DORA Security Mapping
Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für betroffene Finanzunternehmen vor. Daneben werden kritische IKT-Drittdienstleister wie Cloud Provider durch die EU-Finanzaufsicht mit eigenen Security-Pflichten belegt und erben über Verträge und Erwartungen ihrer Finanzkunden weitere DORA-Pflichten.
Für IT-Provider ordnet das OpenKRITIS-Mapping die DORA-Anforderungen Standards zu:
- NIS2-Umsetzung: Vorgaben aus dem NIS2-Umsetzungsgesetz für Einrichtungen.
- C5:2020: Standard vom BSI für Informationssicherheit in Cloud Computing.
- ISO/IEC 27001:2022: Informationssicherheit im ISMS und Annex A-Kontrollen.
Das separate NIS2 zu KRITIS und ISO 27001 Mapping hilft NIS2-Einrichtungen.
Dieser Artikel beruht auf EU DORA und dem Entwurf des NIS2-Umsetzungsgesetzes aus Mai 2024 – ohne Anspruch auf Vollständigkeit. NIS2-Maßnahmen können sich noch konkretisieren.
DORA und EU NIS2 für IT-Provider
DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024
DORA-Anforderungen und Standards
Übersicht
Für DORA weist das OpenKRITIS-Mapping die DORA-Vorgaben für Finanzunternehmen und IKT-Drittdienstleistern den Anforderungen von NIS2-Umsetzungsgesetz und Security Standards zu.
| Pflicht | Finanzunternehmen | Kritische IKT-Drittdienstleister |
|---|---|---|
| Geltungsbereich | Unternehmen | Unternehmensteil* |
| Risikomanagement Art. 5, 6, 13, 16 | ✓ | |
| Schutz der IT Art. 7, 8, 9 | ✓ | |
| Detektion und Reaktion Art. 10, 14 | ✓ | |
| Resilienzmaßnahmen Art. 11, 12 | ✓ | |
| Test der Resilienz Art. 24, 25, 26, 27 | ✓ | Einbezug |
| Management Drittparteien Art. 28, 29, 30 | ✓ | über Verträge |
| Vorfallsmeldungen Art. 17-23 | ✓ | |
| Informationsaustausch Art. 45 | ✓ | |
| Pflichten für kritische Dienstleister Art. 33 | ✓ |
Die folgende Tabelle schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf (Spalten ID und DORA) und fasst die inhaltlichen Anforderungen thematisch zusammen, Ergänzungen in Klammern. Das Mapping zu den einzelnen Anforderungen aus §30 BSIG-E (NIS2UmsuCG) in Spalte NIS2 und zu C5:2020 und ISO 27001:2022 als Draft.
DORA für Finanzunternehmen
Risikomanagement
DORA Artikel 5, Artikel 6, Artikel 13 und Artikel 16
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.5.1 | Art. 5 (1) | Governance- und Kontrollrahmen | oberhalb ISMS und IT-RM | ||
| D.5.2 | Art. 5 (2) | Verantwortung der Geschäftsleitung | 38.1 | BCM-01 | 5.1 A.5.31 |
| D.5.3 | Art. 5 (3) | Funktion zur Überwachung von Vereinbarungen mit IKT-Drittdienstleistern | - | SSO-01 | A.5.2 A.5.19 |
| D.5.4 | Art. 5 (4) | Kenntnisse und Fähigkeiten der Geschäftsleitung | 38.3 | HR-03 | 7.2 7.3 A.5.2 A.5.4 A.5.31 A.6.3 |
| D.6.1 | Art. 6 (1) Art. 6 (2) Art. 6 (3) |
IKT-Risikomanagementrahmen, Geltungsbereich, geeignete Strategien, Policies und Verfahren | 30.1.1 30.2.1a 30.2.1b |
OIS-01 OIS-02 OIS-03 OIS-06 OIS-07 |
4.1-10.2 A.5.1 A.5.2 A.5.4 |
| D.6.4 | Art. 6 (4) | Unabhängige Kontrollfunktion | - | OIS-04 | A.5.2 A.5.3 |
| D.6.5 | Art. 6 (5) | Regelmäßige Dokumentation und Überprüfung des IKT-Risikomanagementrahmens | 30.1.2 30.2.6 |
COM-04 OIS-06 SP-01 SP-02 |
8.2 8.3 9.1 9.3 10.1 10.2 A.5.35 A.5.36 |
| D.6.6 | Art. 6 (6) Art. 6 (7) Art. 6 (10) |
Regelmäßige IKT-Revisionen Follow-up-Verfahren (optional) Auslagerung der Überprüfung |
- | COM-02 COM-03 COM-04 |
9.2 A.5.35 A.5.36 |
| D.6.8 | Art. 6 (8) | Strategie für digitale operationale Resilienz | - | - | - |
| D.6.9 | Art. 6 (9) | (optional) Strategie zur Nutzung von IKT-Drittdienstleistern | - | SSO-01 | A.5.21 |
| D.13.1 | Art. 13 (1) | Kapazitäten und Personal | - | OPS-01 | 7.1 A.8.6 |
| D.13.2 | Art. 13 (2) Art. 13 (3) Art. 13 (4) Art. 13 (5) |
Lessons Learned und Verbesserung nach IKT-Vorfällen | - | SIM-01 SIM-05 |
A.5.27 |
| D.13.3 | Art. 13 (6) Art. 13 (7) |
Sensibilisierung, Schulung und Weiterentwicklung | 30.2.7a 30.2.7b |
HR-03 | 7.2 7.3 A.6.3 |
| D.16 | Art. 16 | Vereinfachter IKT-Risikomanagementrahmen | viele | viele | viele |
Schutz der IT
DORA Artikel 7, Artikel 8 und Artikel 9
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.7 | Art. 7 Art. 9 (3) |
Stand der Technik | 30.2.0 | - | 6.1 8.2 8.3 |
| D.8.1 | Art. 8 (1) Art. 8 (6) |
Identifizierung und Klassifizierung der Unternehmenslandschaft | - | - | A.5.9 A.5.12 |
| D.8.2 | Art. 8 (2) | Kontinuierliche Identifizierung und Bewertung von IKT-Risiken, Cyberbedrohungen und Schwachstellen | - | PSS-02 PSS-03 |
A.8.8 |
| D.8.4 | Art. 8 (4) Art. 8 (6) |
Asset Management | 30.2.9c | AM-01 AM-02 AM-03 AM-04 AM-05 AM-06 |
A.5.9 A.5.10 A.5.11 A.5.12 A.5.13 A.7.9 A.8.3 |
| D.8.5 | Art. 8 (5) Art. 8 (6) |
Identifizierung und Bewertung von Dienstleister-Abhängigkeiten | 30.2.4a | SSO-02 SSO-03 |
A.5.19 A.5.21 |
| D.8.7 | Art. 8 (7) | Risikobewertung für IKT-Altsysteme | - | - | - |
| D.9.1 | Art. 9 (1) | Security und Operational Monitoring von IKT-Systemen und -Tools | - | OPS-13 COS-03 |
A.8.16 |
| D.9.2 | Art. 9 (2) | Schutzziele für Konzeption, Beschaffung und Implementierung | 30.2.5a 30.2.5b |
DEV-01 DEV-02 |
A.5.8 A.5.23 A.8.25 A.8.26 A.8.27 A.8.28 A.8.29 A.8.30 A.8.31 |
| D.9.4a | Art. 9 (4) a) | Informationssicherheitsleitlinie | 30.2.1b | OIS-01 OIS-02 |
4.1-10.2 A.5.1 A.5.2 A.5.4 |
| D.9.4b | Art. 9 (4) b) | Netzwerk- und Infrastrukturmanagement | - | COS-01 COS-02 COS-03 COS-04 COS-05 COS-06 COS-07 |
A.8.9 A.8.20 A.8.21 A.8.22 |
| D.9.4c | Art. 9 (4) c) | Access Management | 30.2.9b | IDM-01 IDM-02 IDM-03 IDM-04 IDM-05 IDM-06 IDM-07 PSS-08 |
A.5.15 A.5.18 A.8.2 A.8.3 A.8.4 |
| D.9.4d | Art. 9 (4) d) | Starke Authentifizierung | 30.2.10a | PSS-05 PSS-06 IDM-08 IDM-09 |
A.5.16 A.5.17 A.8.5 |
| D.9.4e | Art. 9 (4) e) Art. 8 (3) |
Risikoorientiertes Change Management | - | DEV-03 DEV-04 DEV-05 DEV-06 DEV-07 DEV-08 DEV-09 |
A.8.32 |
| D.9.4f | Art. 9 (4) f) | Patch- und Update-Management | PSS-03 DEV-03 |
A.8.8 A.8.9 A.8.32 |
Detektion und Reaktion
DORA Artikel 10 und Artikel 14
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.10 | Art. 10 | Monitoring und Erkennung von Vorfällen | 31.2 | OPS-10 OPS-11 OPS-12 OPS-13 OPS-14 OPS-16 OPS-17 |
A.5.24 A.8.15 A.8.16 |
| D.14 | Art. 14 | Pläne, Strategien und Verantwortlichkeiten für Kommunikation | 30.2.5d | SIM-01 OIS-05 |
7.4 A.5.5 A.5.6 |
Business Continuity Management
DORA Artikel 11 und Artikel 12
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.11.1 | Art. 11 (1) Art. 11 (2) Art. 11 (4) Art. 11 (8) |
Business Continuity Management | 30.2.3a 30.2.3d |
BCM-01 BCM-03 |
A.5.29 A.5.30 A.5.31 A.8.14 |
| D.11.3 | Art. 11 (3) Art. 11 (8) |
IKT-Reaktions- und Wiederherstellungspläne | 30.2.3c | BCM-03 | A.5.29 A.5.30 |
| D.11.5 | Art. 11 (5) | Business Impact Analyse (BIA) | - | BCM-02 | - |
| D.11.6 | Art. 11 (6) | Regelmäßige Business Continuity Tests | - | BCM-04 | A.5.30 |
| D.11.7 | Art. 11 (7) | Krisenmanagementfunktion | - | - | - |
| D.11.9 | Art. 11 (9) | Jährliche Kosten- und Verlustmeldung durch IKT-bezogene Vorfälle | - | - | - |
| D.12.1 | Art. 12 (1) Art. 12 (2) Art. 12 (3) Art. 12 (6) Art. 12 (7) |
Backup und Wiedergewinnung/Wiederherstellung | 30.2.3b | OPS-06 OPS-07 OPS-08 OPS-09 |
A.8.13 |
| D.12.2 | Art. 12 (4) Art. 12 (5) |
Logische und physische Redundanzen | - | PS-02 PS-06 |
A.8.14 |
Test der Resilienz
DORA Artikel 24, Artikel 25, Artikel 26 und Artikel 27
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.24 | Art. 24 | Programm für Tests der digitalen operationalen Resilienz | - | - | - |
| D.25 | Art. 25 | Testen von IKT-Tools und -Systemen | DEV-02 DEV-10 COM-02 |
A.8.29 A.8.31 A.8.33 A.8.34 |
|
| D.26 | Art. 26 Art. 27 |
Thread-led Penetration Testing | - | OPS-19 | - |
Management von IKT-Drittparteien
DORA Artikel 28, Artikel 29 und Artikel 30
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.28 | Art. 28 Art. 29 Art. 30 |
Management von IKT-Drittparteien, Bewertung des IKT-Konzentrationsrisikos, Vertragsbestimmungen mit IKT-Drittparteien | 30.2.4a 30.2.4b |
HR-06 SSO-01 SSO-02 SSO-03 SSO-04 SSO-05 |
A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
Vorfallsmeldungen
DORA Artikel 17, Artikel 18, Artikel 19, Artikel 23 und Artikel 45
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.17 | Art. 17 | Incident Management | 30.2.2 | SIM-01 SIM-02 SIM-03 SIM-04 SIM-05 COS-01 |
A.5.24 A.5.25 A.5.26 A.5.28 A.6.8 |
| D.18 | Art. 18 | Klassifizierung von Vorfällen und Cyberbedrohungen | - | SIM-01 | A.5.25 |
| D.19 | Art. 19 | Meldewesen für Vorfälle und Cyberbedrohungen | OIS-05 SIM-01 SIM-04 |
A.5.5 A.5.6 A.6.8 |
|
| D.23 | Art. 23 | Umgang mit zahlungsbezogenen Betriebs- oder Sicherheitsvorfällen | - | - | - |
| D.45 | Art. 45 | Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen | 30.7 | OIS-05 | A.5.5 A.5.6 |
DORA für Dienstleister
Wichtig: Neben den direkten Pflichten aus Art. 33 können sich für Dienstleister viele Pflichten durch Verträge mit Finanzunternehmen ergeben – und o.g. Pflichten vertraglich weiterreichen.
Pflichten für kritische Dienstleister
DORA Artikel 33
| ID | DORA | Anforderung | NIS2 | C5:2020 | ISO 27001 |
|---|---|---|---|---|---|
| D.33.2 | Art. 33 (2) Art. 33 (3) c) |
IKT-Risikomanagement und -prozesse | 30.1.1 30.1.2 30.2.1a 30.2.1b 30.2.3a 30.2.3d 30.2.6 |
OIS-01 OIS-02 OIS-03 OIS-06 OIS-07 COM-04 SP-01 SP-02 BCM-01 BCM-03 |
6.1 8.2 8.3 A.5.29 A.5.30 A.5.31 A.8.14 |
| D.33.3a | Art. 33 (3) a) | Schutz der IT | 30.2.1b | OIS-02 COS-01 |
viele |
| D.33.3b | Art. 33 (3) b) | Physische Sicherheit | - | PS-01 PS-02 PS-03 PS-05 PS-06 PS-07 |
A.7.* |
| D.33.3d | Art. 33 (3) d) | Governance und Organisation | 30.2.1a | BCM-01 OIS-01 |
5 A.5.2 A.5.4 |
| D.33.3e | Art. 33 (3) e) | Detektion, Reaktion und Vorfallsmeldung | 30.2.2 31.2 |
OPS-10 OPS-11 OPS-12 OPS-13 OPS-14 OPS-16 OPS-17 SIM-01 SIM-02 SIM-03 SIM-04 SIM-05 COS-01 |
A.5.24 A.5.25 A.5.26 A.5.28 A.6.8 A.8.15 A.8.16 |
| D.33.3f | Art. 33 (3) f) | Übertragbarkeit und Interoperabilität | - | (SSO-05) | (A.5.23) |
| D.33.3g | Art. 33 (3) g) Art. 33 (3) h) |
Tests und Audits | - | DEV-02 DEV-10 COM-02 COM-03 COM-04 |
9.2 A.5.35 A.5.36 A.8.29 A.8.31 A.8.33 A.8.34 |
| D.33.3i | Art. 33 (3) i) | Anwendung einschlägiger Standards | - | - | - |
Weitere Informationen
Literatur
- NIS2-Mapping auf OpenKRITIS
- DORA im Finanzsektor auf OpenKRITIS
- KRITIS-Standards für Management-Systeme auf OpenKRITIS
- Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS
Quellen
- Verordnung (EU) 2022/2554 (DORA), über die digitale operationale Resilienz im Finanzsektor, 14. Dezember 2022
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2024
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022