DORA Security Mapping

Mapping picture

Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für betroffene Finanzunternehmen vor. Daneben werden kritische IKT-Drittdienstleister wie Cloud Provider durch die EU-Finanzaufsicht mit eigenen Security-Pflichten belegt und erben über Verträge und Erwartungen ihrer Finanzkunden weitere DORA-Pflichten.

Für IT-Provider ordnet das OpenKRITIS-Mapping die DORA-Anforderungen Standards zu:

Das separate NIS2 zu KRITIS und ISO 27001 Mapping hilft NIS2-Einrichtungen.

Dieser Artikel beruht auf EU DORA und dem Entwurf des NIS2-Umsetzungsgesetzes aus Mai 2024 – ohne Anspruch auf Vollständigkeit. NIS2-Maßnahmen können sich noch konkretisieren.

Bank picture

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

DORA-Anforderungen und Standards

Übersicht

Für DORA weist das OpenKRITIS-Mapping die DORA-Vorgaben für Finanzunternehmen und IKT-Drittdienstleistern den Anforderungen von NIS2-Umsetzungsgesetz und Security Standards zu.

eigene Zusammenstellung Stand April 2024
* - wahrscheinlich der Teil, der Services für Finanzunternehmen erbringt
Pflicht Finanzunternehmen Kritische IKT-Drittdienstleister
Geltungsbereich Unternehmen Unternehmensteil*
Risikomanagement Art. 5, 6, 13, 16
Schutz der IT Art. 7, 8, 9
Detektion und Reaktion Art. 10, 14
Resilienzmaßnahmen Art. 11, 12
Test der Resilienz Art. 24, 25, 26, 27 Einbezug
Management Drittparteien Art. 28, 29, 30 über Verträge
Vorfallsmeldungen Art. 17-23
Informationsaustausch Art. 45
Pflichten für kritische Dienstleister Art. 33

Die folgende Tabelle schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf (Spalten ID und DORA) und fasst die inhaltlichen Anforderungen thematisch zusammen, Ergänzungen in Klammern. Das Mapping zu den einzelnen Anforderungen aus §30 BSIG-E (NIS2UmsuCG) in Spalte NIS2 und zu C5:2020 und ISO 27001:2022 als Draft.

up

DORA für Finanzunternehmen

Risikomanagement

DORA Artikel 5, Artikel 6, Artikel 13 und Artikel 16

Eigene Zusammenstellung ∙ Stand April 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.5.1 Art. 5 (1) Governance- und Kontrollrahmen oberhalb ISMS und IT-RM
D.5.2 Art. 5 (2) Verantwortung der Geschäftsleitung 38.1 BCM-01 5.1
A.5.31
D.5.3 Art. 5 (3) Funktion zur Überwachung von Vereinbarungen mit IKT-Drittdienstleistern - SSO-01 A.5.2
A.5.19
D.5.4 Art. 5 (4) Kenntnisse und Fähigkeiten der Geschäftsleitung 38.3 HR-03 7.2
7.3
A.5.2
A.5.4
A.5.31
A.6.3
D.6.1 Art. 6 (1)
Art. 6 (2)
Art. 6 (3)
IKT-Risikomanagementrahmen, Geltungsbereich, geeignete Strategien, Policies und Verfahren 30.1.1
30.2.1a
30.2.1b
OIS-01
OIS-02
OIS-03
OIS-06
OIS-07
4.1-10.2
A.5.1
A.5.2
A.5.4
D.6.4 Art. 6 (4) Unabhängige Kontrollfunktion - OIS-04 A.5.2
A.5.3
D.6.5 Art. 6 (5) Regelmäßige Dokumentation und Überprüfung des IKT-Risikomanagementrahmens 30.1.2
30.2.6
COM-04
OIS-06
SP-01
SP-02
8.2
8.3
9.1
9.3
10.1
10.2
A.5.35
A.5.36
D.6.6 Art. 6 (6)
Art. 6 (7)
Art. 6 (10)
Regelmäßige IKT-Revisionen
Follow-up-Verfahren
(optional) Auslagerung der Überprüfung
- COM-02
COM-03
COM-04
9.2
A.5.35
A.5.36
D.6.8 Art. 6 (8) Strategie für digitale operationale Resilienz - - -
D.6.9 Art. 6 (9) (optional) Strategie zur Nutzung von IKT-Drittdienstleistern - SSO-01 A.5.21
D.13.1 Art. 13 (1) Kapazitäten und Personal - OPS-01 7.1
A.8.6
D.13.2 Art. 13 (2)
Art. 13 (3)
Art. 13 (4)
Art. 13 (5)
Lessons Learned und Verbesserung nach IKT-Vorfällen - SIM-01
SIM-05
A.5.27
D.13.3 Art. 13 (6)
Art. 13 (7)
Sensibilisierung, Schulung und Weiterentwicklung 30.2.7a
30.2.7b
HR-03 7.2
7.3
A.6.3
D.16 Art. 16 Vereinfachter IKT-Risikomanagementrahmen viele viele viele

up

Schutz der IT

DORA Artikel 7, Artikel 8 und Artikel 9

Eigene Zusammenstellung ∙ Stand April 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.7 Art. 7
Art. 9 (3)
Stand der Technik 30.2.0 - 6.1
8.2
8.3
D.8.1 Art. 8 (1)
Art. 8 (6)
Identifizierung und Klassifizierung der Unternehmenslandschaft - - A.5.9
A.5.12
D.8.2 Art. 8 (2) Kontinuierliche Identifizierung und Bewertung von IKT-Risiken, Cyberbedrohungen und Schwachstellen - PSS-02
PSS-03
A.8.8
D.8.4 Art. 8 (4)
Art. 8 (6)
Asset Management 30.2.9c AM-01
AM-02
AM-03
AM-04
AM-05
AM-06
A.5.9
A.5.10
A.5.11
A.5.12
A.5.13
A.7.9
A.8.3
D.8.5 Art. 8 (5)
Art. 8 (6)
Identifizierung und Bewertung von Dienstleister-Abhängigkeiten 30.2.4a SSO-02
SSO-03
A.5.19
A.5.21
D.8.7 Art. 8 (7) Risikobewertung für IKT-Altsysteme - - -
D.9.1 Art. 9 (1) Security und Operational Monitoring von IKT-Systemen und -Tools - OPS-13
COS-03
A.8.16
D.9.2 Art. 9 (2) Schutzziele für Konzeption, Beschaffung und Implementierung 30.2.5a
30.2.5b
DEV-01
DEV-02
A.5.8
A.5.23
A.8.25
A.8.26
A.8.27
A.8.28
A.8.29
A.8.30
A.8.31
D.9.4a Art. 9 (4) a) Informationssicherheitsleitlinie 30.2.1b OIS-01
OIS-02
4.1-10.2
A.5.1
A.5.2
A.5.4
D.9.4b Art. 9 (4) b) Netzwerk- und Infrastrukturmanagement - COS-01
COS-02
COS-03
COS-04
COS-05
COS-06
COS-07
A.8.9
A.8.20
A.8.21
A.8.22
D.9.4c Art. 9 (4) c) Access Management 30.2.9b IDM-01
IDM-02
IDM-03
IDM-04
IDM-05
IDM-06
IDM-07
PSS-08
A.5.15
A.5.18
A.8.2
A.8.3
A.8.4
D.9.4d Art. 9 (4) d) Starke Authentifizierung 30.2.10a PSS-05
PSS-06
IDM-08
IDM-09
A.5.16
A.5.17
A.8.5
D.9.4e Art. 9 (4) e)
Art. 8 (3)
Risikoorientiertes Change Management - DEV-03
DEV-04
DEV-05
DEV-06
DEV-07
DEV-08
DEV-09
A.8.32
D.9.4f Art. 9 (4) f) Patch- und Update-Management PSS-03
DEV-03
A.8.8
A.8.9
A.8.32

up

Detektion und Reaktion

DORA Artikel 10 und Artikel 14

Eigene Zusammenstellung ∙ Stand April 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.10 Art. 10 Monitoring und Erkennung von Vorfällen 31.2 OPS-10
OPS-11
OPS-12
OPS-13
OPS-14
OPS-16
OPS-17
A.5.24
A.8.15
A.8.16
D.14 Art. 14 Pläne, Strategien und Verantwortlichkeiten für Kommunikation 30.2.5d SIM-01
OIS-05
7.4
A.5.5
A.5.6

up

Business Continuity Management

DORA Artikel 11 und Artikel 12

Eigene Zusammenstellung ∙ Stand April 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.11.1 Art. 11 (1)
Art. 11 (2)
Art. 11 (4)
Art. 11 (8)
Business Continuity Management 30.2.3a
30.2.3d
BCM-01
BCM-03
A.5.29
A.5.30
A.5.31
A.8.14
D.11.3 Art. 11 (3)
Art. 11 (8)
IKT-Reaktions- und Wiederherstellungspläne 30.2.3c BCM-03 A.5.29
A.5.30
D.11.5 Art. 11 (5) Business Impact Analyse (BIA) - BCM-02 -
D.11.6 Art. 11 (6) Regelmäßige Business Continuity Tests - BCM-04 A.5.30
D.11.7 Art. 11 (7) Krisenmanagementfunktion - - -
D.11.9 Art. 11 (9) Jährliche Kosten- und Verlustmeldung durch IKT-bezogene Vorfälle - - -
D.12.1 Art. 12 (1)
Art. 12 (2)
Art. 12 (3)
Art. 12 (6)
Art. 12 (7)
Backup und Wiedergewinnung/Wiederherstellung 30.2.3b OPS-06
OPS-07
OPS-08
OPS-09
A.8.13
D.12.2 Art. 12 (4)
Art. 12 (5)
Logische und physische Redundanzen - PS-02
PS-06
A.8.14

up

Test der Resilienz

DORA Artikel 24, Artikel 25, Artikel 26 und Artikel 27

Eigene Zusammenstellung ∙ Stand April 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.24 Art. 24 Programm für Tests der digitalen operationalen Resilienz - - -
D.25 Art. 25 Testen von IKT-Tools und -Systemen DEV-02
DEV-10
COM-02
A.8.29
A.8.31
A.8.33
A.8.34
D.26 Art. 26
Art. 27
Thread-led Penetration Testing - OPS-19 -

up

Management von IKT-Drittparteien

DORA Artikel 28, Artikel 29 und Artikel 30

Eigene Zusammenstellung ∙ Stand April 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.28 Art. 28
Art. 29
Art. 30
Management von IKT-Drittparteien, Bewertung des IKT-Konzentrationsrisikos, Vertragsbestimmungen mit IKT-Drittparteien 30.2.4a
30.2.4b
HR-06
SSO-01
SSO-02
SSO-03
SSO-04
SSO-05
A.5.19
A.5.20
A.5.21
A.5.22
A.5.23

up

Vorfallsmeldungen

DORA Artikel 17, Artikel 18, Artikel 19, Artikel 23 und Artikel 45

Eigene Zusammenstellung ∙ Stand April 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.17 Art. 17 Incident Management 30.2.2 SIM-01
SIM-02
SIM-03
SIM-04
SIM-05
COS-01
A.5.24
A.5.25
A.5.26
A.5.28
A.6.8
D.18 Art. 18 Klassifizierung von Vorfällen und Cyberbedrohungen - SIM-01 A.5.25
D.19 Art. 19 Meldewesen für Vorfälle und Cyberbedrohungen OIS-05
SIM-01
SIM-04
A.5.5
A.5.6
A.6.8
D.23 Art. 23 Umgang mit zahlungsbezogenen Betriebs- oder Sicherheitsvorfällen - - -
D.45 Art. 45 Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen 30.7 OIS-05 A.5.5
A.5.6

up

DORA für Dienstleister

Wichtig: Neben den direkten Pflichten aus Art. 33 können sich für Dienstleister viele Pflichten durch Verträge mit Finanzunternehmen ergeben – und o.g. Pflichten vertraglich weiterreichen.

Pflichten für kritische Dienstleister

DORA Artikel 33

Eigene Zusammenstellung ∙ Stand Mai 2024 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
ID DORA Anforderung NIS2 C5:2020 ISO 27001
D.33.2 Art. 33 (2)
Art. 33 (3) c)
IKT-Risikomanagement und -prozesse 30.1.1
30.1.2
30.2.1a
30.2.1b
30.2.3a
30.2.3d
30.2.6
OIS-01
OIS-02
OIS-03
OIS-06
OIS-07
COM-04
SP-01
SP-02
BCM-01
BCM-03
6.1
8.2
8.3
A.5.29
A.5.30
A.5.31
A.8.14
D.33.3a Art. 33 (3) a) Schutz der IT 30.2.1b OIS-02
COS-01
viele
D.33.3b Art. 33 (3) b) Physische Sicherheit - PS-01
PS-02
PS-03
PS-05
PS-06
PS-07
A.11
D.33.3d Art. 33 (3) d) Governance und Organisation 30.2.1a BCM-01
OIS-01
5
A.5.2
A.5.4
D.33.3e Art. 33 (3) e) Detektion, Reaktion und Vorfallsmeldung 30.2.2
31.2
OPS-10
OPS-11
OPS-12
OPS-13
OPS-14
OPS-16
OPS-17
SIM-01
SIM-02
SIM-03
SIM-04
SIM-05
COS-01
A.5.24
A.5.25
A.5.26
A.5.28
A.6.8
A.8.15
A.8.16
D.33.3f Art. 33 (3) f) Übertragbarkeit und Interoperabilität - (SSO-05) (A.5.23)
D.33.3g Art. 33 (3) g)
Art. 33 (3) h)
Tests und Audits - DEV-02
DEV-10
COM-02
COM-03
COM-04
9.2
A.5.35
A.5.36
A.8.29
A.8.31
A.8.33
A.8.34
D.33.3i Art. 33 (3) i) Anwendung einschlägiger Standards - - -

up

Weitere Informationen

Literatur

  1. NIS2-Mapping auf OpenKRITIS
  2. DORA im Finanzsektor auf OpenKRITIS
  3. KRITIS-Standards für Management-Systeme auf OpenKRITIS
  4. Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS

Quellen

  1. Verordnung (EU) 2022/2554 (DORA), über die digitale operationale Resilienz im Finanzsektor, 14. Dezember 2022
  2. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2025
  3. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
  4. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022