Der Digital Operational Resilience Act (DORA) der Europaeischen Union verpflichtet Finanzunternehmen dazu, ihre digitale Betriebsstabilitaet sicherzustellen. Dazu gehoeren fortgeschrittene Testprogramme, um die Widerstandsfaehigkeit gegenueber Cyberangriffen zu pruefen. In diesem Beitrag beschreibe ich die Anforderungen der Artikel 26 und 27 von DORA und erklaere, weshalb Zerberos – meine Einzelfirma unter Leitung von Andriu Isenring (CISSP) – ein vertrauenswuerdiger Ansprechpartner fuer solche Tests ist.

Artikel 26 – Fortgeschrittene Tests via TLPT

Gemaess Artikel 26 muessen Finanzunternehmen – mit wenigen Ausnahmen – mindestens alle drei Jahre Threat‑Led Penetration Tests (TLPT) durchfuehren. Diese Tests konzentrieren sich auf kritische oder wichtige Funktionen auf Live‑Produktionssystemen und beziehen alle zugrunde liegenden IKT‑Systeme ein, auch solche, die an externe Dienstleister ausgelagert sind. Der Umfang der Tests wird von den zustaendigen Behoerden validiert; es ist auch moeglich, dass mehrere Unternehmen gemeinsam mit einem IKT‑Dienstleister einen „gepoolten“ Test durchfuehren. Darueber hinaus fordert DORA ein umfassendes Testprogramm, das auf Risikobewertungen basiert und verschiedene Assessment‑Methoden umfasst.

Artikel 27 – Anforderungen an die Tester

Artikel 27 legt fest, dass die fuer TLPT eingesetzten Pruefer hoechsten Anspruechen genuegen muessen. Sie sollen ueber ausgezeichnete technische und organisatorische Faehigkeiten in den Bereichen Threat Intelligence, Penetration Testing und Red Teaming verfuegen und von einer Akkreditierungsstelle zertifiziert sein. Zudem muessen sie unabhaengige Audit- oder Assurance-Berichte vorlegen und eine Berufshaftpflichtversicherung haben. Wenn interne Teams eingesetzt werden, ist eine Genehmigung durch die zustaendige Behoerde notwendig; die Organisation muss nachweisen, dass genuegend Ressourcen vorhanden sind, Interessenkonflikte ausgeschlossen werden und dass die Bedrohungsinformationen von einem externen Anbieter stammen. Als Einzelfirma verfuege ich ueber die CISSP-Zertifizierung und langjaehrige Erfahrung in diesen Bereichen; bei Bedarf arbeite ich mit unabhaengigen Threat-Intelligence-Anbietern zusammen.

Was beinhalten diese Tests?

Threat‑Led Penetration Tests sind mehr als klassische Schwachstellenanalysen. Sie beginnen mit Scoping‑Dokumenten und einer Informationsbeschaffungsphase, gefolgt von realitätsnahen Angriffssimulationen durch ein rotes Team. Ein Pflichtbestandteil ist die Purple‑Team‑Phase, in der Angreifer und Verteidiger zusammenarbeiten, um Erkenntnisse direkt in die Sicherheitsüberwachung einzuspeisen. Nach Abschluss der Tests müssen Ergebnisse detailliert dokumentiert und den Regulatoren gemeldet werden. DORA sowie die technischen Regulierungsstandards schreiben außerdem die Dual‑Vendor‑Regel vor: Der Anbieter der Bedrohungsinformationen und der Red‑Team‑Dienstleister dürfen nicht identisch sein.

Zusätzlich zu TLPT können je nach Risikoappetit weitere Übungen wie Schwachstellenanalysen, szenariobasierte Table‑Top‑Übungen oder physische Social‑Engineering‑Tests Teil des Testprogramms sein.

Zielgruppe und Anforderungen

DORA gilt für ein breites Spektrum von Finanzunternehmen: Banken, Versicherungen, Zahlungs‑ und E‑Geld‑Institute, Wertpapierfirmen, Krypto‑Dienstleister sowie zentrale Gegenparteien und bestimmte Informations‑ und Kommunikationstechnologie‑Dienstleister. Diese Einrichtungen müssen ein risikobasiertes Testprogramm etablieren, das regelmäßig wiederholt wird, alle kritischen Funktionen abdeckt und mit den zuständigen Behörden abgestimmt ist. Die Ergebnisse der Tests müssen in Geschäfts‑ und IT‑Risiko‑Management‑Prozesse einfließen.

Warum Zerberos der ideale Partner ist

Zerberos verfügt über jahrelange Erfahrung in Penetrationstests, Red‑Team‑Übungen und Sicherheitsberatung. Unsere Experten sind international zertifiziert (u.  a. CISSP) und erfüllen damit die hohen Anforderungen an Eignung und Reputation, die Artikel 27 verlangt. Wir arbeiten mit akkreditierten Threat‑Intelligence‑Anbietern zusammen und garantieren durch unsere Berufshaftpflichtversicherung rechtliche Sicherheit.

Als Schweizer Cybersecurity‑Spezialist bieten wir maßgeschneiderte Scoping‑Workshops, führen TLPT inklusive Purple‑Team‑Phasen durch und unterstützen Sie bei der Berichterstattung gegenüber Aufsichtsbehörden. Dank unseres mehrsprachigen Teams (Deutsch, Englisch, Italienisch) begleiten wir Kunden in der gesamten DACH‑Region sowie in Italien und bieten transparente Kommunikation und umfassende Abschlussberichte.

Fazit

DORA hebt die Bedeutung von realitätsnahen Cyber‑Resilienz‑Tests auf ein neues Niveau. Artikel 26 und 27 setzen strenge Anforderungen an das Testprogramm und die beteiligten Dienstleister. Mit Zerberos haben Sie einen erfahrenen Partner an Ihrer Seite, der diese Anforderungen versteht und erfüllt. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihre digitale Betriebsstabilität stärken können.