Seit die EU mit strengeren Cybersicherheitsanforderungen auf die steigende Bedrohungslage reagiert hat – man denke an das FINMA-Rundschreiben, den Cyber Resilience Act (CRA) und an NIS2 –, gewinnt die operationelle Resilienz national wie international rasant an Bedeutung. Zu Recht. Von den verschärften Anforderungen betroffen sind nicht nur regulierte Sektoren oder Betreiber kritischer Infrastrukturen (KRITIS). DORA richtet sich auch an ein breites Spektrum von Organisationen aus dem Finanz- und IKT-Bereich. Doch was bedeutet operationelle Resilienz für Ihr Unternehmen? Und welche Richtlinien sind bei der Umsetzung von Massnahmen zu beachten? Fragen über Fragen, die wir in diesem Beitrag beantworten und darüber hinaus praxisnahe Empfehlungen zur Umsetzung in Ihrem Unternehmen mitliefern.
Operationelle Resilienz betrifft schon lange nicht mehr nur den Finanzsektor. Wie wir kürzlich in einem Blogartikel zur NIS2-Richtlinie aufgezeigt haben, gelten (ab Oktober 2024) für viele Unternehmen, die in der Europäischen Union (EU) tätig sind, insbesondere auch im Bereich der operationellen Resilienz, deutlich verschärfte, verpflichtende Massnahmen.
Es folgt der verpflichtende Cyber Resilience Act (CRA), mit Anforderungen für Produkte mit digitalen Elementen, die in der EU auf den Markt gebracht werden. Es ist davon auszugehen, dass ähnliche Anforderungen künftig auch in der Schweiz folgen werden.
Schaut man sich die Entwicklung der operationellen Resilienz der letzten Jahre an, wird deutlich, dass es sich keineswegs um ein neues Thema handelt. Ganz im Gegenteil. Die operationelle Resilienz gegen Betriebsstörungen, wie z. B. bei einem Cyberangriff, können von existenzieller Bedeutung sein. In England beispielsweise werden seit 2014 regelmässig Angriffssimulationen im Finanzsektor (bekannt als CBEST) durchgeführt. Die Resultate haben dazu geführt, dass das Thema Resilienz in den Fokus der zuständigen Aufsichtsbehörden gerückt ist. Die Aufsichtsbehörden haben Vorgaben erlassen.
Operationelle Resilienz ist ein Wettbewerbsvorteil
Die operationelle Resilienz einer Organisation hat einen erheblichen Einfluss auf das Vertrauen von bestehenden und potenziellen neuen Kunden. Wenn ein Ausfall einen Geschäftsverlust bedeutet oder Ausfälle länger dauern bzw. häufiger vorkommen, leidet die Reputation des Unternehmens. Kunden vertrauen dem Unternehmen weniger und geben möglicherweise der Konkurrenz den Vorzug.
Was ist operationelle Resilienz?
Operationelle Resilienz ist die Fähigkeit, Betriebsstörungen von Unternehmen zu verhindern, sich anzupassen, darauf zu reagieren, davon zu erholen und daraus zu lernen.
Oder etwas ausführlicher formuliert:
«Unter operationeller Resilienz versteht man die Fähigkeit einer Organisation, nachteiligen Störungen wie Cyberangriffen, Naturkatastrophen, Lieferkettenproblemen oder technischen Ausfällen standzuhalten, sich an sie anzupassen und sich davon zu erholen. Es geht darum, auf das Unerwartete vorbereitet zu sein – von Stromausfällen über Pandemien bis zu Cyberangriffen – und sicherzustellen, dass das Unternehmen auch bei solchen Herausforderungen weiter funktioniert.» |
Für Unternehmen geht es also um die gesamtheitliche (holistische) Betrachtung aller Aktivitäten und Massnahmen, die notwendig sind, um Auswirkungen aufgrund von Betriebsstörungen (nicht nur BCM-Szenarien) möglichst gering zu halten. Somit ist die Geschäftstätigkeit im Idealfall nur unbedeutend bzw. gar nicht beeinträchtigt.
In der erwähnten NIS2-Richtlinie der EU findet sich keine explizite Definition des Begriffs. Unternehmen sollten eine allgemein gültige Definition (beispielsweise die oben aufgeführte) als Grundlage für die Umsetzung der Massnahmen zur Erreichung der Konformität zur Richtlinie nehmen.
Wie erlangen Sie operationelle Resilienz?
Operationelle Resilienz lässt sich mit einem strukturierten Vorgehen erreichen. Mit Vorteil haben Sie sich bereits mit Cybersicherheit und insbesondere mit Business Continuity Management (BCM) auseinandergesetzt. Sie haben dadurch bereits Grundlagen geschaffen und erste Abklärungen sind erfolgt. Nachstehend ein mögliches Vorgehen, das Sie in Ihrem Unternehmen anwenden können:
- Identifikation der Kunden: Welches sind Ihre wichtigsten Kunden, was sind deren Bedürfnisse?
- Identifikation der Produkte und Dienstleistungen: Welches sind die wichtigsten Produkte und Dienstleistungen für Ihre Kunden?
- Identifikation der Prozesse: Welches sind die wichtigsten Prozesse, welche Ressourcen benötigen diese Prozesse, welche Abhängigkeiten haben diese Prozesse?
- Identifikation der Systeme und Daten: Welches sind die wichtigsten digitalen Systeme, Infrastrukturen und Daten, die die Prozesse unterstützen?
- Identifikation der beteiligten Dienstleister: Gibt es Dienstleister, die an der Wertschöpfungskette der Produkte und Dienstleistungen beteiligt sind?
- Identifikation von Bedrohungen und Risiken: Welche Bedrohungen (Szenarien) können sich negativ auf die Prozesse und Systeme auswirken? Welche (inhärenten) Risiken gibt es?
- Durchführen von Tests: Führen Sie für die ermittelten Bedrohungen (Szenarien) und Risiken regelmässige Tests durch, um mögliche Schwachstellen und Fehlerquellen zu erkennen und um die Reaktion auf Vorfälle einzuüben.
- Kontinuierliche Optimierung: Stellen Sie sicher, dass Sie Vorfälle und Fehler analysieren und daraus Erkenntnisse zur kontinuierlichen und nachhaltigen Verbesserung von Prozessen und Systemen gewinnen.
- Messung von Prozessen und System: Führen Sie Metriken ein, um Prozesse und Systeme zu messen bzw. auf Abweichungen vom Normalzustand zu überwachen, um frühzeitig mögliche Probleme zu erkennen.
Welche rechtlichen Vorgaben zur operationellen Resilienz gilt es zu beachten?
Sie sollten (als international tätige Organisation für jedes Land) prüfen, welche rechtlichen Vorgaben es zu beachten gilt. Bei Unklarheiten sind diese mit (lokalen) Expert*innen zu klären. Nachstehend haben wir einige der wichtigsten rechtlichen Vorgaben, die Unternehmen die in der Schweiz und/oder EU tätig sind, aufgeführt.
In der Schweiz bestehen zurzeit folgende rechtlichen Vorgaben:
- FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken»
- Revidierte Stromversorgungsverordnung (StromVV)
- IKT-Minimalstandards (kritische Infrastrukturen)
- Resilienz in den Liefer- und Dienstleistungsketten
Für in der EU aktive Unternehmen können auch folgende rechtlichen Vorgaben relevant sein:
- Network and Information Security Directive 2 (NIS2)
- Digital Operational Resilience Act (DORA) («lex specialis» für den Finanzsektor)
- Cyber Resilience Act (CRA)
Operationelle Resilienz im Finanzsektor
Der Finanzsektor ist stark reguliert und hat sich schon früh dem Thema der operationellen Resilienz angenommen. Die Aufsichtsbehörden erwarten, dass Finanzunternehmen ihren Kunden jederzeit wichtige Dienstleistungen erbringen und Störungen widerstehen können.
Die Eidgenössische Finanzmarktaufsicht definiert im FINMA-Rundschreiben 2023/1 die «operationelle Risiken und Resilienz – Banken» wie folgt:
«Operationelle Resilienz bezeichnet die Fähigkeit des Instituts, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können. Das heisst, die Fähigkeit des Instituts, Bedrohungen und mögliche Ausfälle zu identifizieren, sich davor zu schützen und darauf zu reagieren, bei Unterbrechungen den ordentlichen Geschäftsbetrieb wiederherzustellen und daraus zu lernen, um die Auswirkungen von Unterbrechungen auf die Erbringung der kritischen Funktionen zu minimieren. Ein operationell resilientes Institut hat sein Betriebsmodell so aufgebaut, dass es in Bezug auf seine kritischen Funktionen dem Risiko von Unterbrechungen weniger ausgesetzt ist. Die operationelle Resilienz verringert somit nicht nur die residualen Risiken von Unterbrechungen, sondern auch das inhärente Risiko, dass es zu Unterbrechungen kommt. Ein effektives Management der operationellen Risiken trägt dazu bei, die operationelle Resilienz des Instituts zu stärken.» |
DORA und FINMA-Rundschreiben: Mit umfassendem Wissen Non-Konformität vermeiden
Für Finanzunternehmen, die ihre Dienste in der Europäischen Union anbieten, ist der «Digital Operational Resilience Act» (DORA) massgebend. DORA zielt darauf ab, einen einheitlichen Ansatz für die Abschwächung von IKT-bezogenen Vorfällen zu schaffen und sicherzustellen, dass der Sektor bei einer schweren Betriebsstörung widerstandsfähig bleiben kann.
Die DORA-Verordnung ist ein «lex specialis» für den Finanzsektor und hat als spezielles Gesetz Vorrang vor der NIS2-Richtlinie als allgemeinem Gesetz.
Folgende Definition findet sich in der DORA-Verordnung:
«Digitale operationale Resilienz ist die Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschliesslich bei Störungen, unterstützen.» |
Nachstehend ein kurzer (unverbindlicher) Vergleich ausgewählter Elemente vom FINMA Rundschreiben 2023/1 mit der DORA-Verordnung:
FINMA-Rundschreiben 2023/1
|
DORA-Verordnung
|
|
Geltungsbereich
|
Schweiz
|
Europäische Union
|
Zielgruppen
|
Gilt für alle Arten von Finanzinstituten, die in den Zuständigkeitsbereich der FINMA fallen, darunter Banken, Versicherungen und Effektenhändler. |
Gilt für den gesamten EU-Finanzsektor, einschliesslich Banken, Versicherungen, Wertpapierfirmen und kritischen Drittanbietern von IKT. |
Scope
|
Gesamtheitliches Management der operationellen Risiken inkl. Management von IKT-Risiken, Cyberrisiken, Business Continuity Management (BMC) und operationeller Resilienz. |
Operationelle Resilienz. |
Governance
|
Strukturen und Rollen für das gesamtheitliche Management von operationellen Risiken. |
Fokus der Governance auf das Management von IKT-Risiken, Verantwortlichkeit auf Vorstandsebene. |
Vorfalls-Management
|
Verfahren zur Erkennung, Meldung und Verwaltung von Zwischenfällen, inkl. Notfallplänen. |
Standardisierte Meldeverfahren für Vorfälle und Anforderungen an die Durchführung von Tests. |
Risiko-Management
|
Gesamtheitlicher Ansatz für das Management operationeller Risiken. |
Fokus auf das Management von IKT-Risiken und der kontinuierlichen Überwachung. |
«Third Party»- Risiken
|
Due-Diligence und Überwachung der «Third Party»-Geschäftsbeziehung. |
Detaillierte Anforderungen für das Management von «Third Party»-Risiken, inkl. Vorgaben für vertragliche Verpflichtungen und kontinuierliche Überwachung. |
Durchführen von Tests
|
Regelmässige Sicherheitstests und Schwachstellenbewertungen. |
Umfassende Ausfallsicherheitstests, einschliesslich Penetrations- und Szenario- basierter Tests. |
Sowohl das FINMA Rundschreiben 2023/1 als auch die DORA-Verordnung zielen darauf ab, die operationelle Resilienz des Finanzsektors zu erhöhen, allerdings mit unterschiedlichen Schwerpunkten und Reichweiten. Das FINMA-Rundschreiben bietet einen umfassenden Ansatz für das Management operationeller Risiken, einschliesslich der Gewährleistung der Cybersicherheit, für den Schweizer Finanzsektor.
Die DORA-Verordnung fokussiert speziell auf die digitale operationelle Resilienz des EU-Finanzsektors mit detaillierten Anforderungen an das IKT-Risikomanagement und die Aufsicht durch Dritte. Finanzinstitute, die beide Regelwerke berücksichtigen, müssen ihre Risikomanagementpraktiken anpassen, um beide Vorschriften zu erfüllen. Sie müssen eine robuste operative Resilienz gewährleisten. Die Ähnlichkeiten und Überschneidungen zwischen den beiden Regelwerken verdeutlichen den Trend zur Verbesserung der operationellen Resilienz und zum Management von IKT-Risiken im Finanzsektor.
Das FINMA-Rundschreiben 2023/1 trat am 1. Januar 2024 in Kraft. Bis zum 31. Dezember 2025 müssen sämtliche darin festgelegten Anforderungen erfüllt sein. Die DORA-Verordnung ist in allen EU-Ländern ab dem Inkrafttreten, das für den 17. Januar 2025 geplant ist, anwendbar.
Unternehmen, die unter die Regulierungen des Finanzsektors fallen, tun gut daran, sich umfassend mit den Anforderungen des FINMA-Rundschreibens sowie der DORA-Verordnung auseinanderzusetzen, um allfällige Nicht-Konformitäten zu vermeiden.
Ermitteln Sie den Reifegrad Ihrer operationellen Resilienz
Werden Sie jetzt aktiv und erfahren Sie, wie Ihr Unternehmen für die Sicherstellung der operationellen Resilienz aufgestellt und was noch zu tun ist. Mit unserem Gap-Assessment erhalten Sie einen Überblick über mögliche Abweichungen von den Mindestanforderungen in Ihrer IT-Sicherheitsstrategie.
Damit noch nicht genug: Denn von unseren Spezialist*innen erhalten Sie auch konkrete technische, organisatorische und personelle Handlungsempfehlungen sowie Vorschläge zur Umsetzung von Sofortmassnahmen.
Nehmen Sie Kontakt mit uns auf und verschaffen Sie sich Klarheit über die operationelle Resilienz Ihrer Organisation. Profitieren Sie von einem durch unsere Expert*innen durchgeführten Gap-Assessment und starten Sie gelassen in die Umsetzung der erforderlichen Massnahmen.
Konkrete Sicherheitsmassnahmen umsetzen
In einer Zeit, in der die digitalen Technologien sich rasant weiterentwickeln, ist eine rundum sichere IT-Umgebung das Fundament für jede Organisation. Unsere Sicherheitsexpert*innen stehen Ihnen gerne zur Seite, sei es mit unseren Risk Management & Compliance Services oder mit den 24/7 Cyber Defence & Incident Response Services aus unserem ISO 27001-zertifizierten Cyber Defence Center in der Schweiz.