DORA Readiness

Die europäische Finanzlandschaft entwickelt sich rasant und wird geprägt durch regulatorische Bestimmungen wie dem neuen Digital Operational Resilience Act (DORA). Compliance mit DORA ist ein strategisches Gebot für EU-Finanzinstitute und nicht optional. Doch was bedeutet DORA-Compliance genau und welche Rolle spielen Testdaten dabei?

DORA: Mehr als nur Compliance

DORA ist eine wegweisende Verordnung, die darauf abzielt, die digitale operationale Resilienz des EU-Finanzsektors zu vereinheitlichen und zu stärken. Sie führt einen umfassenden Rahmen für das Management von Risiken im Bereich Informations- und Kommunikationstechnologie (IKT), die Meldung von Vorfällen, Resilienztests und das Management von IKT-Drittanbieterrisiken ein. Die Nichteinhaltung kann zu erheblichen Strafen und Reputationsschäden führen.

Diese Bestrebungen stehen im Einklang mit anderen kritischen EU-Vorschriften wie der NIS2-Richtlinie und der Datenschutz-Grundverordnung (DSGVO).

Die entscheidende Rolle von Testdaten bei der DORA-Compliance

Anders als die DSGVO, die Pseudonymisierung und Anonymisierung beschreibt (Art. 4 Nr. 5 DSGVO und Erwägungsgrund 26 DSGVO), nimmt DORA nicht direkt Bezug auf Testdaten. Nichtsdestotrotz wird in Anbetracht folgender Abschnitte klar, dass entsprechend sicheren, qualitativ hochwertigen Testdaten im Rahmen von DORA eine signifikante Bedeutung zukommt:

• IKT-Risikomanagement (DORA Kapitel II): DORA schreibt einen umfassenden Rahmen für das IKT-Risikomanagement vor. Die Verwendung von Produktionsdaten für Tests birgt erhebliche Datenschutzrisiken und erweitert die Angriffsfläche. Sichere, synthetische oder ausreichend anonymisierte Testdaten reduzieren diese Risiken drastisch und stellen sicher, dass die Testumgebungen kein Schwachpunkt in der gesamten Cybersicherheitslage sind.
• Tests der digitalen operationalen Resilienz (DORA Kapitel IV): DORA verlangt regelmässige und umfassende Tests der IKT-Systeme und -Tools, einschliesslich Threat-Led Penetration Testing (TLPT) für kritische Entitäten. Hochwertige, repräsentative und dennoch nicht-sensible Testdaten sind unerlässlich, damit diese Tests effektiv und realistisch sind, ohne sensible Informationen zu kompromittieren.
• Management von IKT-Drittanbieter-Risiken (DORA Kapitel V): Bei der Zusammenarbeit mit externen Partnern für Entwicklung, Tests oder Wartung ist der sichere Austausch und die Nutzung von Testdaten von grösster Bedeutung. Die Verwendung synthetischer oder anonymisierter Testdaten mindert das Risiko, dass sensible Kunden- oder proprietäre Daten offengelegt oder von Dritten missbraucht werden. Dies ist besonders relevant, da DORA die Aufsicht über kritische Drittanbieter ausweitet und zudem ein Schlüsselfaktor zur Sicherstellung der DSGVO-Compliance ist.

Implikationen für Ihre Testdatenmanagement-Strategie

Aus den obigen Ausführungen geht klar hervor, dass das Testdatenmanagement (TDM) an und für sich ein wichtiger Erfolgsfaktor für DORA Readiness und Compliance ist, da es das Risiko von Datenschutzverletzungen, Systemausfällen und Sicherheitslücken reduzieren kann. Ein professionelles und modernes TDM sollte auf Folgendes abzielen:

• Sichere und gleichzeitig realitätsnahe Testdaten: Ermöglicht hohe Testvalidität durch produktionsnahes Testing ohne das Risiko regulatorischer Verletzungen.
• Hohe Verfügbarkeit der Testdaten: Ermöglicht breiter abgestütztes und skaliertes Testing für bessere Testabdeckung, auch bei zunehmender Komplexität.

• Automatisierte Testdatengenerierung: Ermöglicht Effizienzgewinne im Testing sowie Last- und Performance-Tests, da grosse Testdatenmengen bereitgestellt werden können.

Eine geeignete Testdatenlösung kann ein entscheidender Enabler sein. Damit dies gelingt, sollte Folgendes bei ihrer Auswahl beachtet werden:

• Toolauswahl an Use Cases ausrichten: Ermöglicht Umsetzung technischer und organisatorischer Schutzmassnahmen, welche die DORA-Compliance unterstützen.
• Hohe Flexibilität hinsichtlich Anwendbarkeit: Ermöglicht die Anwendung in verschiedenen Projekten und Umgebungen (z. B. durch flexible Anonymisierungs-/Synthetisierungsregeln) und minimiert Kosten bei der Umsetzung regulatorischer Vorgaben.
• Hohe Benutzerfreundlichkeit: Unterstützt breite und häufige Nutzung im Self-Service über verschiedene Stakeholder-Gruppen hinweg.

Fazit

Für die DORA-Einhaltung sind sichere Testdaten und ein professionelles TDM entscheidende Elemente. Eine gezielte Investition in diese Bereiche minimiert nicht nur DORA-Compliance-Risiken, sondern verbessert auch Prozesse und Systeme, was echte digitale operationale Resilienz und nachhaltige Wettbewerbsvorteile schafft. Mit den Chancen, die sich durch qualitative Testdatenverbesserung und Automatisierung ergeben, wird auch ein Nutzen im operativen Tagesgeschäft erzielt. Dies zeigt sich in erhöhter Datenverfügbarkeit, Entlastung der Organisation und nicht zuletzt in Kosteneinsparungen.

SPF Solutions – der Partner für erfolgreiches Testdatenmanagement im Banking

SPF Solutions verfügt über ein Team von TDM-Experten mit langjähriger Erfahrung in der Konzeption, Analyse und Umsetzung von Testdatenlösungen.

Gerne stehen wir Ihnen als Sparringspartner zur Verfügung, um über die aktuelle TDM-Situation und die Herausforderungen Ihrer Organisation zu sprechen.