Die Uhr tickt immer lauter: Bis zum Inkrafttreten von DORA im Januar 2025 sind es noch rund 125 Arbeitstage. Wer bis jetzt noch nicht mit der Aktualisierung des eigenen Risiko-Regelwerks und der damit verbundenen Prozesse begonnen hat, dürfte mit deren Umsetzung in Systemen und Tools für ganz Europa unter hohen Zeitdruck geraten. Dabei lassen sich Umsetzungsrisiken durch einfache Faktoren minimieren, sodass der Fokus auf den eigentlich kritischen Bestandteilen von DORA liegen kann.
Im Folgenden wollen wir 5 kritische Erfolgsfaktoren eingehen, die die DORA-Umsetzung in der verbleibenden Zeit vereinfachen:
- Ein gutes Team aus den richtigen externen & internen Experten
- Ein pragmatisches Modell zur Bestimmung von Ist- & Soll-Zustand
- Ein klarer Konsens zum Risikoappetit – von der Strategie bis zu den IT-Lösungen
- Ein scharfer Fokus auf das Wesentliche: Mitigation der größten Risiken
- Eine möglichst agile und parallele Umsetzung der DORA Anforderungen
„Ein gutes Team …“
… klingt nach einem geradezu trivialen Erfolgsfaktor, ist jedoch bekanntlich nicht so einfach umzusetzen. So verlockend das „One-Stop-Shop“-Angebot mancher Wirtschaftsprüfer auch klingt, dieses Modell ist bei weitem nicht so effizient wie ein guter Mix aus internen Experten und erfahrenen Beratern – und bei 125 verbleibenden Tagen ist Effizienz unverzichtbar.
Natürlich sollte das ganze „Team DORA“ die Anforderungen gesichtet und verstanden haben. Aufgrund der hohen Komplexität von DORA sind zur Umsetzung nicht nur hervorragende Programm- & Projektleiter samt PMO nötig, sondern auch Experten aus Risiko-Management, Recht, Audit, Compliance und vor allem auch diversen IT-Bereichen nötig. Da gerade diese Ressourcen meist ohnehin schon völlig überlastet sind, benötigen die meisten Unternehmen externe Unterstützung.
Wirtschaftsprüfer sind in der Regel sehr gut darin, Risiken aufzuzeigen. Sie sind daher die Richtigen, um frühzeitig Lösungsansätze mit geringem Risikoappetit zu skizzieren oder eine rechtssichere Beurteilung der umgesetzten Lösung abzugeben. Managementberater hingegen sind in der Regel Effizienzexperten, die Projekte auch bei höchster Komplexität optimal planen, aussteuern und jedes Hindernis umschiffen. Sie sind auch gute Sparringspartner, um möglichst kostengünstige Lösungen für die DORA-Anforderungen zu finden. Aufgrund der rasanten Entwicklung der Angriffsvektoren ist es oft ratsam, die besten White-Heads und IT- & IT-Security-Architekten, die man bekommen kann, in die Konzeption mit einzubeziehen. Da die IT-Implementierung bei DORA aufgrund der späten Veröffentlichung der RTS & ITS im Juli sehr schnell erfolgen muss, sind auch IT-Implementierungsexperten zu empfehlen.
Ein pragmatisches Modell zur Bestimmung von Ist- & Soll-Zustand …
… sollte die vielfältigen Anforderungen von DORA in möglichst wenigen Fähigkeiten prägnant beschreiben – ideal in weniger als 50 und nicht mehr als 150 DORA-Fähigkeiten. Um in jeder Fähigkeit den Ist-Zustand leicht bewerten und den Soll-Zustand im Konsens wählen zu können, sollte jede Fähigkeit in Reifegraden entlang der zentralen DORA-Anforderungen beschrieben werden. Beispielweise würde man die Fähigkeit der Identifikation & Isolation von Cyberangriffen in Reifegrade zerlegen, die nach Möglichkeit, Präzision, Geschwindigkeit und Automation der Identifikation sowie der Isolation gliedern. Die besten DORA-Reifegradmodelle beschreiben in den einfachsten Stufen Szenarien, die bei einem offiziellen Audit wahrscheinlich zu hoch-kritischen Feststellungen (F3/F4) führen würden – und differenzieren zwischen riskanterer Minimalumsetzung über den Mittelweg zur Maximallösung. So fällt es leicht, das Ist zu bewerten und das Ziel anzusteuern.
Ein frühzeitiger, klarer Konsens zum Risikoappetit …
… vermeidet wiederholte Grabenkämpfe bei jeder Ziel-Fähigkeit und spart so viel Zeit, Nerven und Geld. Menschen an sich unterscheiden sich oft signifikant im Risikoappetit – die bei DORA beteiligten Experten von Recht, Audit/Compliance und Risiko-Management sowie Top-Management und IT müssen per Definition geringere und höhere Risikoappetite vertreten. Eine frühzeitige Festlegung des Risikoappetits mit allen Entscheidern ermöglicht dabei im späteren Projektverlauf schneller zu einer Entscheidung für jede einzelne Fähigkeit zu kommen.
„Fokus auf das Wesentliche“ …
… klingt nach trivialen Allgemeinverständnis. Doch der Schein trügt, da die Meinungen zum wirklich Wesentlichen meist weit auseinander gehen – u.a. getrieben durch die oben beschriebene Spannbreite zum Risikoappetit. Dementsprechend gilt es die wesentlichen Kernziele festzulegen. Zur Top-Priorität, hoch-kritische Feststellungen (F3/F4) zu vermeiden, ist man sich meist schnell einig. Aufgrund des kurzen Umsetzungszeitraums für DORA sollten die aufwändigsten Anforderungen mit deutlicher Steigerung des Reifegrads die nächst-höchste Priorität erhalten. Teilweise kann es auch sinnvoll sein eine Interimslösung mit geringerer Reife einer komplexeren Lösung vorzuziehen. Bei knappen Ressourcen und knapper Zeit sollte man das Erreichen höchster Reifegrade möglicherweise zurückstellen, bis man sicher ist, dass die Top-Prioritäten bis zur DORA Deadline im Januar 2025 sicher erreicht sind.
Eine möglichst agile und parallele Umsetzung …
… ist normalerweise kontraintuitiv für gesetzliche Anforderungen. Für DORA bleibt nur sehr wenig Zeit für die Umsetzung – nicht zuletzt aufgrund der späten Sicherheit zu den Detailanforderungen (RTS & ITS), speziell für Anpassungen in der IT. Damit müssen die Pläne für die komplexeren Anforderungen hoch-ambitioniert sein, um rechtzeitig bis zum 17. Januar 2025 fertig zu werden. Somit führt kein Weg an paralleler Umsetzung der Top-Prioritäten vorbei. Eine agile Umsetzung bringt zusätzlich den Vorteil, dass das Backlog (Arbeitsvorrat) die Chance zu einer noch detaillierterer Priorisierung bietet, sodass die wichtigsten Fähigkeiten zur Erfüllung von DORA als erstes fertig werden können – und der Auditor die noch anstehenden Arbeitspakete schon besichtigen kann, ohne dass volle Marktreife erreicht ist. Darüber hinaus bewegt sich die agile Entwicklung von einer Interimslösung zur nächst-besseren. Damit stellt die bereits oben empfohlene Nutzung von Interimslösung keinen Umweg dar, wie bei der Wasserfallentwicklung, sondern ein Inkrementelles Verbessern der DORA-Lösungen.
