-- WEBONDISK OK --

02171 Interview: Digital Operational Resilience Act (DORA) – Cyberresilienz im Finanzsektor*

In diesem Interview geben Aurelius Scholz und Jens Langguth konkrete Handlungsanweisungen sowie Einblicke in die neue DORA-Verordnung der EU für die Cyberresilienz im Finanzsektor. Die Verordnung richtet sich an eine Vielzahl von Unternehmen im Finanzsektor wie Banken und Kreditinstitute, Versicherungsunternehmen, Zahlungsdienstleister, Kapitalverwaltungsgesellschaften sowie Kritische IKT-Drittdienstleister, also Unternehmen, die essenzielle IT- und Kommunikationsdienstleistungen für den Finanzsektor bereitstellen. DORA betrifft insgesamt über 20.000 Finanzunternehmen in Europa. In Deutschland müssen mehr als 3.600 Unternehmen die neuen Anforderungen einhalten.
von:
Guten Tag, Herr Scholz und Herr Langguth. Vielen Dank, dass Sie sich heute die Zeit nehmen, um mit uns über die Bedeutung der DORA-Verordnung zu sprechen.
Guten Tag, auch Ihnen vielen Dank, dass Sie uns die Gelegenheit geben, über dieses im Finanzsektor so wichtige Thema für die Cyberresilienz einen ersten Überblick zu geben.
Einführung und Hauptziele
Könnten Sie zunächst eine kurze Einführung in die DORA-Verordnung geben und deren Hauptziele erläutern?
DORA, der „Digital Operational Resilience Act”, ist eine EU-Verordnung, die den Finanzsektor besser gegen Cyberrisiken absichern soll. Hauptziele sind die Einführung europaweit einheitlicher Regeln für das Risikomanagement der Informations- und Kommunikationstechnologe (IKT), die Verbesserung der Meldepflichten bei IKT-Vorfällen sowie die Überwachung kritischer Drittanbieter. Damit sollen Finanzunternehmen widerstandsfähiger gegen Cyberbedrohungen werden und ihre Dienstleistungen auch in Krisensituationen zuverlässig bereitstellen können.
Wen betrifft es?
Welche Unternehmen sind denn von der DORA betroffen?
Dies regelt Artikel 2 der DORA-Verordnung. Dies sind vor allem Kreditinstitute, Zahlungsinstitute und Kontoinformationsdienstleister, also zum Beispiel Anbieter von Finanz- oder Buchhaltungssoftware mit einer Schnittstelle für Bankkundendaten. Ferner werden auch Versicherungs- und Rückversicherungsunternehmen, aber auch Einrichtungen der betrieblichen Altersversorgung von der DORA-Verordnung erfasst. Eine besondere Stellung nehmen in der DORA kritische IKT-Drittdienstleister, also Unternehmen, die essenzielle IT- und Kommunikationsdienstleistungen für den Finanzsektor bereitstellen, ein.
Indirekt sind natürlich auch alle Anbieter und Dienstleister betroffen, die für diese Gruppe von Unternehmen tätig sind. So ist es auch für diese schlau, sich rechtzeitig einen Überblick über die Anforderungen zu verschaffen.
Unmittelbare Gültigkeit
Muss die DORA-Verordnung noch durch ein spezielles Gesetz konkretisiert werden?
Der „Digital Operational Resilience Act”, bzw. dessen offizielle Bezeichnung als „Verordnung (EU) 2022/2554” ist, wie der Name schon sagt, eine Verordnung und damit anders als eine Richtlinie ab dem Zeitpunkt des Inkrafttretens unmittelbar geltendes Gesetz in der Bunderepublik Deutschland (sowie auch in allen anderen EU-Mitgliedsstaaten).
Verhältnis zu weiteren Regelwerken
In welchem Verhältnis steht die DORA-Verordnung zu anderen oder kommenden regulatorischen Vorgaben?
Derzeit auch intensiv diskutiert werden die neuen Vorgaben im Zusammenhang mit der zweiten Network Information and Security Directive (NIS-2-Richtlinie). Unter anderem erweitert diese den Anwendungsbereich der derzeitigen Vorgaben für Unternehmen der kritischen Infrastruktur erheblich. Inhaltlich ergeben sich eine Vielzahl von Überschneidungen. In diesem Verhältnis geht die DORA-Verordnung jedoch als das speziellere Gesetz den (kommenden) Anforderungen der NIS-2-Richtlinie vor.
Ebenso sind auf nationaler Ebene die Anforderungen aus Kreditwesengesetz (KWG), den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den Bankaufsichtlichen Anforderungen an die IT (BAIT) zu beachten.
Gültigkeit
Ab wann wird die DORA-Verordnung angewendet?
Die Verordnung ist bereits am 17. Januar 2023 in Kraft getreten und wird nach Artikel 64 DORA am 17. Januar 2025 vollumfänglich angewendet.
Was ist zu tun?
Welche zentralen Schritte sollten Unternehmen jetzt prioritär in Angriff nehmen, um die neuen Anforderungen fristgerecht zu erfüllen?
Für die fristgerechte Umsetzung der DORA-Anforderungen ist es essenziell, dass Unternehmen eine gründliche Bestandsaufnahme ihrer aktuellen IKT-Risiko-Managementsysteme durchführen und eine Strategie zur Anpassung an die neuen Vorschriften entwickeln. Die Bildung funktionsübergreifender Teams und die Zuweisung entsprechender Ressourcen helfen dabei, sicherzustellen, dass alle Anforderungen bis Januar 2025 erfüllt werden.
Möglichkeiten der behördlichen Durchsetzung
Was geschieht, wenn Unternehmen es nicht schaffen sollten, bis zum 17. Januar 2025 die von Ihnen beschriebenen Maßnahmen umzusetzen?
Das ist schwierig zu beantworten. Fest steht in jedem Fall, dass die Verordnung ab dem 17. Januar 2025 gilt und somit auch verwaltungsrechtlich durchgesetzt werden kann. Ähnlich wie bei der Einführung der Datenschutzgrundverordnung (DSGVO) gab es auch bei der DORA-Verordnung eine zweijährige Vorlaufzeit zwischen dem Inkrafttreten und der eigentlichen Anwendung der Verordnung. Bei der Umsetzung der DSGVO-Vorgaben sind viele Unternehmen erst sehr spät vor Ende der finalen Anwendungsfrist der DSGVO tätig geworden, manche auch erst danach. Die einzelnen Aufsichtsbehörden der Bundesländer sind damit sehr unterschiedlich umgegangen. Teilweise blieb die nicht fristgerechte Umsetzung der DSGVO sanktionslos oder es wurden lediglich Verwarnungen ausgesprochen. In manchen Fällen wurden auch Bußgelder verhängt.
Bei der DORA-Verordnung hängt es von den jeweiligen Branchen ab, welche Behörden als zuständige Behörden die Umsetzung der DORA-Vorgaben übernehmen werden. Insofern lassen sich Behördenreaktionen auf eventuelle Versäumnisse bei der Umsetzung der DORA-Vorgaben schwer einschätzen. Beispielsweise wird die BaFin in Deutschland zur nationalen Meldestelle für Vorfälle der Informations- und Kommunikationstechnologie (IKT) im Finanzsektor. Entscheidend wird das jeweilige Branchenumfeld sein. Wenn sich ein Unternehmen in einem Branchenumfeld bewegt, das sich möglicherweise schon sehr früh, also zum Beispiel unmittelbar nach Inkrafttreten der DORA-Verordnung, mit deren Compliance beschäftigt hat, wird es natürlich gegenüber einer Aufsichtsbehörde argumentativ schwer haben, zu begründen, warum es dem Branchenstandard hinterherhinkt.
Sanktionsmöglichkeiten
Können Sie etwas zu den verwaltungsrechtlichen Konsequenzen sagen?
Anders als die DSGVO sieht die DORA keine expliziten Geldbußen oder andere strafrechtliche Sanktionen für die Nichteinhaltung der Verordnung vor. Den Mitgliedstaaten der Europäischen Union steht es jedoch frei, in ihrem nationalen Recht strafrechtliche Sanktionen für Verstöße gegen die DORA vorzusehen. Allerdings heißt das nicht, dass die Non-Compliance mit der DORA-Verordnung für die jeweiligen Unternehmen völlig folgenlos bleibt. Vielmehr sieht Art. 50 DORA vor, dass die zuständigen Behörden über alle Aufsichts-, Untersuchungs- und Sanktionsbefugnisse verfügen, die zur Erfüllung ihrer Aufgaben im Rahmen der DORA-Verordnung erforderlich sind. Zu treffende Sanktionen und Maßnahmen müssen wirksam, verhältnismäßig und abschreckend sein. Daher kann jedem betroffenen Unternehmen nur dringend angeraten werden, sich bis zum Stichtag organisatorisch DORA-konform aufzustellen.
Herausforderungen
Welche Herausforderungen sehen Sie bei der Risikoanalyse und Überwachung der Dienstleister, insbesondere wenn es um kritische oder wichtige Funktionen geht?
Eine gründliche Risikoanalyse im Zusammenhang mit kritischen Dienstleistern ist ein zentrales Element der DORA-Umsetzung. Unternehmen müssen klare interne Richtlinien für die Überwachung von Dienstleistern festlegen, insbesondere in Bezug auf die Abhängigkeiten bei kritischen Funktionen. Das Management sollte dafür Sorge tragen, dass der Ausstieg aus einer Zusammenarbeit stets reibungslos erfolgen kann. Wichtige Schlagwörter sind hier „Vendor Lock-In Effekt” oder „Exit-Strategien”.
Meldepflichten
Wie beeinflusst DORA die bisherigen Meldepflichten von IKT-Vorfällen?
Die Standardisierung der Berichts- und Meldepflichten unter DORA wird wahrscheinlich zu einer Zunahme der gemeldeten IKT-Vorfälle führen, da Unternehmen nun klare Kriterien an der Hand haben. Es ist wichtig, dass die IT- und Compliance-Abteilungen eng zusammenarbeiten, um Vorfälle gemäß den neuen Standards zu klassifizieren und korrekt zu melden. Auch sollten Prozesse etabliert werden, die eine unverzügliche und umfassende Meldung ermöglichen. Hierzu empfiehlt sich, die bereits bestehenden Meldepflichten aus anderen (gesetzlichen) Anforderungen zu analysieren und, sofern möglich, mit den Vorgaben der DORA zu harmonisieren.
TLPT-Tests
Was sind die größten Hürden bei der Einführung und Durchführung von standardisierten TLPT-Tests?
Damit sprechen Sie die Vorgabe aus Art. 26 DORA an, bei denen gewisse Finanzunternehmen alle 3 Jahre ein sogenanntes Threat-Led Penetration Testing (TLPT-Test) durchführen müssen. Die deutsche Entsprechung für TLPT-Test lautet „bedrohungsorientierte Penetrationstests”. Im Gegensatz zu den in Art. 25 DORA vorgeschriebenen Tests zur Schwachstellenbewertung erfordern diese Tests einen höheren Aufwand. Das Gute ist jedoch, dass sie sich diese TLPT-Tests sehr stark an das EU-TIBER Framework der Europäischen Zentralbank zur Cyber-Resilienz anlehnen und Unternehmen, die bereits ihre Compliance mit den darin beschriebenen Red Teaming-Test ergänzt haben, hier letztlich keinen organisatorischen Mehraufwand benötigen.
Exit-Strategien
Wie können Unternehmen des Finanzsektors sinnvoll auf einen Ausstieg oder Wechsel kritischer IKT-Dienstleister vorbereitet sein?
Die Auswahl geeigneter alternativer Dienstleister erfordert eine umfassende Bewertung in Bezug auf technische Fähigkeiten, geografische Risiken und regulatorische Konformität. Ein diversifiziertes Netzwerk an Dienstleistern kann dazu beitragen, Abhängigkeiten zu minimieren und die Resilienz gegen Risiken in der Lieferkette zu stärken. Diese Anforderungen sollten bereits in die Auswahl der (IKT-) Dienstleister maßgeblich einfließen. Ein systematischer und ineinandergreifender Prozess zur Überprüfung und Auswahl von Dienstleistern in Kombination mit ggf. bereits bestehenden Prozessen zur Due Diligence Prüfung, können Risiken maßgeblich abmildern.
Informationsaustausch
Inwiefern kann der von DORA angeregte Austausch von Informationen und Best Practices zur Verbesserung der Cyberresilienz beitragen?
Der Informationsaustausch zwischen Unternehmen kann die kollektive Resilienz des Finanzsektors gegen Cyberbedrohungen stärken. Regelmäßige branchenweite Foren und Plattformen ermöglichen es Unternehmen, aktuelle Bedrohungen zu identifizieren und Best Practices für den Umgang mit diesen Herausforderungen zu teilen.
Notfallübungen
Welche Art von Notfallübungen sind für die Vorbereitung auf einen Ernstfall empfehlenswert, und wie können diese Übungen realitätsnah gestaltet werden?
Notfallübungen sollten eine Vielzahl von Szenarien umfassen, von zielgerichteten Angriffen bis hin zu schwerwiegenden IT-Ausfällen. Dabei können Organisationen ihre Reaktionspläne testen und die Effizienz ihrer Kommunikationskanäle verbessern. So sind Unternehmen besser für den Ernstfall gerüstet. Für Anwender die bereits ein Business Continuity Management System (BCMS) betreiben zum Beispiel nach ISO 22301 bzw. im Rahmen der Informationssicherheit nach BSI 200-4 oder auch ISO/IEC 27031, ist der zusätzliche Aufwand dafür zumeist überschaubar.
Rolle der BaFin
Welche Rolle spielt die BaFin bei der Umsetzung von DORA?
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird eine Schlüsselrolle bei der DORA-Umsetzung spielen. Sie wird nicht nur die Meldungen zu IKT-Vorfällen empfangen, sondern auch die Unternehmen im Finanzsektor mit Leitlinien unterstützen, um die korrekte Einhaltung der Verordnung sicherzustellen. Ihre Kontrolle und Beratung werden dabei helfen, einheitliche Standards für ein verbessertes IKT-Risikomanagement zu schaffen.
Erforderliche Schritte
Welche nächsten Schritte empfehlen Sie?
Zunächst sollte der eigene Anwendungsbereich analysiert werden und dann in einem nächsten Schritt der aktuelle Reifegrad (Gap-Analyse) bzgl. der kommenden Anforderungen der DORA festgestellt werden. Wichtig hierbei ist, dass auch bereits etablierte Prozesse aus angrenzenden Managementsystemen (u. a. Compliance-Managementsystem, Datenschutz-Managementsystem) oder bestehende Anforderungen zur (digitalen) Widerstandsfähigkeit aus anderen Quellen von Anfang an in die Planung und Umsetzung miteinbezogen werden sollten. Auch in Zukunft werden die regulatorischen Anforderungen an Unternehmen weiter stetig steigen, eine integrative Herangehensweise, erhöht die Effektivität der notwendigen Maßnahmen, stellt eine nachhaltige Compliance sichern und schont Ressourcen.

Weiterlesen und den „Information Security Management“ 4 Wochen gratis testen:

  • Das komplette Know-how in Sachen Informationssicherheit und Datenschutz
  • Zugriff auf über 230 Fachbeiträge und 210 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal