In dieser Ausgabe von Tech & Tools wird ein kostenloser und anonymer Selbsttest vorgestellt, um den DORA-Reifegrad zu ermitteln.
Welches Problem löst der DORA-Selbsttest?
Unternehmen unterliegen einer Vielzahl von Regeln, deren Nichtbeachtung unter anderem zu hohen Strafen führen 
kann. Solche Verstöße können zudem das Ansehen eines Unternehmens schwer beschädigen und das Vertrauen von Kunden, Investoren und Geschäftspartnern zerstören. Entsprechende Compliance-Maßnahmen helfen dabei, diese Risiken zu identifizieren und zu minimieren.
Besonders intensiv reguliert ist der Finanzsektor. Eine stabile Finanzwirtschaft ist essentiell für die gesamte Volkswirtschaft. Deshalb soll eine immer komplexer werdende Regulierung Finanzkrisen verhindern und zugleich die Funktionsfähigkeit des Finanzsystems gewährleisten. Dabei gewinnt zunehmend auch der Schutz vor den wachsenden Risiken aus der Informations- und Kommunikationstechnologie (IKT) und vor Cyberrisiken an Bedeutung.
Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die EU nun eine Regulierung für die Themen Cybersicherheit, IKT und digitale operationale Resilienz für den gesamten Finanzsektor geschaffen, die die Finanzinstitute jedoch vor vielfältige technische und regulatorische Herausforderungen stellt.
Die Verordnung ist bereits am 16.1.2023 in Kraft getreten. Seitdem haben Finanzunternehmen und IKT-Dienstleister 24 Monate Zeit, um die neuen Regeln in ihren Abläufen zu berücksichtigen. Die Adressaten stehen daher vor der Aufgabe, die neuen Vorschriften zu durchdringen und mit den bestehenden Prozessen abzugleichen.
Wie genau funktioniert der DORA-Selbsttest?
Mit dem anonymen und kostenlosen DORA-Selbsttest können Institute des Finanzsektors und IKT-Dienstleister schnell und übersichtlich einen ersten Überblick über den aktuellen Reifegrad im Hinblick auf die Umsetzung der DORA-Anforderungen gewinnen.
Der DORA-Selbsttest dauert nur wenige Minuten und ist im Internet verfügbar (https://annerton.com/dora/start). Hinterlegt sind alle relevanten Fragen aus den unterschiedlichen Bereichen der DORA-Anforderungen. Durch die Teilergebnisse können die Unternehmen einen ersten Eindruck davon bekommen, welche Umsetzungsdefizite bestehen.
Zunächst ist anzugeben, ob man Finanzunternehmen oder IKT-Dienstleister ist. Dann folgen bei Finanzunternehmen beispielsweise Fragen zur bisherigen IKT-Governance (Digital Operational-Resilience-Strategie, Zuständigkeiten, spezifischen Schulungen), zum IKT-Risikomanagement (IKT-Risikomanager, Rahmenwerk zur Beherrschung von IKT-Risiken, IKT-Asset-Register) und zu IKTbezogenen Vorfällen (Policy gemäß Art. 18 DORA, Notfallplan für IT-Krisensituationen). Weitere Fragen betreffen die Widerstandsfähigkeit der verwendeten Betriebssysteme und das IKT-Drittparteienrisiko.
Nach deren Beantwortung wird automatisch eine Ersteinschätzung zum DORA-Reifegrad erstellt. Neben einer zusammenfassenden Prozentangabe wird auch ein Ergebnis für jeden einzelnen Teilaspekt der abgefragten Kategorien und der jeweils ermittelte Handlungsbedarf angezeigt. Die gesamten Ergebnisse können zudem als PDF-Datei heruntergeladen werden.
Wer steht hinter dem DORA-Selbsttest?
Der DORA-Selbsttest wird von Annerton angeboten. Annerton ist eine im Jahr 2020 gegründete Kanzlei mit Standorten in Berlin, Frankfurt a. M., Luxemburg und München, die auf den Bereich Aufsichtsrecht in der Finanzbranche spezialisiert ist.
Wer sind die Konkurrenten?
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bietet online einen Fragenkatalog zu DORA an, der ebenfalls einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung vermitteln soll.