DORA ist da: EU macht Tempo bei Cyber-Resilienz

"Digital Operational Resilience Act" (DORA) ist in Kraft getreten

Keyfacts:

  • Das EU-Parlament hat am 27. November 2022 den Digital Operational Resilience Act (DORA) zur Absicherung gegen Cyber-Risiken mit großer Mehrheit bestätigt. Am 16. Januar 2023 ist er in Kraft getreten.
  • Die neue Regulierung soll bestehende Standards vereinheitlichen.
  • Ziel ist ein detailliertes und umfassendes Rahmenwerk für die digitale Betriebsstabilität von EU-Finanzunternehmen. Die Einführung stellt Finanzunternehmen vor große Herausforderungen – sie birgt aber auch Chancen.

Seit langem warnt die Aufsicht Unternehmen der Finanzindustrie vor einer erhöhten Gefahr durch Cyberangriffe. Finanzmärkte stel­len für die Gesellschaft eine kritische Infrastruktur dar. Ohne sie fließt kein Geld, stottert der Handel und kommt die Wirtschaft zum Erliegen. Ein Problem, das sich nicht erst seit dem Ausbruch des Ukrainekriegs zunehmend ver­schärft.

Um das Risiko eines Cyberangriffs zu verrin­gern, hat die Europäische Kommission in den vergan­genen zwei Jahren einen ambitionierten Plan erarbei­tet, der unter anderem eine Zusammenführung und Ergänzung bestehender Cyber-Regulierungen vorsieht – der sogenannte „Digital Operational Resi­lience Act“, kurz DORA.

Zielsetzung von DORA

Ziel von DORA ist es, die bestehenden Schutzmecha­nismen der Finanzunternehmen und deren wesentli­chen IT-Drittanbieter in ein koordiniertes Sicherheits­system einzubetten, das die digitale Betriebsstabilität der gesamten Branche erhöht. Oder wie es der EU-Rat und das Parlament in einer im Mai 2022 veröffent­lichten Pressemitteilung ausdrücken: Die „Stärkung der EU-weiten Cybersicherheit und Resilienz“. Damit ist für die Finanzunternehmen klar: Die entscheidenden Regulierungen sind in der Pipeline, das Kommando „Cyber-Resilienz“ ist erteilt. Nun gilt es, für Compliance- und Risikomanager die nötigen Schritte einzuleiten, um eine zügige und effiziente Um­setzung zu ermöglichen.

DORA setzt auf Teamwork statt auf ein Einzelkämpfer-Dasein

Ansatzpunkte der DORA-Verordnung sind dabei so­wohl die hausinternen Informations- und Kommunika­tionstechnologien, kurz „IKT“, sowie ein zentrales Meldewesen zur Frühwarnung. In beiden Bereichen ist mit Anpassungen und Mehraufwänden zu rechnen. Dennoch stellt die DORA-Initiative für Finanzunterneh­men auch eine große Chance dar. Der Grund: Ein gemeinsamer Sicherheitsverbund der Branche bietet viele Vorteile, etwa, wenn es um die Verringerung des allgemeinen Branchenrisikos oder die Verteilung von Sicherheitsaufgaben geht.

Das Ziel des DORA-Pakets, auf Teamwork statt auf ein Einzelkämpfer-Dasein zu setzen, ist deshalb sehr zu begrüßen. Das wissen auch die Finanzunternehmen, die in den vergangenen Jahren stark unter den Auswirkungen der Coronakrise samt Homeoffice und zunehmenden Cyberangriffen gelitten haben.

Am 16. Januar 2023 ist die Verordnung in Kraft getreten und ab dem 17. Januar 2025 anzuwenden

Nun erhalten sie auf regulatorischer Ebene einen gemeinsamen Rahmen. Am 24. September 2020 wurde der Entwurf für eine Verordnung über die digitale operationale Resilienz im Finanzsektor von der EU-Kommission vorgelegt. Am 10. Mai 2022 konnte zu dem Entwurf im EU-Rat und EU-Parlament eine vorläufige Einigung erreicht werden. Der EU-Rat hat am 27. November 2022 den aktualisierten Entwurf angenommen. Nach der formalen Gesetzesanpassung wurde die finale Version am 27. Dezember im EU Official Journal veröffentlicht und ist 20 Tage später – am 16. Januar 2023 – in Kraft getreten.

Die Umsetzungsfrist beträgt zwei Jahre – nach den Maß­stäben der Gesetzgebung eine überaus schnelle Reak­tion. Damit die Finanzunternehmen diese Tempoarbeit nun erfolgreich bis zur Ziellinie fortsetzen können, soll­ten sie auf folgende Punkte achten.

Das DORA-Paket soll laut EU drei Kernziele erreichen:

  • die Vereinheitlichung bestehender europäischer und nationaler Standards,
  • die Sicherstellung einer ausrei­chenden Absicherung gegen Cyberrisiken und
  • die Eta­blierung eines Rechtsrahmens für die direkte Überwa­chung von IKT-Drittanbietern.

Ziele, die zum Teil auch mit den bestehenden Regelwerken, allen voran der aufsichtsrechtlichen Anforderungen an Banken, Versi­cherungen, Kapitalanlagege­sellschaften und Zahlungs- und E-Geld-Institute (BAIT, VAIT, KAIT und ZAIT), abgedeckt werden. Bezüglich der direkten Überwachung der IKT-Drit­tanbieter wurde mit der Verabschiedung des Gesetzes zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) am 20. Mai 2021 bereits für Deutschland eine erste Grundlage geschaffen. Mit dem FISG hat die Aufsicht nun auch wesentliche IT-Dienstleister im Fokus.

Im Vergleich zu den bestehenden Regelwerken finden sich in den Details der DORA-Verordnung auch einige, wichtige Neuerungen. So nimmt zum Beispiel der Gel­tungsbereich der neuen Regulierungen zu und umfasst neben Banken, Versicherungen und Zahlungs­dienstleistern auch Krypto-Dienstleister. Ausgenom­men sind dagegen „Kleinstunternehmen“ mit weniger als zehn Beschäftigten und zwei Millionen Euro Jah­resumsatz. Für alle anderen Finanzunternehmen heißt es künftig jedoch, das DORA-Paket in seiner Detailtie­fe genau zu verstehen. Und gegebenenfalls aktiv zu werden.

Nehmen wir die Neuerungen und den Handlungsbedarf in den Blick, mit denen Finanzunternehmen zu rechnen haben:

Die kommenden Vorgaben im Überblick

Infografik

An erster Stelle sollen Leitungsorgane künftig mehr Verantwortung bei der Steuerung des IKT-Risikoma­nagements und der Einhaltung der Cyberhygiene über­nehmen. Neben mehr Prüfplänen und Fachschulungen wird das auch dazu führen, dass Aufgaben künftig we­niger in die „Second Line“ delegiert werden können.

Als zweite Neuerung steht die Vereinheitlichung des IKT-Risikomanagements auf dem Plan. Hier wird in Zukunft mehr Transparenz und eine höhere Sensibilität von der Aufsicht eingefordert werden. Voraussetzun­gen dafür sind ein gemeinsames Verständnis und die ­Vergleichbarkeit von Risiken, weshalb es zur Verein­heitlichung von Metriken, Parametern und einem gemeinsamen Risikoregister kommen wird.

In der Praxis zeigt sich bereits, dass die Vorgaben zur detaillierten Aufzeichnung aller Tätigkeiten vor und während einer IT-Störung einen Mehraufwand verursachen. Neben prozessualen Anpassungen werden eventuell auch bauliche Maßnahmen im Rechenzentrum erforderlich. Grund dafür ist die Vorgabe, dass die Wiederherstel­lung gesicherter Daten mit einer nicht mit der Haupt­umgebung zusammenhängenden Betriebsumgebung erfolgen muss.

Es wird komplexer

Dritter Punkt ist die erweiterte Berichterstattung zu IKT-Vorfällen. Laut Vorschrift sollen die Institute bei Cyberangriffen künftig mit einer standardisierten Be­wältigung, Klassifizierung und Berichterstattung re­agieren. Unklar sind aktuell noch die Schwellenwerte für die Wesentlichkeit einer Meldepflicht. Es steht die Erarbeitung eines einheitlichen Meldeformulars durch die European Supervisory Authorities (ESAs) aus. Ins­gesamt lässt sich heute aber schon festhalten, dass die Harmonisierung des IKT-Risikomanagements mit dem Rahmenwerk und dem Gesamtmarkt unter Be­rücksichtigung aller Risiken und Szenarien deutlich komplexer wird.

Doch nicht nur das hausinterne Risikomanagement hat mit neuen Handlungsbedarfen zu rechnen. Auch die Regulatorik zum Umgang mit IKT-Drittanbietern dürfte viele Finanzdienstleister vor große Herausforderungen stellen. Denn zum einen sollen die ESAs gemäß des DORA die Kritikalitätsbenennung von IKT-Drittanbietern über­nehmen, zum anderen werden die ESAs zur federfüh­renden Aufsichtsinstanz der kritischen IKT-Dienstleister. Mit dem stärkeren Fokus auf die IKT-Strategie und deren Widerstandsfähigkeit sollten die Unternehmen ihre Sensibilität für entsprechende Risiken und deren Auswirkungen erhöhen sowie die Drittanbieter in die IKT-Risikobewertung integrieren.

Fazit

Mit Blick auf die DORA-Umsetzungsfrist, die am 17. Januar 2025 enden wird, ist heute klar: Das neue Gesetzespaket wird zum großen Mediator aller Einzel-Resilienz-Disziplinen in den Finanzunternehmen und dessen wesentlichen IKT-Drittanbietern. Es fordert eine Verzahnung zwischen dem IT-Betrieb, dem Business Continui­ty Management, dem Krisenmanagement, dem Out­sourcing und dem Informationsrisiko- und -sicherheitsmanagement. All diese Resilienz-Disziplinen und deren Schnittstellen müs­sen einheitlichen Vorgaben folgen, um eine optimale Resilienz im Ernstfall gewährleisten zu können. Durch die weiterhin steigende Cyber-Bedrohungslage ist es notwendiger denn je, dass Finanzunternehmen, auf Vorfälle vorbereitet sind und auf diese wirksam reagieren und sich von ihnen erholen zu können.

Der Aufwand für die Erfüllung der Anforderungen sollte zwar nicht unterschätzt wer­den, aber es bietet sich auch eine Chance zur Umsetzung einer koordinierten operationalen Cyber-Resilienz: Harmonisierungen können erreicht und evtl. Doppelarbeiten und Überschneidungen vermieden werden.

 

Weiterlesen

IT-Compliance und Cyber Security

Thema vertiefen

IT-Compliance und Cyber Security

Enorme Chancen – und gewaltige Risiken: Die digitale Transformation eröffnet Unternehmen des Finanzsektors gänzlich neue Perspektiven, Möglichkeiten und Geschäftsmodelle. Doch sie birgt auch erhebliche Gefahren – in Form einer immer stärker werdenden Cyber-Kriminalität.

Dass die Bedrohung durch Cyber-Angriffe in den letzten Jahren deutlich zugenommen hat, belegen zahlreiche Analysen, Studien und Umfragen. So gaben beispielsweise 84 Prozent aller befragten Unternehmen in der Lünendonk-Studie „Von Cyber Security zu Cyber Resilience“ an, dass sich 2023 die Bedrohungslage erneut verschärft hat. Als Gründe wurden insbesondere die zunehmende Digitalisierung von Prozessen, die steigende Professionalisierung von Hackerorganisationen und die veränderte geopolitische Lage genannt.

Thema vertiefen