Handlungsbedarf für Finanzunternehmen: Der Digital Operational Resilience Act (DORA) kommt

Informations- und Kommunikationstechnologien sind bei Banken und Versicherungen nicht mehr weg zu denken. Sie führen zu enormen Effizienzgewinnen und zu einer Verbesserung der Kundenzufriedenheit. Insbesondere die Finanzbranche profitiert mit ihren oft grenzübergreifenden Tätigkeiten und der Komplexität ihrer Abläufe von IKT. Funktionsausfälle und Störungen von IKT wirken verheerend und drohen zusammen mit Vernetzungsrisiken umfangreiche Folgen für den gesamten Binnenmarkt zu haben.

Die EU reagiert auf dieses Risiko unter anderem mit dem Digital Operational Resilience Act (DORA) und somit zahlreichen Pflichten für alle Beteiligten zu Gunsten einer Cyber-Resilienz, welche es im Folgenden in den Grundzügen darzustellen gilt.

Die Basics

Bei DORA handelt es sich um eine EU-Verordnung, die am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht wurde. Der DORA entfaltet seine volle Wirkung ab dem 17.01.2025. Betroffene Adressaten haben bis zu diesem Datum Zeit, sich auf die umfassenden anstehenden Veränderungen einzustellen. Mit Blick auf den umfassenden Anpassungsbedarf sind die verbleibenden 16 Monate ein sportliches Zeitfenster.

Kern des DORA ist die Stärkung der Cyber-Resilienz und Cyber-Sicherheit. DORA-Adressaten sehen sich hierfür mit zahlreichen Pflichten zum präventiven Handeln konfrontiert.

DORA soll so dabei helfen, die digitale, operationale Widerstandsfähigkeit des Finanzsektors zu stärken.

Wer ist betroffen?

Betroffen sind Finanzunternehmen, insbesondere Kredit- und Zahlungsinstitute, Wertpapierfirmen, Versicherungen, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler sowie Einrichtungen der betrieblichen Altersversorgung, Art. 2 Abs. 1 DORA. DORA überlagert damit die regulatorischen Vorgaben, mitunter das KWG sowie das BSIG.

Ein Novum ist, dass der DORA IKT-Drittdienstleister unmittelbar erfasst. Bisher erfolgte das über eine vertragliche Weitergabe durch die Finanzunternehmen. Das ergibt Besonderheiten für die Vertragsgestaltung und die Pflichten der Dienstleister.

Was sind die Schlüsselbestimmungen von DORA?

DORA enthält umfangreiche Vorschriften für das IKT-Risikomanagement. Hier sind die für Sie wichtigsten Punkte überblicksweise dargestellt:

• IKT-Risikomanagement: DORA-Adressaten müssen über einen internen Governance- und Kontrollrahmen verfügen, der ein effektives Management von IKT-Risiken ermöglicht. Das Management trägt hierbei die unmittelbare Verantwortung für die Umsetzung dieser Maßnahmen.
• Aktualisierung und Sicherheit: Es müssen stets aktuelle und technologisch widerstandsfähige IKT-Systeme verwendet werden, um Sicherheitsrisiken zu minimieren. Die Vorgabe heißt: Security by Design.
• Prävention, Erkennung, Wiederherstellung: Unternehmen müssen fortlaufend die Sicherheit ihrer IKT-Systeme überwachen und Mechanismen zur Erkennung ungewöhnlicher Aktivitäten implementieren. Besonders relevant ist hierbei die durchzuführende Business-Impact-Analyse.
• Behandlung von IKT-bezogenen Vorfällen: Adressaten des DORA müssen Prozesse zur Erkennung, Behandlung und Meldung von IKT-bezogenen Vorfällen implementieren. Erkannte Vorfälle müssen sodann klassifiziert und Cyberbedrohungen als erheblich oder unerheblich bewertet werden. Im Anschluss bestehen je nach Klassifizierung Benachrichtigungspflichten.
• Aktive Tests: DORA-Adressaten müssen außerdem Programme zur Überprüfung ihrer digitalen operativen Resilienz erstellen, darunter auch Penetrationstests, um Schwachstellen zu identifizieren. Hierfür muss ein risikobasiertes, solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz definiert werden. Penetrationstests sind für systemrelevante Finanzunternehmen alle drei Jahre vorzunehmen.
• Outsourcing: Das Management von Risiken im Zusammenhang mit der Nutzung von IKT-Dienstleistungen von Drittanbietern wird strenger geregelt, um sicherzustellen, dass DORA-Adressaten auch bei Auslagerungen ihren Pflichten nachkommen. Besonders relevant sind in diesem Kontext die vertraglichen Pflichtvereinbarungen, sowie Kündigungsrechte. Bei Vorliegen von kritischen IKT-Drittdienstleistern kann eine Kündigung gar durch die zuständige Behörde erzwungen werden.

Allgemeine Testpflichten

Teile der praxisrelevanten Neuerungen des DORA sind insbesondere die Threat Intelligence und Threat-led Penetration Tests (TLPT). Während TLPT nur für behördlich ausgewählte Finanzinstitute verpflichtend sind, existieren daneben allgemeine Testpflichten, die für alle DORA-Adressaten relevant sind.

Finanzunternehmen  müssen ein solides und umfassendes, risikobasiertes Programm für das Testen der operationellen Resilienz im Rahmen des IKT-Risikomanagementrahmens einführen. Dieses Programm muss hierbei in einem angemessenen Verhältnis zum Unternehmen stehen. Für IKT-Systeme und Anwendungen mit kritischen und wichtigen Funktionen haben Tests jährlich zu erfolgen. Einzubeziehende Tests können hierbei unteranderem umfassen: Schwachstellenbewertungen, Open-Source-Analysen, Quellcodeanalysen und mehr.

Auch Kleinstunternehmen trifft eine Testpflicht, wenn auch in abgeschwächter Form.

Cybersecurity ist Managementaufgabe

Ein Novum ist die strenge Managementhaftung gemäß DORA. Organe von Finanzunternehmen können sich nicht mehr durch Delegation ihrer Verantwortung entledigen. Stattdessen müssen Manager Schulungen zum Thema Cybersecurity absolvieren und sich intensiv mit den Vorkehrungen zum Schutz der eigenen Infrastruktur befassen.

Besonders hingeschaut werden muss zukünftig auch bei der Delegation und Auslagerung von IT-Security-Themen. Im Falle von TLPT sind so beispielsweise IKT-Drittanbieter in die Tests mit einzubeziehen.

Der DORA schreibt außerdem strenge Anforderungen an die Kompetenz von Testern vor. Diese müssen unter anderem von höchster Eignung und Ansehen sein, das technische, organisatorische und spezifische Fachwissen haben sowie von einer Akkreditierungsstelle zertifiziert sein oder formale Verhaltenskodizes oder ethische Rahmenregelungen einhalten.

Was bedeutet DORA für Sie?

Sie sind als Finanzunternehmen oder IT-Dienstleister vom DORA betroffen? Denken Sie frühzeitig an die Gestaltung der notwendigen Kontrollrahmen und Prozesse. Insbesondere bestehende Verträge mit IKT-Drittanbietern müssen gründlich auf eine Zukunftsfähigkeit geprüft werden und bei Bedarf angepasst oder gekündigt werden. IKT-Drittanbieter sollte sich frühzeitig mit den Anforderungen für zukünftige Dienstleistungen auseinandersetzen, um auch in Zukunft wettbewerbsfähig zu bleiben.