DORA TLPT in Deutschland: Entwicklungen, Zusammenhänge und nächste Schritte

Die Finanzbranche steht vor bedeutenden Veränderungen im Bereich der Cybersicherheit. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) und der Einführung von verpflichtenden Threat-Led Penetration Tests (TLPT) müssen Finanzinstitute ihre digitale Widerstandsfähigkeit nachweisen. Als erfahrener TIBER-Provider möchten wir Ihnen einen Überblick über die aktuellen Entwicklungen, die Zusammenhänge zwischen TIBER und DORA sowie die nächsten wichtigen Schritte geben.

DORA und TLPT: Was bedeutet das für Finanzinstitute?

Der Digital Operational Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten und wird seit dem 17. Januar 2025 offiziell angewendet. DORA ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsstabilität im Finanzsektor zu stärken. Ein zentrales Element von DORA sind die verpflichtenden Threat-Led Penetration Tests (TLPT), die von bestimmten Finanzinstituten alle drei Jahre durchgeführt werden müssen.

Diese Tests sind eine spezifische Form von Penetrationstests, die auf Bedrohungsintelligenz basieren und die kritischen Produktivsysteme von Finanzinstituten prüfen. Dabei werden kontrollierte Cyberangriffe durchgeführt, um die Cyberresilienz zu testen und zu verbessern.

Die Verbindung zwischen TIBER und DORA

Viele Marktteilnehmer fragen sich, wie TIBER (Threat Intelligence-Based Ethical Red Teaming) und DORA TLPT zusammenhängen. Die Antwort ist einfach: TIBER ist die Implementierung von DORA TLPT.

Das aktualisierte TIBER-2025-Rahmenwerk wurde entwickelt, um vollständig mit den DORA-Anforderungen übereinzustimmen. Es ersetzt das bisherige TIBER-2018-Framework und integriert alle regulatorischen Vorgaben von DORA. Die Regulatory Technical Standards (RTS) von DORA wurden „in Übereinstimmung mit TIBER“ entworfen, während TIBER angepasst wurde, um die Anforderungen von DORA und den RTS zu erfüllen.

Konkret bedeutet dies: Finanzinstitute, die einen Test nach dem TIBER-Framework durchführen, erfüllen damit automatisch die DORA-Anforderungen für TLPT, sofern sie die formalen Anforderungen der zuständigen Behörden erfüllen. Das TIBER-EU-Framework kann als Handbuch oder detaillierte Anleitung zur Durchführung von DORA TLPT auf qualitative, kontrollierte und sichere Weise betrachtet werden – einheitlich in der gesamten EU.

Aktuelle Entwicklungen und Zeitplan

Derzeit befinden wir uns in einer wichtigen Übergangsphase:

  • Januar 2025: DORA tritt in Kraft und das aktualisierte TIBER-EU-Framework wurde veröffentlicht
  • Mitte Februar 2025: Die RTS wurden von der Europäischen Kommission angenommen
  • Aktuell: Wir befinden uns in der dreimonatigen Prüfungsphase („Scrutiny Period“) durch das Europäische Parlament und den Rat
  • Mitte Mai 2025: Ende der Prüfungsphase
  • Frühestens Juni 2025: Veröffentlichung der RTS im Amtsblatt der EU und Anwendungsbeginn (20 Tage nach Veröffentlichung)

Die ersten DORA „Identification Letters“ an Institute werden voraussichtlich im Sommer 2025 verschickt. Diese Benachrichtigungen markieren den offiziellen Start der Testphase für die betroffenen Institute.

Änderungen von TIBER-2018 zu TIBER-2025

Das neue TIBER-2025-Framework wurde veröffentlicht, um alle Anforderungen von DORA in den TIBER-Standard von 2018 zu inkorporieren. Dies bringt einige wichtige Änderungen mit sich, vor allem:

  1. Teilnehmer: Es werden mehr Stakeholder am Test beteiligt sein, vor allem die BaFin und/oder EZB. Dies bringt auch Änderungen mit sich wie die Umbenennung des Kickoff-Meetings in Launch-Meeting, welches sich nun ausschließlich auf das Onboarding der Provider konzentriert, und ohne Beteiligung von BaFin oder EZB stattfindet.
  2. Umfassendere Abdeckung: In der Threat Intelligence Long-List müssen nun alle kritischen Funktionen des Instituts abgedeckt werden. Diese Anforderung haben wir in unseren Threat-Intelligence-Tests schon immer befolgt.
  3. Striktere Zeitfristen: In der Closure-Phase werden nun engere Zeitfristen, besonders für die Institute, vorgegeben.
  4. Testtypen: Es gibt nun einige unterschiedliche Arten von Tests, die in TIBER nicht enthalten waren. Davon werden vor allem mehr „normale“ TLPTs und Joint-TLPTs erwartet. Pooled-TLPTs werden nach Einschätzung der Bundesbank seltener vorkommen, da diese vom Institut selbst initiiert werden müssen.
  5. ICT-Dienstleister: Für Banken-ICT-Dienstleister gibt es keine direkten Tests mehr wie bei TIBER, sondern sie werden voraussichtlich in Joint TLPTs geprüft, was komplexere Tests und andere Anforderungen mit sich bringt.

DORA TLPT: Was es ist und was es nicht ist

DORA TLPT ist:

  • Ein regulatorisch vorgeschriebener Test der digitalen Widerstandsfähigkeit
  • Eine kontrollierte Simulation realer Cyberangriffe auf kritische Produktivsysteme
  • Ein Test, der auf Bedrohungsintelligenz basiert und durch Red Teams durchgeführt wird
  • Ein Lernprozess zur Verbesserung der Cyberresilienz

DORA TLPT ist nicht:

  • Ein gewöhnlicher Penetrationstest oder Compliance-Check
  • Eine einmalige Übung ohne Nachbereitung
  • Ein Test, der nur IT-Systeme betrifft (er umfasst auch Prozesse und Menschen)
  • Ein Ersatz für andere Sicherheitsmaßnahmen

Vorteile der TIBER-EU-Implementation für DORA TLPT

Die Nutzung des TIBER-EU-Frameworks für DORA TLPT bietet mehrere Vorteile:

  1. Umfassende Anleitung: TIBER bietet detaillierte Leitlinien und Kontextinformationen für die Durchführung anspruchsvoller TLPTs.
  2. Erfahrung und Wissen: Die TIBER-Community verfügt über umfangreiche Erfahrung in der Durchführung von Tests, was in Best Practices und Lessons Learned resultiert.
  3. Zugang zum TIBER-EU Knowledge Centre: Dieses Forum ermöglicht den Austausch von Wissen und Erfahrungen zwischen nationalen und europäischen TIBER-Behörden.

Freiwillige TIBER-Tests bleiben eine Option

Auch wenn DORA TLPT für bestimmte Institute verpflichtend wird, bleibt die Möglichkeit bestehen, freiwillige TIBER-Tests durchzuführen. Dies kann besonders für Banken-ICT-Dienstleister eine sinnvolle Option sein, die ihre Cyberresilienz proaktiv demonstrieren möchten.

Der TLPT/TIBER-Prozess

Der gesamte TLPT/TIBER-Prozess umfasst drei Hauptphasen:

  1. Vorbereitungsphase (ca. 4-5 Monate):
    • Identifikation und Benachrichtigung
    • Scoping
    • Beschaffung von TI- und RT-Providern
  2. Testphase (ca. 5 Monate):
    • Threat Intelligence (ca. 6 Wochen)
    • Red Team Test (ca. 12 + 2 Wochen)
  3. Abschlussphase (ca. 6 Monate):
    • Berichterstattung und Feedback
    • Ergebnisaustausch und Attestierung

Insgesamt erstreckt sich der Prozess über etwa 15+ Monate, wobei die aktive Red-Team-Testphase mindestens 12 Wochen dauert. Für die Threat-Intelligence-Phase gibt es keine Zeitfristen.

Unsere Expertise als verlässlicher Partner für DORA TLPT

Als erfahrener TIBER-Provider haben wir bereits mehrere Tests nach dem TIBER-Framework erfolgreich durchgeführt. Unsere Expertise umfasst:

  • Umfassende Kenntnis der TIBER-Methodik und -Prozesse
  • Erfahrung in der Durchführung von Threat Intelligence und Red Team Tests
  • Verständnis der regulatorischen Anforderungen von DORA
  • Bewährte Zusammenarbeit mit Finanzinstituten unterschiedlicher Größe und Komplexität

Wir verstehen die Herausforderungen, die mit der Durchführung von DORA TLPT verbunden sind, und können Finanzinstitute durch den gesamten Prozess begleiten.

Die nächsten Schritte für Finanzinstitute und relevante Financial-Service-Provider

Wenn Sie ein Finanzinstitut sind, das möglicherweise unter die DORA-Anforderungen fällt, empfehlen wir folgende Schritte:

  1. Vorbereitung: Beginnen Sie frühzeitig mit der Vorbereitung auf DORA TLPT, indem Sie Ihre kritischen Funktionen identifizieren und dokumentieren.
  2. Ressourcenplanung: Planen Sie die notwendigen Ressourcen und Budgets für die Durchführung eines TLPT ein.
  3. Providerauswahl: Wählen Sie erfahrene TI- und RT-Provider aus, die die DORA/RTS-Anforderungen erfüllen.
  4. Freiwillige Tests: Erwägen Sie freiwillige TIBER-Tests, um Erfahrungen zu sammeln und Ihre Cyberresilienz zu verbessern.

Kontaktieren Sie uns

Haben Sie Fragen zu DORA TLPT oder benötigen Sie Unterstützung bei der Vorbereitung oder Durchführung eines Tests? Haben Sie bereits ein Identifikationsschreiben erhalten oder möchten Sie sich proaktiv auf kommende Anforderungen vorbereiten?

Unser Team aus erfahrenen TIBER-Experten steht Ihnen gerne zur Verfügung. Wir bieten Beratung, Unterstützung und Durchführung von DORA TLPT/TIBER-Tests an, um Ihre digitale Widerstandsfähigkeit zu stärken und regulatorische Anforderungen zu erfüllen.

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Sie auf Ihrem Weg zu mehr Cyberresilienz unterstützen können.