DORA – wie die EU die Finanzwelt sicherer machen will

DORA ist in der Finanzwelt in aller Munde. Die Verordnung nimmt uns mit in eine Zukunft, in der Ausfälle und Datenlecks dann der Vergangenheit angehören. Digitale Resilienz ist das Ziel, doch der Weg dahin ist steinig und die Zeit bis zur Umsetzung knapp, denn ab dem 17.01.2025 findet die EU-Verordnung schon Anwendung.

Einführung

Am 16. Januar 2023 ist der Digital Operational Resilience Act (DORA) in Kraft getreten. DORA ist ein Gesetz, das die betriebliche Widerstandsfähigkeit in Finanzunternehmen stärken soll. Damit sollen bestehende nationale Standards EU-weit vereinheitlicht werden.

DORA befähigt und veranlasst Finanzunternehmen wie Kreditinstitute, Wertpapierfirmen oder Versicherungsunternehmen, effektiv auf digitale Störungen und Bedrohungen reagieren zu können. Dies ist von zunehmender Bedeutung, da die Geschäftsabläufe von Finanzunternehmen heutzutage fast ausschließlich digitalisiert vonstattengehen. So könnte beispielsweise eine Cyberattacke gravierende Auswirkungen auf das laufende Geschäft nach sich ziehen. Außerdem nimmt DORA speziell Non-Financial Risks (NFR) ins Visier, wohlwissend, dass diese im Risikomanagement von Finanzunternehmen zunehmend an Bedeutung gewinnen.

Mit den fünf Säulen von DORA soll in Bezug auf digitale und Cyber-Resilienz ein widerstandsfähigeres Finanzsystem geschaffen werden.

Im Einzelnen: die Säulen von DORA

IKT-Risikomanagement

Finanzunternehmen sollen über einen „geeigneten Rahmen“ für die Steuerung und Kontrolle der digitalen operativen Belastbarkeit ihrer Informations- und Kommunikationstechnik (IKT) verfügen. Dieser Rahmen umfasst interne Leitlinien und Governance-Regelungen. Zu den klassischen Informations- und Kommunikationstechniken zählen u. a. der Einsatz von Soft- und Hardware sowie von Clouddiensten. Auch „Over-the-top“-Dienste fallen unter den Begriff „IKT“.

Der Rahmen muss detaillierte Strategien enthalten, die die Identifizierung und Prävention von Risiken berücksichtigen. Im gesamten DORA gilt ein sogenannter risikobasierter Ansatz.

Um diesen „geeigneten Rahmen“ für die Steuerung und Kontrolle der digitalen operativen Resilienz zu gewährleisten, muss das Finanzunternehmen eine spezielle verantwortliche Stelle schaffen.

Umgang mit IKT-bezogenen Vorfällen

Digitale Pannen passieren. DORA legt eine Standardmethode zur Klassifizierung solcher Vorfälle fest. Finanzunternehmen müssen die Vorfälle nach „bedeutend“ und „nicht bedeutend“ bewerten. Sind die Vorfälle bedeutend, müssen sie nach DORA zeitnah den Aufsichtsbehörden gemeldet werden.

Prüfung der digitalen operativen Resilienz

Resilienz ist das Kernthema von DORA. Es geht um die Belastbarkeit der Systeme. In regelmäßigen Abständen – mindestens alle drei Jahre – müssen Finanzunternehmen die Systeme einem Test zur Sicherheit und Ausfallsicherheit unterziehen. Bei den Tests festgestellte Schwachstellen müssen vollständig behoben werden. Auf Basis der gewonnenen Erkenntnisse aus den Tests sind spezifische Präventionsmaßnahmen in Berichten und Plänen festzulegen.

IKT-Drittanbieter

DORA verschärft die Pflicht, Dienstleister mit IKT-Bezug zu überwachen. Dazu schreibt das Gesetz verschiedene Maßnahmen vor. So müssen zum Beispiel bestehende sowie neue Verträge mit IKT-Dienstleistern neuen, komplexen Anforderungen genügen. In der Praxis bedeutet das, dass alle Dienstleisterverträge identifiziert, nach Wichtigkeit beziehungsweise Kritikalität der betroffenen Dienstleistung klassifiziert und je nach Ergebnis anzupassen sind. Da Verträge immer mehr als eine Partei betreffen, kann dies einen immensen Verhandlungsaufwand nach sich ziehen.

Zudem muss das Finanzunternehmen ein Register über alle vertraglichen Vereinbarungen mit den IKT-Drittanbietern führen und auf Anfrage der Aufsichtsbehörde vorlegen.

Informationsaustausch

DORA ermutigt Finanzunternehmen, sich an einem freiwilligen Informationsaustausch in den zulässigen Grenzen über Cyberbedrohungen zu beteiligen. Hierbei können hilfreiche Informationen zu Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools ausgetauscht werden. Insbesondere das Kartellrecht könnte je nach Art der Informationen und der Empfänger Grenzen setzen [siehe hierzu auch Informationsaustausch und Kartellrecht– nicht neu, aber immer wieder aktuell].

Was kommt auf betroffene Finanzunternehmen zu?

Die Implementierung von DORA bedeutet je nach Ist-Zustand des betroffenen Unternehmens einen erheblichen Identifizierungs- und Implementierungsaufwand.

Zunächst sollten Finanzunternehmen durch Durchführung einer Gap-Analyse die Lücken zwischen dem aktuellen Ist-Zustand in Bezug auf Cyberresilienz und den Vorgaben gemäß DORA identifizieren. Dafür müssen Kerndokumente und Prozesse geprüft werden – stets in enger Abstimmung mit den verantwortlichen Fachbereichen im Unternehmen (in der Regel u. a. die Bereiche Informationssicherheit, IT und Compliance).

Anschließend ist eine zielgerichtete Roadmap inklusive Timeline zur DORA-Compliance zu erstellen, mit dem Ziel, die identifizierten Lücken zu schließen. Die Leitungsorgane der Finanzunternehmen haben dabei eine zentrale und aktive Rolle zu wahren.

Die Punkte aus der Roadmap sind sodann in die Tat umzusetzen – Prozesse sind zu gestalten, Richtlinien und weitere Dokumente wie das Informationsregister zu erstellen, Verträge zu prüfen, anzupassen und erforderlichenfalls zu verhandeln. Zudem sind regelmäßige Tests zur Prüfung der digitalen operationalen Resilienz durchzuführen.

Ob man das händisch und einzig mit den vorhandenen internen Kapazitäten stemmen kann, ist fraglich. Hinzu kommt der Zeitdruck, denn die Anforderungen der Verordnung müssen am 17.01.2025 umgesetzt sein.

Kontaktpersonen: Dr. Ansgar Becker, Mona Kohl, Martina Lipke