Wir machen Sie 'Fit for DORA'
Gezieltes Coaching in allen Bereichen und effiziente Automatisierung
Wie schaffen Sie es, die Anforderungen von DORA effizient umzusetzen?
Wir machen Sie 'Fit for DORA'
Gezieltes Coaching in allen Bereichen und effiziente Automatisierung
DORA in der Praxis
Die DORA-Verordnung – der Digital Operational Resilience Act – ist eine EU-Initiative, die darauf abzielt, die Cybersicherheit und operationale Resilienz im Finanzsektor zu stärken. Sie trat im Januar 2023 in Kraft und fordert von Finanzunternehmen, bis Januar 2025 umfangreiche Sicherheits- und Resilienz-Maßnahmen umzusetzen. Diese Regelung soll sicherstellen, dass Finanzinstitutionen auch bei IKT-Vorfällen (Informations- und Kommunikationstechnologien) weiter agieren können.
Das FIT4DORA-Team ist eine starke Partnerschaft von KnowledgeRiver GmbH, VIVACIS Consulting GmbH und Luther Rechtsanwaltsgesellschaft mbH für Ihre DORA-Compliance.
Mit hoher Fach- und Branchenexpertise in den Bereichen IT-Technologie, Prozess-Management und Recht bietet das FIT4DORA-Team eine ganzheitliche Beratung, um Ihre DORA-Herausforderungen zu meistern. Von Gap-Analyse, über Konzeption bis hin zur nachhaltigen Implementation im Regelbetrieb sind die einzelnen Phasen modular aufgebaut und können unabhängig voneinander durchgeführt werden.
Unsere Lösung
Der Prolog
Bereitschaftsprüfung
Erfassung Status Quo
Die Pflicht
DORA-Konformität
Planung & Transformation
Die Kür
im Geschäftsbetrieb
Umsetzung im Regelbetrieb
Verankerung der DORA-Regelungen im Geschäftsbetrieb
Strukturierte Aufnahme der Ist-Situation, Vergleich gegen Soll-Zustand und Erarbeitung von Handlungsempfehlungen.
Fragestellung
- Ist mein Unternehmen von DORA betroffen?
- Wie genau sehen die Anforderungen von DORA aus?
- Was davon deckt mein Unternehmen heute schon ab?
- Wo besteht Handlungsbedarf?
Leistungen
- Betroffenheitsfeststellung: Einordnung des Finanzunternehmens entsprechend DORA
- Gap-Analyse entsprechend des Betroffenheitsgrads: Erfassung von Schwachstellen/Defiziten in Interview-Form (Fragenkatalog) oder in Recherche-Form basierend auf vorhandenen Dokumenten (z.B. xAIT-Dokumentation)
- Erfassung der Unternehmens-IT (Inventarisierung)
- Erfassung der Verantwortlichkeiten (inklusive IKT-Drittdienstleister)
- Erfassung der IT-Architektur
- Erfassung der IT-Prozesse hinsichtlich Berichts-, Melde- und Prüfwesen
Ergebnis
- Bereitstellung von detaillierten Dokumentationen und Handlungsempfehlungen
- Besprechung der Ergebnisse bezüglich DORA-Konformität
Erreichung der DORA-Grundkonformität mit optimiertem zeitlichen und monetären Aufwand.
Fragestellung
- Welches sind die wichtigsten Maßnahmen, die umgesetzt werden müssen?
- Welche Dokumentationen muss mein Unternemen erstellen?
- Wie kann dafür gesorgt werden, dass die Aufwände nicht ausufern?
Leistungen
- Projektleitung und -durchführung
Erstellung und Kategorisierung von Work Items, Zuweisung von Verantwortlichkeiten (an Teams/Personen) und Festlegung der Zeitrahmen IT-Konzeptvalidierung bzw. -erstellung mit Prozessdefinition und automatisierter Dokumentation für:
Berichtswesen (Empfänger: Aufsichtsbehörden, Wirtschaftsprüfer und/oder unternehmensinterne Gremien) mit Dokumentation der DORA-Konformität, Tests und Prüfungen, Risikomanagements (z.B. Praktiken und IKT-Drittanbieter-Risiken), IKT-Sicherheitsmaßnahme und Erstellung IT-Handbücher (z.B. Betriebs- und Notfallhandbuch)
Meldewesen (Empfänger: Aufsichtsbehörden) für IKT-Vorfälle, Meldungen an das Informationsregister (z.B. Liste kritischer IKT-Drittdienstleister und Vertragsparameter), Informationsaustausch zur gemeinsamen Bekämpfung von Bedrohungen
Prüfwesen (Empfänger: Unternehmensinterne Gremien, Auditoren) für Penetrationtesting (adressiert i.d.R. ausschließlich Cybersicherheit), Backup/Restore-Tests, Disaster-Recovery-Tests, KPI-Definition (Meßmethode, Parameter), Rollen- und Berechtigungsmanagements
Ergebnis
- Grundkonformität mit DORA
- Bereitstellung von Konzept-Dokumentationen
Dauerhafte und effiziente Erhaltung der DORA-Konformität und Verankerung der DORA-Regelungen im Geschäftsbetrieb.
Fragestellung
- Wie kann eine aktuelle Dokumentation automatisiert bereitgestellt werden?
- Welche internen Teams müssen in die Prozesse für DORA Compliance eingebunden sein?
- Welchen internen und externen Anforderungen muss das Unternehmen regelmäßig genügen?
Leistungen
Etablierung und Weiterentwicklung der digitalen DORA-Plattform zur zentralen Datensamlung und Dokumentation für:
Berichtswesen:
(Teil-) automatisierte Sammlung von relevanten Daten und Informationen
Automatisierte Erstellung von Dokumentationen basierend auf zuvor spezifizierten TemplatesMeldewesen:
Automatisierung wie z.B. Sammlung von Konfigurations- und Log-Daten zum Zeitpunkt eines IKT-Vorfalls und Weitergabe an Aufsichtsbehörden
Automatisierung von Meldungen an das Informationsregister (z.B. Liste kritischer IKT-Drittdienstleister und Vertragsparameter)
Automatisierung des Informationsaustauschs zur gemeinsamen Bekämpfung von BedrohungenPrüfwesen:
Plattform zur Vorbereitung, regelmäßiger Durchführung und Dokumentation von Resilienz-Tests (Penetrationtesting, Backup/Restore-Tests, Disaster-Recovery-Tests)
KPI-Einhaltung: Kontinuierliche Messung und ReportingDaten- und Kommunikationsplattform für alle Stakeholder: Mitarbeiter des Unternehmens, Informationssicherheitsbeauftragte (ISB), IT-Provider, IKT-Drittdienstleister, Juristen und Prozess-Spezialisten
Bereitstellung DORA Compliance Beauftragten als zentraler Kommunikationspunkt für alle DORA-Angelegenheiten:
Technische Fachexpertise
Übersicht über bestehende DORA-Anforderungen und Neuerungen
Weiterentwicklung von internen und externen Prozessen
Kontaktpflege zu allen Stakeholdern
Ergebnis
Dauerhafte und effiziente Erhaltung der DORA-Konformität
- Wiederverwendung der eingeführten Prozesse und automatisierte Dokumentation für zusätzlichen Anforderungen (z.B. NIS2, BSI-Grundschutz, ISO 27001 Zertifizierung, …)
Das FIT4DORA-Team
Geschäftsorganisation
Recht
Technologie
