Der Digital Operational Resilience Act (DORA) verändert den Ansatz für das IKT-Risikomanagement und die Cybersicherheit grundlegend. Während früher eine Kombination aus Dokumenten, Tabellenkalkulationen und einmaligen Audits genügte, wird heute ein kontinuierliches, verwaltetes und nachweisbares System erwartet.
In diesem Zusammenhang ist Excel, so weit verbreitet und praktisch es auch ist, nicht mehr ausreichend.
Excel ist oft der erste Schritt. Es ist schnell, zugänglich und die meisten Menschen wissen, wie man es benutzt. Für grundlegende Vermögensaufzeichnungen oder eine einfache Risikoliste kann es funktionieren. Das Problem entsteht, wenn eine Organisation beginnt, die eigentlichen Anforderungen von DORA zu erfüllen. Diese beruhen nicht auf einer einmaligen Tabellenkalkulation, sondern auf einem langfristigen, nachhaltigen Prozess. Die Einhaltung von DORA ist kein Projekt, das einmal abgeschlossen wird. Sie ist ein lebendiger Mechanismus, der sich ständig an Veränderungen in der IT-Umgebung, der Organisationsstruktur und den aktuellen Bedrohungen anpasst.
In einer solchen Umgebung werden die Grenzen von Excel schnell deutlich. Daten werden veraltet, einzelne Dateien weichen voneinander ab und niemand ist sich sicher, welche Version die richtige ist. Es gibt keine einzige Quelle der Wahrheit. Sobald sich ein Vermögenswert, ein Prozess oder ein Risiko ändert, muss diese Änderung an mehreren Stellen berücksichtigt werden, was in der Praxis oft nicht der Fall ist.
An dieser Stelle macht spezialisierte Software wie cybreg Sinn. Es geht nicht nur um die Aufzeichnung, sondern um die Verwaltung. Erfahren Sie hier mehr über den Ansatz: cybreg.dora
Von der Registrierung bis zur Verwaltung
Eines der typischen Probleme bei Excel ist, dass die Organisation nicht genau weiß, was sie schützen soll. Es gibt zwar Vermögenswerte, Prozesse und deren Verknüpfungen, aber sie sind nicht systematisch miteinander verbunden. In cyberreg werden diese Beziehungen direkt im System modelliert. Jedes Asset hat einen Eigentümer, einen Wert und eine Verbindung zu bestimmten Prozessen. So können Sie sofort erkennen, welche Teile des Unternehmens kritisch sind und welche Auswirkungen ein Ausfall dieser Teile hätte.
Ein weiteres typisches Szenario ist die Arbeit mit Risiken. In Excel werden Risiken oft isoliert erfasst und ihre Bewertung erfolgt manuell. Sobald sich z.B. der Wert eines Assets oder die Wahrscheinlichkeit einer Bedrohung ändert, muss alles neu berechnet werden. In cybreg sind die Risiken mit Vermögenswerten und Prozessen verknüp ft und das System berechnet automatisch die sich daraus ergebenden Werte auf der Grundlage von Auswirkungen und Wahrscheinlichkeiten.
Beweise statt Chaos
Ein weiterer großer Unterschied zu Excel ist die Arbeit mit Nachweisen und Audits. In Tabellen fehlt oft eine klare Historie der Änderungen und Nachvollziehbarkeit. Bei Audits ist es dann schwierig, Informationen in E-Mails oder älteren Versionen von Dateien aufzuspüren. Cybreg hingegen führt einen vollständigen Prüfpfad, einschließlich der Versionierung von Dokumenten, Änderungsmaßnahmen und Verantwortlichkeiten. Jede Änderung ist nachvollziehbar und belegbar.
Eine Realität anstelle von mehreren Excel
Gleichzeitig befassen sich Organisationen in der Praxis nicht nur mit einer einzigen Vorschrift. DORA überschneidet sich oft mit NIS2, ISO 27001 oder GDPR. In Excel bedeutet dies Duplizierung und ständiges Überschreiben von Daten. Mit Cybreg können Sie eine Maßnahme erfassen und sie gleichzeitig auf mehrere Regelwerke abbilden. Dadurch wird der Verwaltungsaufwand erheblich reduziert und die Datenkonsistenz erhöht.
Fahren statt verfolgen
Ein weiterer großer Unterschied zeigt sich in den Bereichen, in denen eine aktive Verwaltung und nicht nur die Führung von Aufzeichnungen erforderlich ist.
Ein typisches Beispiel ist das Lieferantenmanagement. DORA legt großen Wert auf Drittparteien und deren Risiken. Cybreg verbindet Lieferanten mit Vermögenswerten und Prozessen und ermöglicht es zum Beispiel, Konzentrationsrisiken zu erkennen, wenn mehrere kritische Bereiche von einem Lieferanten abhängen.
Das Incident Management funktioniert auf ähnliche Weise. Anstelle von statischen Tabelleneinträgen bietet es eine cybreg-Verwaltung des gesamten Prozesses, einschließlich Status, Verantwortlichkeiten und Verknüpfungen zu Assets.
Übersicht in Echtzeit
DORA erfordert die Fähigkeit, jederzeit den aktuellen Status nachzuweisen. Nicht nur die Details, sondern das große Ganze.
Cybreg bietet Dashboards und Berichte, die den Status von Risiken, die Umsetzung von Maßnahmen oder das Niveau der Compliance in Echtzeit anzeigen. Darüber hinaus können Berichte in den von der Aufsichtsbehörde geforderten Formaten erstellt werden, zum Beispiel für die CNB.
Fazit
Obwohl DORA keine bestimmte Technologie vorschreibt, zeigt es deutlich, dass Tabellen nicht ausreichen. Unternehmen benötigen ein System, das Daten miteinander verbindet, die Zusammenarbeit ermöglicht, für Nachvollziehbarkeit sorgt und auf Änderungen in Echtzeit reagieren kann.
Excel ist nach wie vor ein guter Ausgangspunkt. Sobald sich eine Organisation jedoch auf die tatsächliche Implementierung von DORA zubewegt, ist es eher ein Hindernis als eine Lösung.
