Einblick in die DORA-Werkstatt

Wie gehen eigentlich ITler und Methodiker vor, wenn sie den Auftrag haben, ein DORA-Umsetzungsprojekt auszugestalten?

In den letzten Wochen haben wir uns intensiv mit dem Regelwerk beschäftigt und uns einen ersten DORA-Überblick verschafft. Wir haben außerdem festgestellt, dass das Regelwerk ein reichliches Duzend Begleitdokumente umfasst und die Zeit zum Lesen und Studieren mehr als knapp ist.

Wir müssen also eine effiziente Strategie für einen guten Projektansatz finden - und die geht "Datenbasiert"!

Dazu haben wir das komplette Regelwerk (inkl. aller RTS, ITS und GL) in ein strukturiertes Datenformat überführt und nutzen nun die ganze Magie von Excel für eine automatisierte Suche und Visualisierung von potentiellen Projektartefakten. Ein riesengroßes Dankeschön geht an Andreas Hofmann und Andreas Götz ! Ihr habt mit eurem VBA Kung-Fu eine super Grundlage für die weitere inhaltliche Arbeit gelegt!

Mithilfe einer automatisch generierten Wortliste haben wir die wichtigsten Artefakt-Typen des Regelwerkes identifiziert. Darunter finden sich Highlights wie z.B. strategy, policy, procedure, process, approach, methods, assessments und viele weitere spannende Buzzwords.

Mit diesen Schlagworten durchsuchen wir nun sekundenschnell den gesamten Datensatz, um alle wesentlichen Artefakte hervorzuheben, die die BaFin später von uns erwarten könnte.

Vor ein paar Wochen hatte ich eine erste, manuell erzeugte Übersicht über die wichtigsten Strategies, Policies und Procedures gepostet. Mit unserem neuen Ansatz werden wir das Ergebnis verifizieren und ich bin gespannt, wie viele Elemente ich in der ersten Runde übersehen habe.

Ich bin überzeugt, dass wir nun ein äußerst effizientes Vorgehen gefunden haben, das uns wahrscheinlich wochenlange Arbeit mit dem Textmarker erspart hat und die Grundlage für eine inhaltlich vollständige Projektplanung bildet.

Und wie geht es dann weiter? Die eigentliche Projektarbeit beginnt - wir müssen uns mit den konkreten Anforderungen zu den Artefakten beschäftigen und die Lücken in unseren internen Prozessen, Tools und Regelungen identifizieren.

Beispielsweise sehen wir bereits heute neue Anforderungen an die DOR-Strategie, die über die Anforderungen an eine IT-Strategie nach BAIT hinaus gehen und auch die Anforderungen an das Leitungsorgan enthalten zusätzliche Aufgaben, die so konkret bislang nicht formuliert waren.

Für diese Anforderungen müssen die jeweilen Fachexperten in den nächsten Monaten Lösungen erarbeiten. Und das wird eine echte Herausforderung, denn die thematische Spannweite der DORA-Verordnung ist enorm. Ein erstes Mapping zu den ISO 27001-Domänen verdeutlicht diese Komplexität.

Neben den High-Level-Anforderungen werden auch sehr konkrete technische Anforderungen formuliert, die wir nicht zentral umsetzen können. Vielmehr bedarf es einer breit aufgestellten Projektorganisation, die sich dezentral mit der Identifikation von Lücken und dem Design von organisatorischen und technischen Lösungen beschäftigt.

Viel zu tun also - packen wir es an.

#DORA #CyberResilience #Anforderung #ITCompliance #CyberSecurity #Informationssicherheit