Guten Tag, auch Ihnen vielen Dank, dass Sie uns die Gelegenheit geben, über dieses im Finanzsektor so wichtige Thema für die Cyberresilienz einen ersten Überblick zu geben.

DORA, der „Digital Operational Resilience Act”, ist eine EU-Verordnung, die den Finanzsektor besser gegen Cyberrisiken absichern soll. Hauptziele sind die Einführung europaweit einheitlicher Regeln für das Risikomanagement der Informations- und Kommunikationstechnologe (IKT), die Verbesserung der Meldepflichten bei IKT-Vorfällen sowie die Überwachung kritischer Drittanbieter. Damit sollen Finanzunternehmen widerstandsfähiger gegen Cyberbedrohungen werden und ihre Dienstleistungen auch in Krisensituationen zuverlässig bereitstellen können.

Dies regelt Artikel 2 der DORA-Verordnung. Dies sind vor allem Kreditinstitute, Zahlungsinstitute und Kontoinformationsdienstleister, also zum Beispiel Anbieter von Finanz- oder Buchhaltungssoftware mit einer Schnittstelle für Bankkundendaten. Ferner werden auch Versicherungs- und Rückversicherungsunternehmen, aber auch Einrichtungen der betrieblichen Altersversorgung von der DORA-Verordnung erfasst. Eine besondere Stellung nehmen in der DORA kritische IKT-Drittdienstleister, also Unternehmen, die essenzielle IT- und Kommunikationsdienstleistungen für den Finanzsektor bereitstellen, ein.

Indirekt sind natürlich auch alle Anbieter und Dienstleister betroffen, die für diese Gruppe von Unternehmen tätig sind. So ist es auch für diese schlau, sich rechtzeitig einen Überblick über die Anforderungen zu verschaffen.

Der „Digital Operational Resilience Act”, bzw. dessen offizielle Bezeichnung als „Verordnung (EU) 2022/2554” ist, wie der Name schon sagt, eine Verordnung und damit anders als eine Richtlinie ab dem Zeitpunkt des Inkrafttretens unmittelbar geltendes Gesetz in der Bunderepublik Deutschland (sowie auch in allen anderen EU-Mitgliedsstaaten).

Derzeit auch intensiv diskutiert werden die neuen Vorgaben im Zusammenhang mit der zweiten Network Information and Security Directive (NIS-2-Richtlinie). Unter anderem erweitert diese den Anwendungsbereich der derzeitigen Vorgaben für Unternehmen der kritischen Infrastruktur erheblich. Inhaltlich ergeben sich eine Vielzahl von Überschneidungen. In diesem Verhältnis geht die DORA-Verordnung jedoch als das speziellere Gesetz den (kommenden) Anforderungen der NIS-2-Richtlinie vor.

Ebenso sind auf nationaler Ebene die Anforderungen aus Kreditwesengesetz (KWG), den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den Bankaufsichtlichen Anforderungen an die IT (BAIT) zu beachten.

Die Verordnung ist bereits am 17. Januar 2023 in Kraft getreten und wird nach Artikel 64 DORA am 17. Januar 2025 vollumfänglich angewendet.

Für die fristgerechte Umsetzung der DORA-Anforderungen ist es essenziell, dass Unternehmen eine gründliche Bestandsaufnahme ihrer aktuellen IKT-Risiko-Managementsysteme durchführen und eine Strategie zur Anpassung an die neuen Vorschriften entwickeln. Die Bildung funktionsübergreifender Teams und die Zuweisung entsprechender Ressourcen helfen dabei, sicherzustellen, dass alle Anforderungen bis Januar 2025 erfüllt werden.

Das ist schwierig zu beantworten. Fest steht in jedem Fall, dass die Verordnung ab dem 17. Januar 2025 gilt und somit auch verwaltungsrechtlich durchgesetzt werden kann. Ähnlich wie bei der Einführung der Datenschutzgrundverordnung (DSGVO) gab es auch bei der DORA-Verordnung eine zweijährige Vorlaufzeit zwischen dem Inkrafttreten und der eigentlichen Anwendung der Verordnung. Bei der Umsetzung der DSGVO-Vorgaben sind viele Unternehmen erst sehr spät vor Ende der finalen Anwendungsfrist der DSGVO tätig geworden, manche auch erst danach. Die einzelnen Aufsichtsbehörden der Bundesländer sind damit sehr unterschiedlich umgegangen. Teilweise blieb die nicht fristgerechte Umsetzung der DSGVO sanktionslos oder es wurden lediglich Verwarnungen ausgesprochen. In manchen Fällen wurden auch Bußgelder verhängt.

Bei der DORA-Verordnung hängt es von den jeweiligen Branchen ab, welche Behörden als zuständige Behörden die Umsetzung der DORA-Vorgaben übernehmen werden. Insofern lassen sich Behördenreaktionen auf eventuelle Versäumnisse bei der Umsetzung der DORA-Vorgaben schwer einschätzen. Beispielsweise wird die BaFin in Deutschland zur nationalen Meldestelle für Vorfälle der Informations- und Kommunikationstechnologie (IKT) im Finanzsektor. Entscheidend wird das jeweilige Branchenumfeld sein. Wenn sich ein Unternehmen in einem Branchenumfeld bewegt, das sich möglicherweise schon sehr früh, also zum Beispiel unmittelbar nach Inkrafttreten der DORA-Verordnung, mit deren Compliance beschäftigt hat, wird es natürlich gegenüber einer Aufsichtsbehörde argumentativ schwer haben, zu begründen, warum es dem Branchenstandard hinterherhinkt.

Anders als die DSGVO sieht die DORA keine expliziten Geldbußen oder andere strafrechtliche Sanktionen für die Nichteinhaltung der Verordnung vor. Den Mitgliedstaaten der Europäischen Union steht es jedoch frei, in ihrem nationalen Recht strafrechtliche Sanktionen für Verstöße gegen die DORA vorzusehen. Allerdings heißt das nicht, dass die Non-Compliance mit der DORA-Verordnung für die jeweiligen Unternehmen völlig folgenlos bleibt. Vielmehr sieht Art. 50 DORA vor, dass die zuständigen Behörden über alle Aufsichts-, Untersuchungs- und Sanktionsbefugnisse verfügen, die zur Erfüllung ihrer Aufgaben im Rahmen der DORA-Verordnung erforderlich sind. Zu treffende Sanktionen und Maßnahmen müssen wirksam, verhältnismäßig und abschreckend sein. Daher kann jedem betroffenen Unternehmen nur dringend angeraten werden, sich bis zum Stichtag organisatorisch DORA-konform aufzustellen.

Eine gründliche Risikoanalyse im Zusammenhang mit kritischen Dienstleistern ist ein zentrales Element der DORA-Umsetzung. Unternehmen müssen klare interne Richtlinien für die Überwachung von Dienstleistern festlegen, insbesondere in Bezug auf die Abhängigkeiten bei kritischen Funktionen. Das Management sollte dafür Sorge tragen, dass der Ausstieg aus einer Zusammenarbeit stets reibungslos erfolgen kann. Wichtige Schlagwörter sind hier „Vendor Lock-In Effekt” oder „Exit-Strategien”.

Die Standardisierung der Berichts- und Meldepflichten unter DORA wird wahrscheinlich zu einer Zunahme der gemeldeten IKT-Vorfälle führen, da Unternehmen nun klare Kriterien an der Hand haben. Es ist wichtig, dass die IT- und Compliance-Abteilungen eng zusammenarbeiten, um Vorfälle gemäß den neuen Standards zu klassifizieren und korrekt zu melden. Auch sollten Prozesse etabliert werden, die eine unverzügliche und umfassende Meldung ermöglichen. Hierzu empfiehlt sich, die bereits bestehenden Meldepflichten aus anderen (gesetzlichen) Anforderungen zu analysieren und, sofern möglich, mit den Vorgaben der DORA zu harmonisieren.

Damit sprechen Sie die Vorgabe aus Art. 26 DORA an, bei denen gewisse Finanzunternehmen alle 3 Jahre ein sogenanntes Threat-Led Penetration Testing (TLPT-Test) durchführen müssen. Die deutsche Entsprechung für TLPT-Test lautet „bedrohungsorientierte Penetrationstests”. Im Gegensatz zu den in Art. 25 DORA vorgeschriebenen Tests zur Schwachstellenbewertung erfordern diese Tests einen höheren Aufwand. Das Gute ist jedoch, dass sie sich diese TLPT-Tests sehr stark an das EU-TIBER Framework der Europäischen Zentralbank zur Cyber-Resilienz anlehnen und Unternehmen, die bereits ihre Compliance mit den darin beschriebenen Red Teaming-Test ergänzt haben, hier letztlich keinen organisatorischen Mehraufwand benötigen.

Die Auswahl geeigneter alternativer Dienstleister erfordert eine umfassende Bewertung in Bezug auf technische Fähigkeiten, geografische Risiken und regulatorische Konformität. Ein diversifiziertes Netzwerk an Dienstleistern kann dazu beitragen, Abhängigkeiten zu minimieren und die Resilienz gegen Risiken in der Lieferkette zu stärken. Diese Anforderungen sollten bereits in die Auswahl der (IKT-) Dienstleister maßgeblich einfließen. Ein systematischer und ineinandergreifender Prozess zur Überprüfung und Auswahl von Dienstleistern in Kombination mit ggf. bereits bestehenden Prozessen zur Due Diligence Prüfung, können Risiken maßgeblich abmildern.

Der Informationsaustausch zwischen Unternehmen kann die kollektive Resilienz des Finanzsektors gegen Cyberbedrohungen stärken. Regelmäßige branchenweite Foren und Plattformen ermöglichen es Unternehmen, aktuelle Bedrohungen zu identifizieren und Best Practices für den Umgang mit diesen Herausforderungen zu teilen.

Notfallübungen sollten eine Vielzahl von Szenarien umfassen, von zielgerichteten Angriffen bis hin zu schwerwiegenden IT-Ausfällen. Dabei können Organisationen ihre Reaktionspläne testen und die Effizienz ihrer Kommunikationskanäle verbessern. So sind Unternehmen besser für den Ernstfall gerüstet. Für Anwender die bereits ein Business Continuity Management System (BCMS) betreiben zum Beispiel nach ISO 22301 bzw. im Rahmen der Informationssicherheit nach BSI 200-4 oder auch ISO/IEC 27031, ist der zusätzliche Aufwand dafür zumeist überschaubar.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird eine Schlüsselrolle bei der DORA-Umsetzung spielen. Sie wird nicht nur die Meldungen zu IKT-Vorfällen empfangen, sondern auch die Unternehmen im Finanzsektor mit Leitlinien unterstützen, um die korrekte Einhaltung der Verordnung sicherzustellen. Ihre Kontrolle und Beratung werden dabei helfen, einheitliche Standards für ein verbessertes IKT-Risikomanagement zu schaffen.

Zunächst sollte der eigene Anwendungsbereich analysiert werden und dann in einem nächsten Schritt der aktuelle Reifegrad (Gap-Analyse) bzgl. der kommenden Anforderungen der DORA festgestellt werden. Wichtig hierbei ist, dass auch bereits etablierte Prozesse aus angrenzenden Managementsystemen (u. a. Compliance-Managementsystem, Datenschutz-Managementsystem) oder bestehende Anforderungen zur (digitalen) Widerstandsfähigkeit aus anderen Quellen von Anfang an in die Planung und Umsetzung miteinbezogen werden sollten. Auch in Zukunft werden die regulatorischen Anforderungen an Unternehmen weiter stetig steigen, eine integrative Herangehensweise, erhöht die Effektivität der notwendigen Maßnahmen, stellt eine nachhaltige Compliance sichern und schont Ressourcen.