News

DORA – so wirkt der Digital Resilience Act auf die Finanzbranche

Der von der Europäischen Kommission geplante Digital Operational Resilience Act (DORA) umfasst viele neue Vorschriften. Sie verfolgen das Ziel, die digitale Betriebsstabilität im Finanzsektor auf EU-Ebene zu vereinheitlichen.

Die Vorgaben stimmen teilweise mit Vorschriften bereits bekannter Regularien überein. Mit DORA werden bereits bestehende Regularien wie der MaRisk/BAIT, MaGo/VAIT oder den EBA-Guidelines konsolidiert und vereinheitlicht.

DORA betrifft Finanzunternehmen und IKT-Drittanbieter (z. B. Cloud Provider). Sie ist am 17.1.2023 formell in Kraft getreten und muss mit einer Frist von 24 Monaten bis zum 17.1.2025 von den circa 20.000 in der EU betroffenen Unternehmen und Behörden implementiert werden.

Was ist DORA?

Die digitale Betriebsstabilität ist die Fähigkeit von Finanzunternehmen operative Systeme mit IT-Technologie aufzubauen, zu gewährleisten und zu überprüfen. Eine Vielfalt an IKT-Kompetenzen wird sichergestellt, indem Dienste von Drittanbietern direkt oder indirekt genutzt werden. Die Qualifikationen sind erforderlich, um die ausreichende Sicherheit der eingesetzten Netz- und Informationssysteme zu ermöglichen und die störungsfreie Erbringung von Finanzdienstleistungen zu unterstützen. Informations- und Kommunikationstechnologien (IKT) dürfen nicht durch betriebliche Störungen (z. B. Cyberangriffe oder technische Ausfälle) gefährdet werden. Deshalb sollten Finanzunternehmen auf alle denkbaren Beeinträchtigungen und Bedrohungen in der IT vorbereitet sein, um Zwischenfälle zu überstehen. (In Anlehnung an: EUR-lex)

Warum ist DORA wichtig?

Im Kontext der aktuellen Warnungen vor einem gestiegenen Risiko für Cyberangriffe durch das BSI ist die Gefährdungslage im Cyberraum weiterhin sehr hoch. Dies wird durch die beinahe täglich auftretenden Angriffe auf Unternehmen in Deutschland und weltweit immer deutlicher.
Anfang diesen Jahres wurden die Webseiten der dänischen Zentralbank durch DDos-Attacken lahmgelegt und im Mai 2023 die eine Versicherung in Frankreich angegriffen. In Deutschland war im März ein Rückversicher von eine GoAnywere-Hack betroffen. weitere aktuelle Sicherheitsvorfälle listet diese Seite auf. Zur Anzahl der IT-Ausfälle bei deutschen Banken gibt es nur die bekannte Zahl von mehr als 300 IT-Ausfällen wie das Handelsblatt bereits 2019 berichtete.

Solche Vorfälle passieren nicht nur in Deutschland, sondern in allen EU-Ländern. Aufgrund der engen Verflechtungen der europäischen Finanzwelt braucht es einheitliche Vorschriften zur Stärkung der IKT-Sicherheit hinsichtlich der digitalen Betriebsstabilität. Bisher gibt es nur nationale Regularien und Überwachungskonzepte. Einige Länder regeln Prozesse und Maßnahmen per Vorschrift verpflichtend, die in anderen Ländern freiwillig sind. Zudem gelten unterschiedliche Maßstäbe an Berichte und Definitionen. Das erschwert auch die länderübergreifende Zusammenarbeit. Dort kommt es zu Überschneidungen, mangelnden Übereinstimmungen oder Doppelanforderungen bei der Aufrechterhaltung der Betriebsstabilität und IKT-Sicherheit (z. B. beim Schutz vor Cyberangriffen).

Welche Ziele hat der Rechtsakt?

Die nationalen Finanzaufsichtsbehörden in der EU und die europäischen Aufsichtsbehörden wollen mit dem Digital Operational Resilience Act den Schutz von Unternehmen aus der Branche erhöhen und die Regeln für die digitale Betriebsstabilität in der Europäischen Union (EU) vereinheitlichen. DORA ermöglicht das Sammelsurium verschiedener Rechtsvorschriften zur IT-Sicherheit endlich in einem Rechtsakt zu bündeln. Das verbessert das IKT-Risikomanagement der Finanzunternehmen und begrenzt die negativen Folgen von IKT-Vorfällen.

Die Prüfungspflicht für IKT-Systeme soll den Überwachungsorganen die Gefahr für Cyberrisiken und IKT-Vorfälle bewusst machen. Das Konzept sieht vor, die Finanzaufsichtsbehörden (z. B. der Europäischen Bankenaufsichtsbehörde, EBA) mit einer einheitlichen Verantwortung sowie umfassenden Befugnissen auszustatten. Sie können die Risiken, die auf die Abhängigkeit der Finanzunternehmen von IKT-Drittanbietern zurückzuführen sind, am besten überwachen. Der Rechtsentwurf schafft identische Rahmenbedingungen für den gesamten Finanzsektor. Geltende Standards und Praktiken minimieren die Risiken. Damit ermöglicht der DORA eine Erhöhung der Wettbewerbsfähigkeit und Innovation des europäischen Finanzsektors. Gleichzeitig werden potenzielle Risiken reduziert.

Die drei Kernziele von DORA:

  1. Vereinheitlichung bestehender europäischer und nationaler Standards und Vorgaben, um doppelte Anforderungen und uneinheitliche Regelungen für europaweit tätige Finanzunternehmen zu beenden.
  2. Sicherstellung, dass Finanzunternehmen alle notwendigen Maßnahmen zur Absicherung gegen Cyberrisiken und -angriffe treffen. Dazu formuliert DORA einheitliche Anforderungen für das IT-Risikomanagement, Meldungen von Vorfällen an die Aufsichtsbehörden, die Durchführung von Belastbarkeitstests sowie die Steuerung und Überwachung von IKT-Drittanbietern.
  3. Etablierung eines Rechtsrahmens für die direkte Überwachung von IT-Drittanbietern durch die Aufsichtsbehörden, wenn diese für Finanzunternehmen tätig sind.

Wen betrifft DORA?

Die Regelungen gelten für alle regulierten Finanzunternehmen in den Mitgliedsstaaten der EU gleichermaßen.

Der Geltungsbereich umfasst nach Artikel 2 (1) folgende Beteiligte:

  • Finanzunternehmen wie Kredit- und Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Verwaltungsgesellschaften, Handelsplätze, verschiedene Register, Versicherungsunternehmen und -vermittler, Ratingagenturen, Wirtschaftsprüfungsgesellschaften etc.
  • IKT-Drittanbieter wie Unternehmen, die digitale Dienste und Datendienste erbringen, Cloud- und Software-Anbieter, Datenanalysedienste und Rechenzentren

Private Cloud Bank Case Study

Welche Folgen hat DORA für Drittanbieter und Finanzunternehmen?

Die ITK-Drittanbieter (auch Third Party Provider oder kurz TPP) rücken mit DORA stärker in den Fokus. Die Lieferanten bringen wie die Finanzunternehmen im Rahmen ihrer Digitalisierungsanstrengungen die Infrastrukturen voran. Sie bauen Netzwerke und Systeme aus, um ihre Dienste zu erbringen. Das bedeutet mehr Angriffsflächen für Cyberattacken und ein steigendes Risiko für sie selbst und die Finanzunternehmen.

Mit DORA werden die Drittanbieter in die IKT-Risikobewertung integriert. Darüber hinaus werden für Finanzunternehmen und Aufsichtsbehörden neue Berechtigungen gegenüber den Providern initiiert, Strafzahlungen eingeführt sowie neue Kündigungsoptionen wegen Nichteinhaltung geschaffen. Bei kritischen Drittanbietern (alle Lieferanten, bei denen eine Betriebsstörung systemische Auswirkungen für das Finanzunternehmen hätte, z. B. Cloud-Anbieter) werden im Rahmen der Auslagerung nur noch Lieferanten mit einer Geschäftspräsenz in der EU erlaubt sein.

Als Managed Cloud Solution Provider betreffen die neuen Regelungen auch Adacor. Mit Sitz in Deutschland und dem sicheren Betrieb ausschließlich in deutschen Rechenzentren erfüllen wir die oben genannte Anforderung. Wir bieten Finanzunternehmen sichere, performante und aufsichtskonforme Cloud-Services für Banken und Cloudlösungen für Versicherungen. Dabei gewährleisten wir eine Nutzung gemäß eines Auslagerungsvertrages, der allen Anforderungen der BaFin und der Europäischen Bankenaufsicht (EBA) gerecht wird. Bei der Leistungserbringung erfüllen wir die Vorgaben aus MaRisk, MaComp, BAIT/VAIT, der wesentlichen Auslagerung nach KWG, der EU Deligiertenverordnung 2017/565 und DORA.

Als Drittanbieter werden wir mit dem Inkrafttreten von DORA verpflichtet, das Auslagerungsregister als Teil des Risikomanagements mit allen Auslagerungen und Weiterverlagerungen (Sub-Outsourcing) offenzulegen und kritische Auslagerungen proaktiv zu melden. Laut dem EU-Kommissionsvorschlag sollen alle bestehenden Auslagerungsvereinbarungen angemessen dokumentiert werden.

Für Finanzunternehmen bedeutet DORA ebenfalls eine Reihe neuer Vorgaben. Die meisten Banken, Fintechs, Versicherungen und Co. werden ihre Prozesse im Risikomanagement überarbeiten müssen. Um beispielsweise die Konzentration von Risiken zu vermeiden, werden viele ihre Bestandsanbieter überprüfen und kritische IKT-Drittanbieter herausfiltern müssen. Bei Drittanbietern, welche die neuen Anforderungen nicht erfüllen, ist gegebenenfalls ein Dienstleisterwechsel in Betracht zu ziehen.

Ein wichtiges Novum stellt der zu verpflichtende Ausgliederungsbeauftragte dar. Mit diesem werden zahlreiche Verantwortlichkeiten im Rahmen der IKT-Sicherheit verbindlich auf das Management (z. B. bei der Geschäftsleitung) übertragen:

  • Festlegung der Risikotoleranz
  • Definition von Verantwortlichkeiten mit IT-Bezug
  • Verabschiedung von Business-Continuity- und Desaster-Recovery-Plänen
  • Freigabe der Audit-Pläne
  • Vergabe angemessener Budgets
  • Verpflichtung, über Geschäfte mit Drittparteien und Störfälle ausreichend informiert zu sein

Um diese Aufgaben adäquat erfüllen zu können, sind Mitglieder der Geschäftsleitung künftig per Gesetz verpflichtet, sich im Hinblick auf IT-Risiken grundlegend schulen zu lassen. Das geht deutlich über die bisherigen Fortbildungspflichten für das höhere Management hinaus.

Mit DORA werden Finanzunternehmen verpflichtet, Notfallstrategien und -pläne zur Fortführung des Geschäftsbetriebs zu entwickeln. Selbst Firmen, die bereits viele der IKT-Risikomanagement-Anforderungen erfüllen, sollten überprüfen, ob die Reaktions- und Wiederherstellungsstrategien und -pläne den erweiterten Regeln entsprechen.

Die Strategien und Plänen müssen einen Krisenkommunikationsplan für Kunden und weitere von einem IKT-Vorfall Geschädigte beinhalten. Damit wird eine verantwortungsbewusste Offenlegung von IKT-Vorfällen jeglicher Art möglich. Der Rechtsakt gibt klare Kriterien vor, mit denen sich IKT-Vorfälle klassifizieren lassen. Ein kritischer IT-Vorfall muss zentral und innerhalb vorgegebener Fristen an die zuständige Behörde sowie an die Nutzenden gemeldet werden, wenn deren Interessen berührt sein könnten.
Um das Bewusstsein für IKT-Risiken zu schärfen, die Ausbreitung einzudämmen, die Abwehrmaßnahmen von Finanzunternehmen und die Technologien zu fördern, mit denen sich Bedrohungen frühzeitig erkennen lassen, können Finanzunternehmen künftig Vereinbarungen treffen, um sich über Cyberbedrohungen auszutauschen.

DORA bedeutet für Finanzunternehmen und Drittanbieter höhere Aufwände. Die Initiative bietet aber auch die Chance, die IKT-Sicherheit im Finanzsektor zu erhöhen und gleichzeitig die Gefahren für Cyberangriffe zu reduzieren.

Überprüfen Sie jetzt die Folgen mit unserem Whitepaper

Finanzunternehmen und Drittanbieter sollten jetzt handeln

Im Rahmen der Digitalisierungsbemühungen in der Finanzbranche kommt dem Einsatz von IKT eine große Bedeutung zu. Digitale Prozesse sind im Finanzwesen überall zu finden: zum Beispiel die bargeldlose Zahlung via Onlinebanking, das Angebot finanzspezifischer Leistungen per App, der elektronische Börsenhandel oder die Abwicklung von Darlehens- und Finanzierungsgeschäfte über das Internet. Neben der digitalen Transformation treiben die neuen Technologien die Vernetzungen und Abhängigkeiten innerhalb der Branche sowie von Infrastrukturen der Drittanbieter voran.

DORA greift die dazugehörigen Herausforderungen auf und orientiert sich an der Zielvorstellung, die Anforderungen hinsichtlich der IKT-Risiken zu konsolidieren, die bis dato in einzelnen Verordnungen und Richtlinien gesondert behandelt wurden.
Der neue Rechtsakt betrifft auch Adacor. Als erfahrener Managed Cloud Solution Provider unterstützen wir seit vielen Jahren Finanzinstitute bei wesentlichen und unwesentlichen Auslagerungen und erfüllen schon jetzt alle bekannten Maßnahmen im Hinblick auf den Digital Operational Resilience Act. Die Anforderungen an Finanzunternehmen und IKT-Drittanbieter sind nicht zu unterschätzen. Daher empfehlen wir angesichts der enormen rechtlichen Veränderungen den betroffenen Unternehmen sich möglichst jetzt schon kritisch zu prüfen und Umstellungen frühzeitig auf den Weg zu bringen.