EFS Consulting
13.02.2023

Individuelle Resilienz und Enterprise Architecture Management

Die EU-Verordnung „Digital Operational Resilience Act“ (DORA) ist Anfang des Jahres 2023 in Kraft getreten. 

Am 28. November 2022 wurde der Rechtsakt DORA vom Europäischen Rat angenommen. Am 16. Jänner 2023 ist die EU-Verordnung zur digitalen Resilienz in Kraft getreten, mit dem Ziel finanzielle Risiken für Konsumenten zu begrenzen, welche durch den Ausfall digitaler Finanzsysteme eintreten können.  

DORA verpflichtet die von der Verordnung betroffenen Unternehmen zur Einrichtung und ständigen Verbesserung ihrer IKT (Informations- und Kommunikationstechnologie) Systeme. Zudem normiert sie für die betroffenen Unternehmen Meldepflichten und sieht eine Überprüfung von IKT-Drittdienstleistern vor. 

Der Geltungsbereich umfasst neben Finanzunternehmen wie unter anderem Kredit- und Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Verwaltungsgesellschaften, Handelsplätze, verschiedene Register, Versicherungsunternehmen und -vermittler, Ratingagenturen, Wirtschaftsprüfungsgesellschaften auch IKT-Drittanbieter wie Unternehmen, die digitale Dienste und Datendienste erbringen, Cloud- und Software-Anbieter, Datenanalysedienste und Rechenzentren. Folglich sind hiervon die großen Tech-Giganten aus den USA wie Microsoft, IBM, Amazon (AWS) oder Google ebenfalls betroffen. 

Durch DORA werden von Finanzunternehmen folgende Maßnahmen verlangt: 

  • Interne Verwaltungs- und Kontrollrahmen zur Gewährleistung von wirksamem und umsichtigem Management von IKT-Risiken 
  • Festlegung, Genehmigung und Überwachung des IKT-Risikomanagementrahmen vom Leitungsorgan   
  • Umfassenden und gut dokumentierten IKT-Risikomanagementrahmen (incl. Strategien, Richtlinien, Verfahren, IKT-Protokolle)  
  • Entwicklung geeigneter Reaktions- und Wiederherstellungsstrategie  
  • Jährliche Prüfung des IKT-Risikomanagementrahmen (muss bei Anfrage der Finanzdienstleistungsaufsichtsbehörde vorgelegt werden) 
  • Zuverlässige, angemessen konzipierte, ausreichend dimensionierte und technisch stabile Informations- und Kommunikationstechnologie 

Die betroffenen Finanzunternehmen müssen Verfahren und Strategien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests aufgedeckten Probleme einführen und interne Validierungsmethoden festlegen, um sicherzustellen, dass alle festgestellten Schwächen, Mängel oder Lücken vollständig behoben werden 

 

Eine erfolgreiche und nachhaltige Umsetzung der notwendigen Maßnahmen erfordert ein Zusammenspiel von Mensch, Enterprise Architecture Management und DORA!

Welchen Stellenwert nimmt der Mensch in dieser Thematik ein und kann es digitale Resilienz überhaupt ohne Berücksichtigung des Menschen geben – oder stellt genau dies ein Risiko dar?  

Diese Fragen haben sich Liliana Simon, MSc (Partnerin EFS Unternehmensberatung), Dr. Hannes Lischka (Unternehmensberater) und Dipl. Ing. Andreas Pirkner (Enterprise Architect, Erste Asset Management GmbH) in ihrem Artikel „Individuelle Resilienz und Enterprise Architecture Management“, erschienen im Dezember 2022 im GRC aktuell: Governance – Risiko – Compliance – Management ; Fachzeitschrift für nachhaltige Unternehmensführung, gestellt.
 

Im Spannungsfeld: Mensch – DORA – Enterprise Architecture Management  

Der Begriff Resilienz wurde in den letzten Jahrzehnten in der Disziplin der Psychologie stark erforscht und hat in den vergangenen Jahren auch in anderen Fachgebieten immer mehr an Bedeutung gewonnen. Individuelle Resilienz in seiner ursprünglichen Bedeutung beschreibt die Widerstandsfähigkeit eines Menschen in Krisensituationen und beinhaltet damit die Kompetenz, seine Handlungsfähigkeit in schwierigen Situationen zu wahren und mit neuer Kraft aus diesen hervorzugehen.

Studien zeigen, dass Resilienz in Menschen nicht ausreichend entwickelt ist und daher digitale Resilienz nicht erwartet werden kann, ohne den essenziellen Erfolgsfaktor Mensch einzubeziehen. Somit braucht es zur erfolgreichen Realisierung von DORA neben Technologie und Prozessen auch ein ganzheitliches Bild, um Menschen Orientierung zu geben.

Dies bietet neben Angeboten zur Persönlichkeitsentwicklung und Resilienz auch Enterprise Architecture Management (EAM).  

Enterprise Architecture bildet das Fundament für eine adaptive Governance durch eine übersichtliche und transparente Darstellung der Abhängigkeiten zwischen der IT-Landschaft, bestehend aus Anwendungen, Daten und Technologien und der Unternehmenslandschaft. Zudem bietet EAM einen soliden Ordnungsrahmen zur Orientierung. Enterprise Architecture ist daher optimal geeignet, um alle Aspekte der digitalen Resilienz in der DORA-Verordnung greif- und planbar zu machen. 

Zur vollen Ausgabe der Zeitschrift mit dem Artikel gelangen Sie HIER

Mehr zur Business Area
Information Technology

Insights

Wie man EAM in einer digitalen Welt nachhaltig gestaltet