Viele Unternehmen, die sich auf den Weg machen, den Digital Operational Resilience Act (DORA) zu erfüllen, empfinden die Anfangsphase als die größte Herausforderung, wenn es darum geht, die Akzeptanz zu gewinnen.
Ich hatte die Gelegenheit, mich mit Pål Myren, CTO bei ZTL Payments, zusammenzusetzen, der sein Unternehmen derzeit durch die DORA-Implementierung führt. Wie wir bereits in unserem Blog berichtet haben, ist DORA eine Verordnung, die das digitale Risikomanagement in der Finanzbranche der Europäischen Union (EU) verändern soll. Sie ist zwar erst im Januar 2023 in Kraft getreten, soll aber bereits im Januar 2025 angewendet werden.
In meinem Gespräch mit Pål erläuterte er, wie man DORA-konform wird und was Unternehmen tun können, um die Herausforderungen zu meistern.
Andy: Pål, kannst du uns ein wenig über dich und deinen Hintergrund erzählen?
Pål: Ich bin CTO bei einem norwegischen B2B-Paytech-Startup, das von der norwegischen FSA reguliert wird, daher unser Fokus auf DORA. Während meiner gesamten Laufbahn - vom Softwareentwickler bis hin zu mehreren Positionen auf C-Level - hatte ich immer in irgendeiner Weise mit Compliance und regulatorischen Bescheinigungen oder Zertifizierungen zu tun.
Andy: Wann haben Sie zum ersten Mal von DORA gehört, und wann hat Ihre Organisation begonnen, sich darauf vorzubereiten?
Pål: Ich hörte zum ersten Mal vor zwei Jahren von DORA durch die norwegische FSA. Sie präsentierten einige Informationen auf hohem Niveau, bevor irgendwelche Fristen wirklich festgelegt wurden. Angesichts der Tatsache, dass die aktuellen IKT-Vorschriften in Norwegen veraltet sind, war es überfällig und ein guter Zeitpunkt, sie zu überarbeiten.
Andy: Was war der erste Schritt, den Sie als Organisation unternommen haben, um den DORA-Einführungsprozess zu starten?
Pål: Der erste Schritt besteht darin, zu verstehen, worum es bei DORA geht, die Anforderungen durchzulesen und Ähnlichkeiten mit anderen Vorschriften oder Zertifizierungen zu erkennen. Ich habe die fünf Säulen des Rahmenwerks genommen und sie in eine Tabelle eingetragen. Dann habe ich aufgelistet, was bei uns bereits vorhanden war, sei es das Vorfallsmanagement, die Notfallwiederherstellung oder die Risikomanagementverfahren. Es ist wichtig zu wissen, dass Sie die Zustimmung der Geschäftsleitung benötigen, d. h. jemanden auf C-Ebene, der versteht, dass dies für Ihr Unternehmen von größter Bedeutung ist.
Die fünf Hauptpfeiler von DORA sind:
- IKT-Risikomanagement
- Meldung von und Reaktion auf Cybervorfälle
- Operative Belastbarkeitstests
- Risikomanagement für Dritte
- Austausch von Informationen
Andy: Wie lässt sich DORA mit anderen Kontrollen, Mandaten oder Vorschriften vergleichen, die Sie kennen?
Pål: Es gibt viele Gemeinsamkeiten, und vieles davon ist gesunder Menschenverstand, wenn man in der IT-Branche arbeitet. Die Hauptschwerpunkte, die ich bei den Regulierungsbehörden sehe, sind die Cybersicherheit, angesichts der aktuellen geopolitischen Lage, und das Lieferantenmanagement, insbesondere die Durchführung von Risikobewertungen der Unternehmen oder Anbieter, mit denen man Geschäfte macht.
Andy: Wie haben Sie während der DORA-Einführung die abteilungsübergreifende Zusammenarbeit zwischen den verschiedenen Abteilungen gesteuert und gefördert?
Pål: Die gegenseitige Zusammenarbeit ist wahrscheinlich die größte Herausforderung bei der Einführung von DORA. Der Schlüssel ist die Umsetzung - man kann die besten Qualitätssysteme oder -prozesse haben, aber wenn sie nicht genutzt werden, ist es egal. Wir haben uns auf die Sensibilisierung und Schulung konzentriert. Wir organisierten Treffen mit den wichtigsten Interessenvertretern, wie Abteilungsleitern, Führungskräften, Anwälten sowie Risiko- und Compliance-Beauftragten, um den Rahmen zu besprechen. Wir führten auch Rollenspiele durch, wie z. B. die Simulation eines Cybersicherheitsangriffs, um sicherzustellen, dass jeder seine Verantwortung kennt.
Andy: Haben Sie einen abschließenden Ratschlag für Unternehmen, die ihre DORA-Reise gerade erst beginnen?
Pål: Konzentrieren Sie sich auf die Umsetzung und die Einbindung Ihrer Stakeholder. Wenn Sie anfangen, abteilungsübergreifend über diese Herausforderungen zu sprechen, werden nicht nur die rechtlichen und finanziellen Anforderungen erfüllt, sondern auch die Kultur verändert. Es beseitigt die Polarisierung und baut Barrieren zwischen den Abteilungen ab. Die Zusammenarbeit der Mitarbeiter bei Vorfällen oder bei der Wiederherstellung im Katastrophenfall fördert die Teamarbeit und baut Silos ab. Das ist einer der versteckten Vorteile der Implementierung eines Rahmens wie DORA.
Ich kann Pål nicht genug danken, denn seine Einsichten zeigen, wie wichtig Vorbereitung, Zusammenarbeit und praktische Umsetzung sind, wenn man sich auf den Weg macht, DORA-konform zu werden. Indem sie sich auf das Bewusstsein, die Schulung und die Förderung der abteilungsübergreifenden Kommunikation konzentrieren, können Unternehmen nicht nur die Einhaltung der Vorschriften erreichen, sondern auch die versteckten Vorteile einer verbesserten Kultur und Teamarbeit nutzen. Je mehr Unternehmen diesen Weg beschreiten, desto wichtiger wird der Austausch von Erfahrungen und bewährten Praktiken, um die Branche bei der Anpassung an diese neue Rechtslage zu unterstützen.
Weitere Informationen:
- Was ist der Digital Operational Resilience Act (DORA)?
- DORA in Atlassian Cloud: Ein Expertenansatz für Compliance
- Ihr Leitfaden zur Erfüllung der Anforderungen an Geschäftskontinuität und Widerstandsfähigkeit in der EU-Verordnung
- Beginnen Sie jetzt!
Erhalten Sie die neuesten Erkenntnisse und Updates
.png){kind=small}
