die größte Herausforderung bei der Einführung von DORA. Der Schlüssel liegt in der Umsetzung - Sie können die besten Qualitätssysteme oder Prozesse haben, aber wenn sie nicht genutzt werden, ist das alles egal. Wir haben uns auf die Sensibilisierung und Schulung konzentriert. Wir organisierten Treffen mit den wichtigsten Interessenvertretern, wie Abteilungsleitern, C-Levels, Anwälten sowie Risiko- und Compliance-Beauftragten, um das Rahmenwerk zu besprechen. Wir haben auch Rollenspiele durchgeführt, wie z.B. die Simulation eines Cybersecurity-Angriffs, um sicherzustellen, dass jeder seine Verantwortlichkeiten kennt.

Andy: Haben Sie einen abschließenden Rat für Unternehmen, die sich gerade erst auf den Weg zu DORA machen?

Pål: Konzentrieren Sie sich auf die Umsetzung und die Einbindung Ihrer Stakeholder. Wenn Sie anfangen, abteilungsübergreifend über diese Herausforderungen zu sprechen, werden nicht nur die gesetzlichen und finanziellen Anforderungen erfüllt, sondern auch die Kultur verändert. Es beseitigt die Polarisierung und baut Barrieren zwischen den Abteilungen ab. Wenn Sie Ihre Mitarbeiter dazu bringen, bei Vorfällen oder bei der Wiederherstellung im Katastrophenfall zusammenzuarbeiten, wird die Teamarbeit gefördert und Silos werden abgebaut. Das ist einer der versteckten Vorteile der Implementierung eines Rahmenwerks wie DORA.

Ich kann Pål gar nicht genug danken, denn seine Erkenntnisse zeigen, wie wichtig Vorbereitung, Zusammenarbeit und praktische Umsetzung sind, wenn es darum geht, DORA-konform zu werden. Wenn sich Unternehmen auf die Sensibilisierung, Schulung und Förderung der abteilungsübergreifenden Kommunikation konzentrieren, können sie nicht nur die Einhaltung der Vorschriften erreichen, sondern auch die versteckten Vorteile einer verbesserten Kultur und Teamarbeit nutzen. Da immer mehr Unternehmen diesen Weg beschreiten, wird der Austausch von Erfahrungen und bewährten Praktiken von entscheidender Bedeutung sein, um die Branche bei der Anpassung an diese neue Gesetzeslandschaft zu unterstützen.

Weitere Informationen:

• Was ist der Digital Operational Resilience Act (DORA)?
• DORA in der Atlassian Cloud: Ein Expertenansatz für Compliance
• Ihr Leitfaden zur Erfüllung der Anforderungen an Geschäftskontinuität und Ausfallsicherheit in der EU-Verordnung
• Starten Sie jetzt!