Direkt zum Inhalt

DORA auf dem Vormarsch

Die neue EU-Verordnung zur Cyberresilienz im Finanzsektor

Robin Schmeisser

Erstellt am 03. August 2023

Zwei Kollegen im Buero am Laptop
Table of contents

Durch die zunehmende Digitalisierung kommt dem Thema IKT- (Informations- und Kommunikationstechnologie) und Cybersicherheit eine wesentliche Bedeutung zu.

Diese zu bewahren, ist besonders essenziell für Branchen, die eine kritische Infrastruktur für die Gesellschaft darstellen. Vor allem Finanzunternehmen sind zunehmend von Cyberangriffen betroffen. Um deren digitale Betriebsstabilität sicherzustellen, hat die EU nun ein einheitliches und umfangreiches Regelwerk eingeführt: Den Digital Operational Resilience Act, kurz DORA. Die Verordnung trat mit 16. Januar 2023 in Kraft und sieht eine Umsetzungsfrist von zwei Jahren vor. Der Finanzsektor muss daher schon jetzt mit den Vorbereitungen für die Erfüllung der neuen Vorgaben starten.

 

Was ist DORA?

Die neue EU-Verordnung (2022/2554) baut auf bestehenden Regulierungen zur Cybersicherheit auf. Darunter diversen Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) bzw. der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur IKT-Sicherheit und zum Outsourcing.

Hintergrundgedanke von DORA ist die Einführung eines Systems, das sicherstellt, dass auch bei schweren Sicherheitsstörungen der Betrieb weiterhin aufrechterhalten bleibt. Der neu festgelegte Rahmen und die von den Europäischen Aufsichtsbehörden zu definierenden technischen Regulierungsstandards zur weiteren Orientierung sollen Finanzunternehmen folgendes ermöglichen:

  • Ein europaweit funktionierendes Risikomanagement,
  • höhere Resilienz im Krisenfall sowie
  • ein umfassendes Monitoring der Risiken, die aus in Anspruch genommenen Dienstleistungen von IKT-Drittanbietern entstehen.

 

Für welche Unternehmen gilt DORA?

Der Digital Operational Resilience Act gilt für Finanzunternehmen (z. B. Banken, Kreditinstitute, Versicherungen bzw. Versicherungsvermittler, Pensionskassen, Wertpapierfirmen, Zahlungsdienstleister, E-Geld-Institute, Handelsplätze) und IKT-Drittanbieter (wie Rechenzentren oder Cloud-Service-Provider), die Dienstleistungen für diesen Sektor erbringen. Insgesamt sind mehr als 22.000 Finanzinstitute und IKT-Dienstleister in der EU betroffen.

 

Welche Kernziele will die EU mit DORA erreichen?

  • Einheitliche Sicherheitsstandards auf nationaler und europäischer Ebene
  • Identifizierung und Eliminierung systemischer Cyberrisiken
  • Aufbau einer hohen Betriebsstabilität
  • Rechtsrahmen zur Kontrolle der IKT-Drittanbieter

 

Welche Neuerungen beinhaltet DORA?

Verglichen mit den bisherigen Regelwerken enthält DORA einige wichtige Änderungen. So betrifft die neue Verordnung aufgrund des erweiterten Geltungsbereichs nun auch Krypto-Dienstleister. Die Ausnahme bilden Kleinstunternehmen mit weniger als zehn Mitarbeiter:innen und zwei Millionen Euro Jah­resumsatz.

 

Wichtigste Inhalte von DORA

Digitale Betriebsstabilität:

  • Einführung von Testprogrammen, die regelmäßig die digitale Betriebsstabilität im Hinblick auf potenzielle Lücken, Schwachstellen oder Mängel ermitteln. Durchführung verpflichtender Überprüfungen auf Basis von bedrohungsorientierten Penetration-Tests (Threat-Led Penetration Testing, TLPT), abhängig von Größe, Risiko- und Geschäftsprofil des Finanzunternehmens.

IKT-Risikomanagement:

  • Vereinheitlichung und Transparenz des IKT-Risikomanagements durch die Entwicklung gemeinsamer Parameter, Metriken und Register zur Risikoeinstufung.

IKT-Drittanbieterrisiken:

  • Überwachung der kritischen IKT-Dienstleister durch einen kohärenten Aufsichtsrahmen der EU. Die Kritikalitätsbenennung und Aufsicht über die Drittanbieter übernehmen die Europäischen Aufsichtsbehörden. Die Finanzaufsicht ist befugt, die Risiken zu überwachen, die sich aus der Abhängigkeit zu IKT-Drittanbietern ergeben.

Meldung von IKT-Vorfällen:

  • Standardisierte Klassifizierung von und Berichterstattung zu Cyberangriffen an die jeweils zuständige nationale Finanzaufsichtsbehörde. Bei schwerwiegenden Vorfällen gibt diese die Meldung unverzüglich an die EBA, ESMA oder EIOPA, sowie an die EZB und andere betroffene Behörden weiter.

Governance & Strategie:

  • Erhöhte Verantwortung der Leitungsorgane hinsichtlich Steuerung des IKT-Risikoma­nagements und Einhaltung der Sicherheitsvorschriften. Dies inkludiert mehr Prüfpläne und Fachschulungen sowie weniger Delegationsmöglichkeiten.

Informationsaustausch zu Cyberrisiken:

  • Erleichterter Austausch von anonymisierten Informationen und Erfahrungen – sowohl für Finanzunternehmen untereinander, als auch mit den Aufsichtsbehörden.

Fazit

Aufgrund der zunehmenden Cyberbedrohungen ist es für Finanzunternehmen wichtiger denn je, ihre eigenen Risiken zu kennen, um diese vorab zu begrenzen bzw. zu eliminieren und bei Bedarf rechtzeitig reagieren zu können. Der neue einheitliche Rahmen, den DORA europaweit definiert, unterstützt Unternehmen dabei, ihre Cyberresilienz zu erhöhen.

Mit der näher rückenden Umsetzungsfrist bis 17. Januar 2025, müssen Risiko- und Compliancemanager:innen bereits jetzt die notwendigen Schritte zur raschen Implementierung einleiten. Dabei ist es wichtig, nicht nur die richtigen Handlungen zur Wahrung der Resilienz zu setzen, sondern auch die Berichtspflichten, die sich daraus ergeben, in die bestehenden Geschäftsprozesse effizient zu integrieren.