DORA ist da: EU macht Tempo bei Cyber-Resilienz

EU macht Tempo mit DORA

"Digital Operational Resilience Act" (DORA) ist in Kraft getreten

veröffentlicht am 19.01.2023 | Lesezeit: ca. 6 Minuten

Keyfacts:

  • Das EU-Parlament hat am 27. November 2022 den Digital Operational Resilience Act (DORA) zur Absicherung gegen Cyber-Risiken mit großer Mehrheit bestätigt. Am 16. Januar 2023 ist er in Kraft getreten.
  • Die neue Regulierung soll bestehende Standards vereinheitlichen.
  • Ziel ist ein detailliertes und umfassendes Rahmenwerk für die digitale Betriebsstabilität von EU-Finanzunternehmen. Die Einführung stellt Finanzunternehmen vor große Herausforderungen – sie birgt aber auch Chancen.

    Seit langem warnt die Aufsicht Unternehmen der Finanzindustrie vor einer erhöhten Gefahr durch Cyberangriffe. Finanzmärkte stel­len für die Gesellschaft eine kritische Infrastruktur dar. Ohne sie fließt kein Geld, stottert der Handel und kommt die Wirtschaft zum Erliegen. Ein Problem, das sich nicht erst seit dem Ausbruch des Ukrainekriegs zunehmend ver­schärft.

    Um das Risiko eines Cyberangriffs zu verrin­gern, hat die Europäische Kommission in den vergan­genen zwei Jahren einen ambitionierten Plan erarbei­tet, der unter anderem eine Zusammenführung und Ergänzung bestehender Cyber-Regulierungen vorsieht – der sogenannte „Digital Operational Resi­lience Act“, kurz DORA.

    Zielsetzung von DORA

    Ziel von DORA ist es, die bestehenden Schutzmecha­nismen der Finanzunternehmen und deren wesentli­chen IT-Drittanbieter in ein koordiniertes Sicherheits­system einzubetten, das die digitale Betriebsstabilität der gesamten Branche erhöht. Oder wie es der EU-Rat und das Parlament in einer im Mai 2022 veröffent­lichten Pressemitteilung ausdrücken: Die „Stärkung der EU-weiten Cybersicherheit und Resilienz“. Damit ist für die Finanzunternehmen klar: Die entscheidenden Regulierungen sind in der Pipeline, das Kommando „Cyber-Resilienz“ ist erteilt. Nun gilt es, für Compliance- und Risikomanager die nötigen Schritte einzuleiten, um eine zügige und effiziente Um­setzung zu ermöglichen.

    DORA setzt auf Teamwork statt auf ein Einzelkämpfer-Dasein

    Ansatzpunkte der DORA-Verordnung sind dabei so­wohl die hausinternen Informations- und Kommunika­tionstechnologien, kurz „IKT“, sowie ein zentrales Meldewesen zur Frühwarnung. In beiden Bereichen ist mit Anpassungen und Mehraufwänden zu rechnen. Dennoch stellt die DORA-Initiative für Finanzunterneh­men auch eine große Chance dar. Der Grund: Ein gemeinsamer Sicherheitsverbund der Branche bietet viele Vorteile, etwa, wenn es um die Verringerung des allgemeinen Branchenrisikos oder die Verteilung von Sicherheitsaufgaben geht.

    Das Ziel des DORA-Pakets, auf Teamwork statt auf ein Einzelkämpfer-Dasein zu setzen, ist deshalb sehr zu begrüßen. Das wissen auch die Finanzunternehmen, die in den vergangenen Jahren stark unter den Auswirkungen der Coronakrise samt Homeoffice und zunehmenden Cyberangriffen gelitten haben.

    Am 16. Januar 2023 ist die Verordnung in Kraft getreten und ab dem 17. Januar 2025 anzuwenden

    Nun erhalten sie auf regulatorischer Ebene einen gemeinsamen Rahmen. Am 24. September 2020 wurde der Entwurf für eine Verordnung über die digitale operationale Resilienz im Finanzsektor von der EU-Kommission vorgelegt. Am 10. Mai 2022 konnte zu dem Entwurf im EU-Rat und EU-Parlament eine vorläufige Einigung erreicht werden. Der EU-Rat hat am 27. November 2022 den aktualisierten Entwurf angenommen. Nach der formalen Gesetzesanpassung wurde die finale Version am 27. Dezember im EU Official Journal veröffentlicht und ist 20 Tage später – am 16. Januar 2023 – in Kraft getreten.

    Die Umsetzungsfrist beträgt zwei Jahre – nach den Maß­stäben der Gesetzgebung eine überaus schnelle Reak­tion. Damit die Finanzunternehmen diese Tempoarbeit nun erfolgreich bis zur Ziellinie fortsetzen können, soll­ten sie auf folgende Punkte achten.

    Das DORA-Paket soll laut EU drei Kernziele erreichen:

    • die Vereinheitlichung bestehender europäischer und nationaler Standards,
    • die Sicherstellung einer ausrei­chenden Absicherung gegen Cyberrisiken und
    • die Eta­blierung eines Rechtsrahmens für die direkte Überwa­chung von IKT-Drittanbietern.

    Ziele, die zum Teil auch mit den bestehenden Regelwerken, allen voran der aufsichtsrechtlichen Anforderungen an Banken, Versi­cherungen, Kapitalanlagege­sellschaften und Zahlungs- und E-Geld-Institute (BAIT, VAIT, KAIT und ZAIT), abgedeckt werden. Bezüglich der direkten Überwachung der IKT-Drit­tanbieter wurde mit der Verabschiedung des Gesetzes zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) am 20. Mai 2021 bereits für Deutschland eine erste Grundlage geschaffen. Mit dem FISG hat die Aufsicht nun auch wesentliche IT-Dienstleister im Fokus.

    Im Vergleich zu den bestehenden Regelwerken finden sich in den Details der DORA-Verordnung auch einige, wichtige Neuerungen. So nimmt zum Beispiel der Gel­tungsbereich der neuen Regulierungen zu und umfasst neben Banken, Versicherungen und Zahlungs­dienstleistern auch Krypto-Dienstleister. Ausgenom­men sind dagegen „Kleinstunternehmen“ mit weniger als zehn Beschäftigten und zwei Millionen Euro Jah­resumsatz. Für alle anderen Finanzunternehmen heißt es künftig jedoch, das DORA-Paket in seiner Detailtie­fe genau zu verstehen. Und gegebenenfalls aktiv zu werden.

    Nehmen wir die Neuerungen und den Handlungsbedarf in den Blick, mit denen Finanzunternehmen zu rechnen haben:

    Die kommenden Vorgaben im Überblick

    Infografik

    An erster Stelle sollen Leitungsorgane künftig mehr Verantwortung bei der Steuerung des IKT-Risikoma­nagements und der Einhaltung der Cyberhygiene über­nehmen. Neben mehr Prüfplänen und Fachschulungen wird das auch dazu führen, dass Aufgaben künftig we­niger in die „Second Line“ delegiert werden können.

    Als zweite Neuerung steht die Vereinheitlichung des IKT-Risikomanagements auf dem Plan. Hier wird in Zukunft mehr Transparenz und eine höhere Sensibilität von der Aufsicht eingefordert werden. Voraussetzun­gen dafür sind ein gemeinsames Verständnis und die ­Vergleichbarkeit von Risiken, weshalb es zur Verein­heitlichung von Metriken, Parametern und einem gemeinsamen Risikoregister kommen wird.

    In der Praxis zeigt sich bereits, dass die Vorgaben zur detaillierten Aufzeichnung aller Tätigkeiten vor und während einer IT-Störung einen Mehraufwand verursachen. Neben prozessualen Anpassungen werden eventuell auch bauliche Maßnahmen im Rechenzentrum erforderlich. Grund dafür ist die Vorgabe, dass die Wiederherstel­lung gesicherter Daten mit einer nicht mit der Haupt­umgebung zusammenhängenden Betriebsumgebung erfolgen muss.

    Es wird komplexer

    Dritter Punkt ist die erweiterte Berichterstattung zu IKT-Vorfällen. Laut Vorschrift sollen die Institute bei Cyberangriffen künftig mit einer standardisierten Be­wältigung, Klassifizierung und Berichterstattung re­agieren. Unklar sind aktuell noch die Schwellenwerte für die Wesentlichkeit einer Meldepflicht. Es steht die Erarbeitung eines einheitlichen Meldeformulars durch die European Supervisory Authorities (ESAs) aus. Ins­gesamt lässt sich heute aber schon festhalten, dass die Harmonisierung des IKT-Risikomanagements mit dem Rahmenwerk und dem Gesamtmarkt unter Be­rücksichtigung aller Risiken und Szenarien deutlich komplexer wird.

    Doch nicht nur das hausinterne Risikomanagement hat mit neuen Handlungsbedarfen zu rechnen. Auch die Regulatorik zum Umgang mit IKT-Drittanbietern dürfte viele Finanzdienstleister vor große Herausforderungen stellen. Denn zum einen sollen die ESAs gemäß des DORA die Kritikalitätsbenennung von IKT-Drittanbietern über­nehmen, zum anderen werden die ESAs zur federfüh­renden Aufsichtsinstanz der kritischen IKT-Dienstleister. Mit dem stärkeren Fokus auf die IKT-Strategie und deren Widerstandsfähigkeit sollten die Unternehmen ihre Sensibilität für entsprechende Risiken und deren Auswirkungen erhöhen sowie die Drittanbieter in die IKT-Risikobewertung integrieren.

    Fazit

    Mit Blick auf die DORA-Umsetzungsfrist, die am 17. Januar 2025 enden wird, ist heute klar: Das neue Gesetzespaket wird zum großen Mediator aller Einzel-Resilienz-Disziplinen in den Finanzunternehmen und dessen wesentlichen IKT-Drittanbietern. Es fordert eine Verzahnung zwischen dem IT-Betrieb, dem Business Continui­ty Management, dem Krisenmanagement, dem Out­sourcing und dem Informationsrisiko- und -sicherheitsmanagement. All diese Resilienz-Disziplinen und deren Schnittstellen müs­sen einheitlichen Vorgaben folgen, um eine optimale Resilienz im Ernstfall gewährleisten zu können. Durch die weiterhin steigende Cyber-Bedrohungslage ist es notwendiger denn je, dass Finanzunternehmen, auf Vorfälle vorbereitet sind und auf diese wirksam reagieren und sich von ihnen erholen zu können.

    Der Aufwand für die Erfüllung der Anforderungen sollte zwar nicht unterschätzt wer­den, aber es bietet sich auch eine Chance zur Umsetzung einer koordinierten operationalen Cyber-Resilienz: Harmonisierungen können erreicht und evtl. Doppelarbeiten und Überschneidungen vermieden werden.

    Das könnte Sie auch interessieren

    Das Bild zeigt Gewerbeimmobilien in Frankfurt
    Finance und Risk

    Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

    Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

    19.11.2024 | ca. 5 Minuten Lesezeit

    Die Aufsicht fordert, dass Kreditinstitute Immobilienbewertungen engmaschiger überwachen.

    Daniel Demleitner
    Daniel Demleitner
    Karsten Neiteler
    Karsten Neiteler
    Pascal Stolz
    Pascal Stolz
    Wald bedroht von Klimarisiken und Waldbrand. Kreditrisikomodelle
    Finance und Risk

    KPMG-Umfrage: Klima- und Umweltrisiken in Kreditrisikomodellen

    Umfrage: Klimarisiken im Kreditrisiko

    14.11.2024 | ca. 2 Minuten Lesezeit

    Neue Befragung zeigt, wo Banken bei der Anpassung von Kreditrisikomodellen stehen.

    Frank Glormann
    Frank Glormann
    Dr. Jürgen Ringschmidt
    Dr. Jürgen Ringschmidt
    Dr. Lora Todorova
    Dr. Lora Todorova
    Das Bild zeigt Wolkenkratzer, die in den Himmel ragen
    Regulatorik und Compliance

    Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

    Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

    05.11.2024 | ca. 1 Minute Lesezeit

    Die wichtigsten Schnellmeldungen aus Aufsicht, Gesetzgebung und von Standardsetzern

    Thilo Kasprowicz
    Thilo Kasprowicz
    Suche
    Schliessen
    © 2024 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.