EU-Initiative DORA: Mit Sicherheit in die Cloud

DORA: Mit Sicherheit in die Cloud

Der Digital Operational Resilience Act vereinheitlicht den digitalen EU-Finanzsektor

Keyfacts:

  • 2020 hat die Europäische Kommission den ersten Entwurf des „Digital Operational Resilience Acts“ (DORA) veröffentlicht
  • Mit der Einführung von DORA – voraussichtlich Ende 2022 – wird das Management dazu aufgefordert digitale Risiken angemessen zu steuern
  • Durch die Neuerungen wird ein stärkerer Fokus auf die Informations- und Kommunikationstechnik (IKT) -Strategie und deren Widerstandsfähigkeit gelegt
  • Die zusätzlichen Anforderungen sehen vor, dass eine Sensibilität für IKT-Risiken und deren Auswirkungen im gesamten Unternehmen geschaffen wird und Drittanbieter in die IKT-Risikobewertung integriert werden
  • Neue Berechtigungen seitens der Finanzdienstleister und Aufsichtsbehörden: Einführung von Strafzahlungen und neue Kündigungsoptionen wegen Nichteinhaltung sowie umfassende Prüf- und Zugriffsrechte auf Dienstleister und Cloud-Anbieter

Mit dem Schritt in die Cloud treiben Unternehmen der Finanz- und Versicherungsbranche ihre Digitalisierung voran. Cloud-Services schaffen Flexibilität, steigern Produktivität, Innovationsfähigkeit und Kundenorientierung. Mit den Vorteilen wachsen aber auch die Risiken: Firmen werden durch die Auslagerung ihrer IT verwundbarer für Cyber-Angriffe und steigern ihre Abhängigkeit von Drittanbietern.

Zwar existieren auf nationaler und internationaler Ebene eine Reihe von gesetzlichen Richtlinien, Empfehlungen und Vorschriften, um die Unternehmen hinsichtlich Cyber-Risiken resilienter zu machen. Dennoch erlaubt ihnen das aktuelle regulatorische Umfeld nur eingeschränkt, die Cloud-Technologie optimal und sicher einzusetzen. Um alle Anforderungen korrekt und rechtssicher abzuleiten, sind umfangreiche Analysen und Bewertungen nötig.

DORA soll die Widerstandsfähigkeit der Unternehmen erhöhen

Mit dem Digital Operational Resilience Act (DORA) der Europäischen Union (EU) steht eine regulatorische Initiative vor der Tür, die helfen soll, die Cloud optimal zu nutzen und damit einhergehende Risiken zu minimieren. Ziel ist es, die operative Widerstandsfähigkeit der Unternehmen zu erhöhen, also die Fähigkeit, interne oder externe operationelle Schocks absorbieren und kritische Geschäftsaktivitäten und Services fortführen zu können.

DORA präzisiert bestehende Vorgaben für die digitale Betriebsstabilität, fügt weitere hinzu und versucht, die existierenden Rechtsvorschriften zu bündeln. Zugleich wird auch der Wirkungskreis erweitert und vereinheitlicht: Als Lex Specialis soll DORA künftig als umfassende und einzige Regulierung für Banken, Versicherer und andere Finanzdienstleister gelten. Veröffentlicht wurde der Entwurf bereits 2020. Gegenwärtig laufen die Konsultationen. Es wird erwartet, dass die Verordnung Ende 2022 in Kraft tritt.

Einheitliche Standards für kritische IKT-Dienstleister durch DORA

Im Kern werden mit DORA die europäischen Aufsichtsbehörden in die Lage versetzt, kritische Drittanbieter der Informations- und Kommunikationstechnik (IKT) auf Basis einheitlicher Standards zu benennen und diese ebenfalls zu beaufsichtigen. Somit erhalten die Aufsichtsbehörden ebenfalls umfassende Prüf- und Zugriffsrechte auf die Dienstleister und Cloud-Anbieter. Damit verbunden sind neue Dokumentationspflichten und Kritikalitätseinschätzungen hinsichtlich der Dienstleisterverträge, die demnach vor dem Start von DORA nochmals bewertet werden müssen.

Mit dem stärkeren Fokus auf die IKT-Strategie und deren Widerstandsfähigkeit sollten die Unternehmen ihre Sensibilität für entsprechende Risiken und deren Auswirkungen erhöhen sowie die Drittanbieter in die IKT-Risikobewertung integrieren. Zugleich werden Finanzdienstleister und Aufsichtsbehörden gegenüber den IKT-Anbietern rechtlich gestärkt, es werden Strafzahlungen und Kündigungsoptionen wegen Nichteinhaltung von Vorgaben eingeführt. Kritische Drittanbieter dürfen beim Outsourcing nur dann als Lieferanten engagiert werden, wenn sie eine Geschäftspräsenz in der EU haben.

Weitere wichtige Erwartungen an die Unternehmen durch DORA

Mit der Einführung von DORA stehen die Unternehmen vor neuen Anforderungen:

  • Schulung des Managements zu IT-Risiken;
  • Entwicklung von Notfallstrategien und Notfallpläne, die der Fortführung des Geschäftsbetriebs dienen (inkl. Krisenkommunikationsplan, der Kunden und andere Betroffene umfasst);
  • Klassifizierung und verantwortungsbewusste Offenlegung von IKT-Vorfällen jeglicher Art (Meldung an die Behörden und Nutzer);
  • Führen eines Informationsregisters zu Verträgen mit Drittanbietern inklusive jährlicher Berichterstattung an die zuständigen Behörden;
  • Ausstattung der Auslagerungsbeauftragten mit Verantwortung gegenüber dem Management;
  • Überprüfung der Bestandsanbieter, Herausfiltern kritischer Drittanbieter und Auswechseln dieser bei Nichterfüllung der Anforderungen;
  • Überarbeitung der Prozesse im Risikomanagement, um beispielsweise Risikokonzentrationen zu vermeiden.

Die Zielsetzung von DORA ist richtig und entspricht dem Interesse der Unternehmen. Mit der Erfüllung der Anforderungen wird nicht nur ihre eigene digitale Widerstandsfähigkeit gestärkt, sondern auch die anderer beteiligter Parteien, was insgesamt für ein stabileres EU-Finanzsystem sorgen wird. Für die Finanz- und Versicherungsbranche ist es empfehlenswert, sich frühzeitig mit den neuen Anforderungen zu befassen, um sie effizient und vorteilhaft umsetzen zu können.