DORA Security Mapping
Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für betroffene Finanzunternehmen vor. Daneben werden kritische IKT-Drittdienstleister wie Cloud Provider durch die EU-Finanzaufsicht mit eigenen Security-Pflichten belegt und erben über Verträge und Erwartungen ihrer Finanzkunden weitere DORA-Pflichten.
Für IT-Provider ordnet das OpenKRITIS-Mapping die DORA-Anforderungen Standards zu:
- NIS2 Implementing Act: Kontrollen aus den verbindlichen NIS2-Vorgaben im IT-Sektor.
- C5:2020: Standard vom BSI für Informationssicherheit im Cloud Computing.
- ISO/IEC 27001:2022: Informationssicherheit im ISMS und Annex A-Kontrollen.
Das separate NIS2 zu KRITIS und ISO 27001 Mapping hilft NIS2-Einrichtungen.
DORA und EU NIS2 für IT-Provider
DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024
DORA-Anforderungen und Standards
Übersicht
Für DORA weist das OpenKRITIS-Mapping die DORA-Vorgaben für Finanzunternehmen und IKT-Drittdienstleistern den Anforderungen von NIS2-Umsetzungsgesetz und Security Standards zu.
| Pflicht | Finanzunternehmen | Kritische IKT-Drittdienstleister |
|---|---|---|
| Geltungsbereich | Unternehmen | Unternehmensteil* |
| Risikomanagement Art. 5, 6, 13, 16 | ✓ | |
| Schutz der IT Art. 7, 8, 9 | ✓ | |
| Detektion und Reaktion Art. 10, 14 | ✓ | |
| Resilienzmaßnahmen Art. 11, 12 | ✓ | |
| Test der Resilienz Art. 24, 25, 26, 27 | ✓ | Einbezug |
| Management Drittparteien Art. 28, 29, 30 | ✓ | über Verträge |
| Vorfallsmeldungen Art. 17-23 | ✓ | |
| Informationsaustausch Art. 45 | ✓ | |
| Pflichten für kritische Dienstleister Art. 33 | ✓ |
Die folgende Tabelle schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf (Spalten ID und DORA) und fasst die inhaltlichen Anforderungen thematisch zusammen, Ergänzungen in Klammern. Das Mapping zu den einzelnen Anforderungen aus §30 BSIG in Spalte NIS2 und zu C5:2020 und ISO 27001:2022 als Draft.
DORA für Finanzunternehmen
Risikomanagement
DORA Artikel 5, Artikel 6, Artikel 13 und Artikel 16
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.5.1 | Art. 5 (1) | Governance- und Kontrollrahmen | oberhalb ISMS und IT-RM | ||
| D.5.2 | Art. 5 (2) | Verantwortung der Geschäftsleitung | (38.1) | BCM-01 | 5.1 A.5.31 |
| D.5.3 | Art. 5 (3) | Funktion zur Überwachung von Vereinbarungen mit IKT-Drittdienstleistern | 5.1.6 5.1.7 |
SSO-01 | A.5.2 A.5.19 |
| D.5.4 | Art. 5 (4) | Kenntnisse und Fähigkeiten der Geschäftsleitung | 8.2.2 (38.3) |
HR-03 | 7.2 7.3 A.5.2 A.5.4 A.5.31 A.6.3 |
| D.6.1 | Art. 6 (1) Art. 6 (2) Art. 6 (3) |
IKT-Risikomanagementrahmen, Geltungsbereich, geeignete Strategien, Policies und Verfahren | 2.1.1 2.1.2 2.1.3 2.1.4 |
OIS-01 OIS-02 OIS-03 OIS-06 OIS-07 |
4.1-10.2 A.5.1 A.5.2 A.5.4 |
| D.6.4 | Art. 6 (4) | Unabhängige Kontrollfunktion | 2.3.1 | OIS-04 | A.5.2 A.5.3 |
| D.6.5 | Art. 6 (5) | Regelmäßige Dokumentation und Überprüfung des IKT-Risikomanagementrahmens | 2.3.2 2.3.3 2.3.4 |
COM-04 OIS-06 SP-01 SP-02 |
8.2 8.3 9.1 9.3 10.1 10.2 A.5.35 A.5.36 |
| D.6.6 | Art. 6 (6) Art. 6 (7) Art. 6 (10) |
Regelmäßige IKT-Revisionen Follow-up-Verfahren (optional) Auslagerung der Überprüfung |
7.1 7.2 7.3 2.3.1 |
COM-02 COM-03 COM-04 |
9.2 A.5.35 A.5.36 |
| D.6.8 | Art. 6 (8) | Strategie für digitale operationale Resilienz | - | - | - |
| D.6.9 | Art. 6 (9) | (optional) Strategie zur Nutzung von IKT-Drittdienstleistern | 5.1.1 | SSO-01 | A.5.21 |
| D.13.1 | Art. 13 (1) | Kapazitäten und Personal | 1.2.4 10.1.3 |
OPS-01 | 7.1 A.8.6 |
| D.13.2 | Art. 13 (2) Art. 13 (3) Art. 13 (4) Art. 13 (5) |
Lessons Learned und Verbesserung nach IKT-Vorfällen | 3.6.1 3.6.2 |
SIM-01 SIM-05 |
A.5.27 |
| D.13.3 | Art. 13 (6) Art. 13 (7) |
Sensibilisierung, Schulung und Weiterentwicklung | 8.1.1 8.1.2 8.1.3 8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 |
HR-03 | 7.2 7.3 A.6.3 |
| D.16 | Art. 16 | Vereinfachter IKT-Risikomanagementrahmen | viele | viele | viele |
Schutz der IT
DORA Artikel 7, Artikel 8 und Artikel 9
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.7 | Art. 7 Art. 9 (3) |
Stand der Technik | 2.1.2 | - | 6.1 8.2 8.3 |
| D.8.1 | Art. 8 (1) Art. 8 (6) |
Identifizierung und Klassifizierung der Unternehmenslandschaft | 12.4.1 12.4.2 12.4.3 12.1.1 |
- | A.5.9 A.5.12 |
| D.8.2 | Art. 8 (2) | Kontinuierliche Identifizierung und Bewertung von IKT-Risiken, Cyberbedrohungen und Schwachstellen | 2.1.2 4.3.3 |
PSS-02 PSS-03 |
A.8.8 |
| D.8.4 | Art. 8 (4) Art. 8 (6) |
Asset Management | 12.1 12.2 12.3 12.4 |
AM-01 AM-02 AM-03 AM-04 AM-05 AM-06 |
A.5.9 A.5.10 A.5.11 A.5.12 A.5.13 A.7.9 A.8.3 |
| D.8.5 | Art. 8 (5) Art. 8 (6) |
Identifizierung und Bewertung von Dienstleister-Abhängigkeiten | 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 |
SSO-02 SSO-03 |
A.5.19 A.5.21 |
| D.8.7 | Art. 8 (7) | Risikobewertung für IKT-Altsysteme | - | - | - |
| D.9.1 | Art. 9 (1) | Security und Operational Monitoring von IKT-Systemen und -Tools | 3.2.2 3.2.4 |
OPS-13 COS-03 |
A.8.16 |
| D.9.2 | Art. 9 (2) | Schutzziele für Konzeption, Beschaffung und Implementierung | 6.1.1 6.1.2 6.1.3 6.2.1 6.2.2 6.2.3 6.2.4 |
DEV-01 DEV-02 |
A.5.8 A.5.23 A.8.25 A.8.26 A.8.27 A.8.28 A.8.29 A.8.30 A.8.31 |
| D.9.4a | Art. 9 (4) a) | Informationssicherheitsleitlinie | 1.1.1 1.1.2 |
OIS-01 OIS-02 |
4.1-10.2 A.5.1 A.5.2 A.5.4 |
| D.9.4b | Art. 9 (4) b) | Netzwerk- und Infrastrukturmanagement | 6.3.1 6.4.2 6.7.1 6.7.2 |
COS-01 COS-02 COS-03 COS-04 COS-05 COS-06 COS-07 |
A.8.9 A.8.20 A.8.21 A.8.22 |
| D.9.4c | Art. 9 (4) c) | Access Management | 11.1.1 11.1.2 11.1.3 11.2.1 11.2.2 11.2.3 |
IDM-01 IDM-02 IDM-03 IDM-04 IDM-05 IDM-06 IDM-07 PSS-08 |
A.5.15 A.5.18 A.8.2 A.8.3 A.8.4 |
| D.9.4d | Art. 9 (4) d) | Starke Authentifizierung | 11.7.1 11.7.2 |
PSS-05 PSS-06 IDM-08 IDM-09 |
A.5.16 A.5.17 A.8.5 |
| D.9.4e | Art. 9 (4) e) Art. 8 (3) |
Risikoorientiertes Change Management | 6.4.1 6.4.2 6.4.3 6.4.4 |
DEV-03 DEV-04 DEV-05 DEV-06 DEV-07 DEV-08 DEV-09 |
A.8.32 |
| D.9.4f | Art. 9 (4) f) | Patch- und Update-Management | 6.6.1 6.6.2 |
PSS-03 DEV-03 |
A.8.8 A.8.9 A.8.32 |
Detektion und Reaktion
DORA Artikel 10 und Artikel 14
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.10 | Art. 10 | Monitoring und Erkennung von Vorfällen | 3.1.1 3.1.2 3.1.3 3.2.1 3.2.2 3.2.3 3.3.1 3.4.1 3.4.2 3.5.1 |
OPS-10 OPS-11 OPS-12 OPS-13 OPS-14 OPS-16 OPS-17 |
A.5.24 A.8.15 A.8.16 |
| D.14 | Art. 14 | Pläne, Strategien und Verantwortlichkeiten für Kommunikation | 3.5.2 3.5.3 4.3.1 |
SIM-01 OIS-05 |
7.4 A.5.5 A.5.6 |
Business Continuity Management
DORA Artikel 11 und Artikel 12
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.11.1 | Art. 11 (1) Art. 11 (2) Art. 11 (4) Art. 11 (8) |
Business Continuity Management | 4.1.1 4.1.2 |
BCM-01 BCM-03 |
A.5.29 A.5.30 A.5.31 A.8.14 |
| D.11.3 | Art. 11 (3) Art. 11 (8) |
IKT-Reaktions- und Wiederherstellungspläne | 4.1.2 4.1.4 |
BCM-03 | A.5.29 A.5.30 |
| D.11.5 | Art. 11 (5) | Business Impact Analyse (BIA) | 4.1.3 | BCM-02 | - |
| D.11.6 | Art. 11 (6) | Regelmäßige Business Continuity Tests | 4.1.4 | BCM-04 | A.5.30 |
| D.11.7 | Art. 11 (7) | Krisenmanagementfunktion | 4.3.1 4.3.2 4.3.3 4.3.4 |
- | - |
| D.11.9 | Art. 11 (9) | Jährliche Kosten- und Verlustmeldung durch IKT-bezogene Vorfälle | - | - | - |
| D.12.1 | Art. 12 (1) Art. 12 (2) Art. 12 (3) Art. 12 (6) Art. 12 (7) |
Backup und Wiedergewinnung/Wiederherstellung | 4.2.1 4.2.2 4.2.3 4.2.5 |
OPS-06 OPS-07 OPS-08 OPS-09 |
A.8.13 |
| D.12.2 | Art. 12 (4) Art. 12 (5) |
Logische und physische Redundanzen | 4.2.4 13.1.2 |
PS-02 PS-06 |
A.8.14 |
Test der Resilienz
DORA Artikel 24, Artikel 25, Artikel 26 und Artikel 27
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.24 | Art. 24 | Programm für Tests der digitalen operationalen Resilienz | - | - | - |
| D.25 | Art. 25 | Testen von IKT-Tools und -Systemen | 6.5.1 6.5.2 6.4.2 |
DEV-02 DEV-10 COM-02 |
A.8.29 A.8.31 A.8.33 A.8.34 |
| D.26 | Art. 26 Art. 27 |
Thread-led Penetration Testing | 7.2 | OPS-19 | - |
Management von IKT-Drittparteien
DORA Artikel 28, Artikel 29 und Artikel 30
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.28 | Art. 28 Art. 29 Art. 30 |
Management von IKT-Drittparteien, Bewertung des IKT-Konzentrationsrisikos, Vertragsbestimmungen mit IKT-Drittparteien | 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 5.1.7 5.2 |
HR-06 SSO-01 SSO-02 SSO-03 SSO-04 SSO-05 |
A.5.19 A.5.20 A.5.21 A.5.22 A.5.23 |
Vorfallsmeldungen
DORA Artikel 17, Artikel 18, Artikel 19, Artikel 23 und Artikel 45
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.17 | Art. 17 | Incident Management | 3.1.1 3.1.2 3.1.3 |
SIM-01 SIM-02 SIM-03 SIM-04 SIM-05 COS-01 |
A.5.24 A.5.25 A.5.26 A.5.28 A.6.8 |
| D.18 | Art. 18 | Klassifizierung von Vorfällen und Cyberbedrohungen | 3.4.1 3.4.2 |
SIM-01 | A.5.25 |
| D.19 | Art. 19 | Meldewesen für Vorfälle und Cyberbedrohungen | 3.3.1 3.3.2 |
OIS-05 SIM-01 SIM-04 |
A.5.5 A.5.6 A.6.8 |
| D.23 | Art. 23 | Umgang mit zahlungsbezogenen Betriebs- oder Sicherheitsvorfällen | - | - | - |
| D.45 | Art. 45 | Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen | 4.3.3 6.10.2 |
OIS-05 | A.5.5 A.5.6 |
DORA für Dienstleister
Wichtig: Neben den direkten Pflichten aus Art. 33 können sich für Dienstleister viele Pflichten durch Verträge mit Finanzunternehmen ergeben – und o.g. Pflichten vertraglich weiterreichen.
Pflichten für kritische Dienstleister
DORA Artikel 33
| ID | DORA | Anforderung | NIS2 IT‑Act |
C5:2020 | ISO 27001 2022 |
|---|---|---|---|---|---|
| D.33.2 | Art. 33 (2) Art. 33 (3) c) |
IKT-Risikomanagement und -prozesse | 30.1.1 30.1.2 30.2.1a 30.2.1b 30.2.3a 30.2.3d 30.2.6 |
OIS-01 OIS-02 OIS-03 OIS-06 OIS-07 COM-04 SP-01 SP-02 BCM-01 BCM-03 |
6.1 8.2 8.3 A.5.29 A.5.30 A.5.31 A.8.14 |
| D.33.3a | Art. 33 (3) a) | Schutz der IT | 1.1.1 1.1.2 |
OIS-02 COS-01 |
viele |
| D.33.3b | Art. 33 (3) b) | Physische Sicherheit | 13.1.1 13.1.2 13.1.3 13.2.1 13.2.2 13.2.3 13.3.1 13.3.2 13.3.3 |
PS-01 PS-02 PS-03 PS-05 PS-06 PS-07 |
A.7.* |
| D.33.3d | Art. 33 (3) d) | Governance und Organisation | 2.1.2 1.1.1 1.2.1 1.2.3 |
BCM-01 OIS-01 |
5 A.5.2 A.5.4 |
| D.33.3e | Art. 33 (3) e) | Detektion, Reaktion und Vorfallsmeldung | 3.1.1 3.1.2 3.1.3 3.2.1 3.2.2 3.2.3 3.3.1 3.4.1 3.4.2 3.5.1 |
OPS-10 OPS-11 OPS-12 OPS-13 OPS-14 OPS-16 OPS-17 SIM-01 SIM-02 SIM-03 SIM-04 SIM-05 COS-01 |
A.5.24 A.5.25 A.5.26 A.5.28 A.6.8 A.8.15 A.8.16 |
| D.33.3f | Art. 33 (3) f) | Übertragbarkeit und Interoperabilität | (5.1.4) | (SSO-05) | (A.5.23) |
| D.33.3g | Art. 33 (3) g) Art. 33 (3) h) |
Tests und Audits | 7.1 7.2 7.3 2.3.1 |
DEV-02 DEV-10 COM-02 COM-03 COM-04 |
9.2 A.5.35 A.5.36 A.8.29 A.8.31 A.8.33 A.8.34 |
| D.33.3i | Art. 33 (3) i) | Anwendung einschlägiger Standards | - | - | - |
Weitere Informationen
Literatur
- NIS2-Mapping auf OpenKRITIS
- DORA im Finanzsektor auf OpenKRITIS
- KRITIS-Standards für Management-Systeme auf OpenKRITIS
- Mapping KRITIS auf Security Standards (PDF-Version), OpenKRITIS
Quellen
- Verordnung (EU) 2022/2554 (DORA), über die digitale operationale Resilienz im Finanzsektor, 14. Dezember 2022
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2024
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022