DORA et labora

Die neue EU-Verordnung zur Stärkung der digitalen operationellen Resilienz für Finanzunternehmen, kurz DORA, verlangt einigen Unternehmen vieles ab.Wer ist betroffen und was gibt es zu tun? Diese Fragen kläre ich in meinem Blog-Beitrag.

DORA ist seit dem 17.1.2023 in Kraft, aber erst zwei Jahre später verpflichtend.Die Einführung der DSGVO verlief ähnlich – zuerst die Einführung und etwas später die Pflicht zur Einhaltung.

Wer das Thema nun direkt zur Wiedervorlage für das Jahr 2025 legen möchte, sollte sich an die hektischen Monate vor dem DSGVO-Stichtag erinnern und besser jetzt schon prüfen, wie relevant DORA für das Unternehmen tatsächlich ist, denn für manche Unternehmen bringt die neue Verordnung voraussichtlich eine Menge Arbeit mit sich.

Was ist mit „digitaler operationeller Resilienz“ gemeint?

Finanzunternehmen müssen funktionieren! Dies wird durch robuste IKT-Systeme, Prozesse und Vereinbarungen mit Dienstleistern sichergestellt.

Die Norm formuliert diesen Sachverhalt etwas komplexer: Digitale operationelle Resilienz bezeichnet „die Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen.“ (Art. 3 Punkt 1 DORA).

Was wird durch DORA geregelt?

DORA schafft „einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen“ (Art. 1 Abs. 1 DORA). Dazu zählen:

• 1. Anforderungen für Finanzunternehmen bezüglich.

  • a. IKT-Risikomanagement
  • b. Meldung schwerwiegender IKT-bezogener und zahlungsbezogener Vorfälle und – auf freiwilliger Basis – erheblicher Cyberbedrohungen an die zuständigen Behörden
  • c. Tests der digitalen operationalen Resilienz
  • d. Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen
  • e. Maßnahmen für das solide Management des IKT-Drittparteienrisikos

• 2. Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen.
• 3. Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister für Finanzunternehmen.
• 4. Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden und Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden.

Wer sind die handelnden Akteure?

Übergreifend gibt es drei aktive Parteien:

• 1. Finanzunternehmen
• 2. IKT-Drittdienstleister
• 3. Aufsichtsbehörden

Finanzunternehmen

Die Anforderungen der DORA-Verordnung (Art. 2 Abs. 1) gelten für alle

• Kreditinstitute
• Zahlungsinstitute
• Kontoinformationsdienstleister
• E-Geld-Institute
• Wertpapierfirmen
• Anbieter von Krypto-Dienstleistungen
• Zentralverwahrer
• Handelsplätze
• Transaktionsregister
• Verwalter alternativer Investmentfonds
• Verwaltungsgesellschaften
• Datenbereitstellungsdienste
• Versicherungs- und Rückversicherungsunternehmen
• (Rück-)Versicherungsvermittler
• Einrichtungen der betrieblichen Altersversorgung
• Ratingagenturen
• Schwarmfinanzierungsdienstleister und weitere

Die betroffenen Finanzunternehmen lassen sich in zwei Gruppen sortieren:

1. Finanzunternehmen, die bereits hohe BaFin-Anforderungen an Informationssicherheit erfüllen müssen (Banken, Versicherungen, Zahlungsdienstleister, Kapitalverwaltungsgesellschaften).

Diese Unternehmen kennen die geltenden „aufsichtlichen Anforderungen an die IT“ der BaFin (xAIT) und besitzen typischerweise funktionierende Managementsysteme für Informationssicherheit, Risiken, Notfälle und Dienstleister und betreiben ein abgestimmtes IT-Servicemanagement.

DORA ergänzt die bereits vorhandenen Themenbereiche um verschiedene Aspekte. Die Herausforderung besteht darin, die neuen Anforderungen zu bewerten und passgenau in die vorhandenen Managementsysteme zu integrieren.

2. Finanzunternehmen, die bisher nur eine Grundabsicherung zu gewährleisten haben.

Hier gilt es, einen kompletten Durchlauf über alle Anforderungen durchzuführen. Bewährt haben sich hierfür sogenannte Readiness Checks, die durch gezielte Fragestellungen eine strukturierte Abarbeitung der Anforderungen ermöglichen, um daraus Maßnahmenpläne zu entwickeln.

Die Norm definiert Verhältnismäßigkeitsschwellen, um die Aufwände für Finanzunternehmen erfüllbar zu halten.

Dementsprechend gibt es,

• Kleinstunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz beziehungsweise -bilanzsumme zwei Millionen Euro nicht überschreitet.
• Kleinunternehmen, die zehn oder mehr, aber weniger als 50 Personen beschäftigen und deren Jahresumsatz beziehungsweise -bilanzsumme zwei Millionen Euro, aber nicht zehn Millionen Euro überschreitet.
• mittlere Unternehmen, die zwischen 50 und 250 Personen beschäftigen und deren Jahresumsatz 50 Millionen Euro und/oder deren Jahresbilanzsumme 43 Millionen Euro nicht überschreitet.
• alle Unternehmen, die die Anforderungen an mittlere Unternehmen übertreffen.

Insbesondere Kleinstunternehmen profitieren von einem vereinfachten IKT-Risikomanagementrahmen und sind unter anderem nicht dazu verpflichtet, eine Funktion zur Überwachung der IKT-Drittdienstleistervereinbarungen einzurichten, den IKT-Risikomanagementrahmen mindestens einmal jährlich zu überprüfen, regelmäßig Risikoanalysen von IKT-Altsystemen vorzunehmen, eine Krisenmanagementfunktion festzulegen, redundante IKT-Kapazitäten zu unterhalten und ein umfassendes Programm für Tests der digitalen operationalen Resilienz einzurichten.

Alle anderen Finanzdienstleister müssen diese und weitere Anforderungen erfüllen.

Finanzunternehmen müssen für alle Beschäftigten und gegebenenfalls für IKT-Drittdienstleister verpflichtende Schulungen zur IKT-Sicherheit und zur digitalen operationalen Resilienz entwickeln und regelmäßig durchführen. Die Schulungen müssen komplex und den „jeweiligem Aufgabenbereich angemessen“(Art. 13 Abs. 6 DORA) sein.

IKT-Drittdienstleister

Neben den betroffenen Finanzunternehmen nimmt DORA auch deren Dienstleister in die Pflicht, eine stabile Dienstleistungserbringung zu gewährleisten. Ein IKT-Drittdienstleister ist gemäß Art. 3 Nr. 19 DORA „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“.

IKT-Dienstleistungen sind „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“ (Art. 3 Nr. 19 DORA).

Die Definition ist recht weit ausgelegt, daher ist eine beidseitige Transparenz empfehlenswert. Finanzunternehmen müssen ihre relevanten IKT-Dienstleister kennen und IKT-Dienstleister sollten sich darauf vorbereiten, für welche Kunden sie DORA-Anforderungen erfüllen müssen.

Der Vollständigkeit halber sei gesagt, dass Finanzunternehmen, die „vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, […] jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach dieser Verordnung und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich“ bleiben (Art. 28 1 a DORA).

Finanzunternehmen müssen also sicherstellen, dass ihre IKT-Dienstleister (und auch deren Subdienstleister) ordentlich arbeiten und das sogenannte „IKT-Drittparteienrisiko“ managen.

Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Bei der Ausübung der Zugangs-, Inspektions- und Auditrechte in Bezug auf den IKT-Drittdienstleister bestimmen Finanzunternehmen auf der Grundlage eines risikobasierten Ansatzes vorab die Häufigkeit von Audits und Inspektionen sowie die zu prüfenden Bereiche.

Finanzunternehmen stellen außerdem sicher, dass vertragliche Vereinbarungen definierte Mindeststandards erfüllen und gekündigt werden können, zum Beispiel bei zu hohen Risiken. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, müssen Ausstiegsstrategien und -pläne eingerichtet werden.

Aufsichtsbehörden

DORA ist zwar veröffentlicht, aber noch nicht vollständig konkretisiert worden. Zum 17.1.2024 beziehungsweise ein halbes Jahr später werden von der europäischen Bankenaufsicht technische Regulierungsstandards bereitgestellt, unter anderem zu den Themen:

• Netzwerksicherheit
• Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten
• Kontrollen von Zugangs- und Zugriffsrechten
• Erkennung anomaler Aktivitäten und Überwachung anomalen Verhaltens sowie Reaktionsprozesse
• IKT-Geschäftsfortführungsplanung
• Überprüfung des IKT-Risikomanagementrahmens
• Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
• Meldungen über schwerwiegende IKT-bezogene Vorfälle
• Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT
• Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos
• Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten

Außerdem wird die europäische Bankenaufsicht eine Einstufung vornehmen, die IKT-Drittdienstleister als kritisch klassifiziert und somit besonders überwacht werden. Abschließend werden auch Rahmenbedingungen für Sanktionen festgelegt.

Zum einen werden die EU-Mitgliedstaaten dazu verpflichtet, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam beaufsichtigen. Darüber hinaus sollen Geldbußen unter Berücksichtigung der Umstände des Einzelfalls „wirksam, verhältnismäßig und abschreckend“ (Art. 50 Abs. 3 DORA) sein. Ebenso können Behörden jegliche „Art von Maßnahme, auch finanzieller Art“ (Art. 50 Abs. 4 c DORA) ergreifen, um Finanzunternehmen zu zwingen, Verstöße gegen die DORA-Vorgaben zu beheben, beziehungsweise um Verhaltensweisen, die nach Ansicht der zuständigen Behörde den DORA-Bestimmungen zuwiderlaufen, einzustellen.

Fazit

Auch wenn heute noch Detailfragen offenbleiben, ist die Zielsetzung von DORA eindeutig.Die Erfüllung aller Anforderungen ist komplex und setzt ein Zusammenspiel von verschiedenen Unternehmensfunktionen voraus. Für Finanzunternehmen und IKT-Dienstleister ist es daher wichtig, frühzeitig folgende Schritte einzuleiten:

• 1. Anforderungen bewerten und Erfüllungsgrad feststellen
• 2. Handlungsfelder identifizieren
• 3. Roadmap erstellen
• 4. Arbeitspakete umsetzen
• 5. Soll-Ist-Vergleich durchführen

… und nicht voll erfüllte Anforderungen als IKT-Risiko erfassen, was ganz im Sinne von DORA ist.