Seite wählen

Was ist DORA (Digital Operational Resilience Act)?

Der Digital Operational Resilience Act oder kurz DORA sieht die Einführung eines umfassenden Rechtsrahmens auf EU-Ebene vor, der Vorschriften zur digitalen Betriebsstabilität für alle beaufsichtigten Finanzinstitute enthält.

Lesezeit: .


01

DORA: eine Definition

Der vorgeschlagene Rechtsakt zur digitalen Betriebsstabilität (Digital Operational Resilience Act, DORA) ist Teil eines Maßnahmenpakets zur Digitalisierung des Finanzsektors, das die Europäische Kommission Ende September 2020 vorgelegt hat. Mit dem Paket will die Kommission Europas Wettbewerbsfähigkeit und Innovation im Finanzsektor fördern.

Der Finanzsektor ist in hohem Maß auf Informations- und Kommunikationstechnologie (IKT) angewiesen. Durch die Corona-Pandemie hat sich dies noch verstärkt, da Kunden vermehrt digitale Angebote nutzen. Diese IKT-Abhängigkeit macht Finanzunternehmen besonders anfällig für Cyberangriffe oder -vorfälle. Zudem können die Folgen eines Angriffs oder einer Störung bei einem wichtigen, grenzüberschreitend agierenden Finanzdienst weitreichende Auswirkungen auf andere Unternehmen, Teilsektoren oder gar die gesamte übrige Wirtschaft haben. Deshalb ist die digitale Betriebsstabilität im Finanzsektor von enormer Bedeutung. Mit Verweis auf Branchenuntersuchungen schätzt die Kommission die durch operative Vorfälle verursachten Kosten im EU-Finanzsektor auf bis zu 27 Milliarden Euro pro Jahr.

Cyberabwehr und Aufsichtsmöglichkeiten verbessern
DORA soll vor diesem Hintergrund zum einen sicherstellen, dass alle Beteiligten des Finanzsektors die erforderlichen Sicherheitsvorkehrungen getroffen haben, um IKT-bezogene Cyberangriffe und andere Vorfälle abzuwehren oder abzumildern. Zum anderen soll DORA den europäischen Aufsichtsbehörden die Überprüfung ausgelagerter Dienstleistungen ermöglichen. Zu diesem Zweck ist die Einführung eines Aufsichtsrahmens für im Finanzsektor tätige IKT-Drittanbieter wie Cloud-Computing-Dienstleister vorgesehen.

Zentrale Inhalte
Der aktuelle Entwurf der geplanten EU-Verordnung „über die Betriebsstabilität digitaler Systeme des Finanzsektors“ enthält Anforderungen in Bezug auf das IKT-Risikomanagement, die Klassifizierung und Meldung IKT-bezogener Vorfälle, digitale operationelle Belastbarkeitstests, vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen, den Aufsichtsrahmen für kritische IKT-Drittanbieter sowie Regeln für den Informationsaustausch.

02

Welche Probleme geht DORA an?

Der bisherige EU-Rechtsrahmen für IKT-Risiken und Betriebsstabilität im Finanzsektor ist fragmentiert und teils inkonsistent. Aktuell hat praktisch jedes Land eigene Regelungen (z.B. für die Durchführung von Belastbarkeitstests) und Aufsichtsansätze (z.B. für die Abhängigkeiten von IKT-Drittanbietern), die manche IKT-Risiken teilweise nicht ausreichend berücksichtigen. Zugleich entsteht grenzübergreifend tätigen Finanzunternehmen ein hoher administrativer sowie finanzieller Aufwand durch Doppelanforderungen und uneinheitliche Bestimmungen, die etwa in der Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), den EU-Rechtsvorschriften über Finanzdienstleistungen und den nationalen Regelungen (z.B. für die Meldung von Vorfällen) definiert sind.

Mit der neuen EU-Verordnung sollen die Regelungen harmonisiert werden und Mitgliedsstaaten keinen Anlass mehr haben, im Alleingang nationale Vorschriften, Standards und Vorgaben in Bezug auf Betriebsstabilität und Cybersicherheit zu erlassen. Grenzüberschreitend tätige Finanzunternehmen erhalten zudem Rechtsklarheit zu Vorschriften für digitale Resilienz.

03

Welche Ziele verfolgt DORA?

Allgemeines und oberstes Ziel von DORA ist es, IKT-Risiken umfassender anzugehen und die Betriebsstabilität digitaler Systeme im EU-Finanzsektor zu stärken. Der neue Rechtsrahmen sieht die Straffung und Modernisierung bestehender Vorschriften vor und umfasst die Einführung neuer Anforderungen. Dieses Konzept soll

  • sicherstellen, dass Finanzunternehmen bewerten, wie wirksam ihre Präventions- und Resilienzmaßnahmen sind und wo ihre IKT-Anfälligkeiten liegen, damit entsprechende Risiken besser steuerbar sind.
  • Finanzaufsichtsbehörden den Zugang zu Informationen über IKT-bezogene Vorfälle ermöglichen, damit sie mehr Kenntnis von der aktuellen Bedrohungslage erlangen.
  • die Outsourcing-Vorschriften für die indirekte Beaufsichtigung von IKT-Drittanbietern verschärfen.
  • eine direkte Beaufsichtigung der Tätigkeiten von IKT-Drittanbietern ermöglichen, wenn diese Dienstleistungen für Finanzunternehmen erbringen.
  • Anreize zum Informationsaustausch über Cyberbedrohungen im Finanzsektor schaffen.

Kohärentere und einheitlichere Verfahren für die Klassifizierung sowie Meldung von IKT-Vorfällen sollen zudem für weniger Verwaltungsaufwand bei den Finanzinstituten und mehr Effizienz bei den Aufsichtsbehörden sorgen. Bisher führt das Fehlen einheitlicher Meldepflichten oftmals dazu, dass die Aufsicht keinen vollständigen Überblick über Art, Häufigkeit, Bedeutung und Auswirkungen von Vorfällen hat. Eine Harmonisierung hätte für grenzübergreifend tätige Finanzunternehmen auch den positiven Effekt, dass sie denselben Vorfall nicht mehr an verschiedene EU- oder nationale Behörden melden müssten. Durch den Wegfall sich überschneidender Berichtspflichten könnten einige der größten Banken nach Schätzungen der EU-Kommission zwischen 40 und 100 Millionen Euro pro Jahr einsparen.

04

Welche Unternehmen sind von DORA betroffen?

DORA gilt für alle auf EU-Ebene regulierten Finanzunternehmen. Namentlich nennt der Gesetzentwurf Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Abschlussprüfer und Prüfungsgesellschaften, Administratoren kritischer Benchmarks, Crowdfunding-Dienstleister und Verbriefungsregister.

Nach dem Grundsatz der Verhältnismäßigkeit sollen bei der Festlegung der Kernanforderungen in den verschiedenen Handlungsbereichen Unterschiede hinsichtlich Geschäftsmodell, Größe, Risikoprofil oder Systemrelevanz berücksichtigt werden. Beispielsweise werden kleinere Finanzunternehmen laut EU-Kommission weniger umfassende Maßnahmen zur Meldung von Vorfällen und Durchführung von Belastbarkeitstest ergreifen müssen.

05

Welche praktischen Auswirkungen hat DORA?

DORA strebt eine Harmonisierung der Regeln für das IKT-Risikomanagement sowie der Klassifizierung und Meldung von IKT-Vorfällen an. Langfristig könnte es einen einzigen EU-Hub zur Meldung von Vorfällen geben. Generell werden sich Finanzunternehmen auf erweiterte Anforderungen einstellen und ihre Verfahren entsprechend anpassen müssen. Neue EU-Meldevorschriften fordern etwa die Bereitstellung von Berichten zur Ursachenanalyse spätestens einen Monat nach Auftreten eines größeren IKT-Vorfalls.

Zudem sollen EU-weite Standards für digitale operationelle Belastbarkeitstests definiert werden, um noch unbekannte Anfälligkeiten und Risiken besser zu erkennen. Nach Schätzungen der EU-Kommission würden die 44 größten grenzüberschreitend tätigen Banken durch einen einheitlichen Testansatz bis zu 88 Millionen Euro an Kosten einsparen.

Aufgrund neuer Schwellenkriterien und der EU-weiten Anwendung bedrohungsorientierter Penetrationstests (auf Basis von TIBER-EU) werden aber voraussichtlich auch mehr Firmen regelmäßig solche Tests durchführen müssen. Neubetroffene sollten Strategien entwickeln, um diese Tests optimal zu nutzen.

Indessen sieht der neue Aufsichtsrahmen für kritische IKT-Drittanbieter vor, dass diese künftig von einer der Europäischen Aufsichtsbehörden (ESAs) kontrolliert werden. Die jeweils federführende ESA kann dann auch Informationen anfordern, Inspektionen bei den Dienstleistern durchführen und bei Verstößen Strafen verhängen (bis zu 1% des weltweiten Tagesumsatzes oder Aufkündigung des Vertrags). Ob ein IKT-Drittanbieter als kritisch eingestuft wird, entscheidet der gemeinsame Ausschuss der ESAs anhand einer in DORA festgelegten Kriterienliste.

06

Welche zentralen Anforderungen stellt DORA an Finanzunternehmen?

Viele der im aktuellen DORA-Verordnungsentwurf formulierten Anforderungen – etwa für das IKT-Risikomanagement – sind grundsätzlich schon aus bestehenden Regularien für den Finanzsektor wie den EBA-Leitlinien, MaRisk oder BAIT bekannt. Teilweise gehen sie aber auch darüber hinaus, zum Beispiel bei der Überwachung und Beaufsichtigung von IKT-Dienstleistern oder der Prüfung von IKT-Systemen. Folgende Punkte sind zu beachten:


IKT-Risikomanagement

Starke Einbeziehung des Vorstands:

Der Vorstand verantwortet beispielsweise alle Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen und muss die Business-Continuity- sowie Notfallwiederherstellungspläne überprüfen.

Identifizierung:

Unternehmen müssen Geschäftsfunktionen und diese unterstützende Informationsressourcen, die potenzielle Quellen eines IKT-Risikos darstellen, identifizieren, klassifizieren und dokumentieren. Das gilt insbesondere für Systembereiche, die mit internen und externen IKT-Systemen vernetzt sind.

Schutz und Prävention:

Die Funktionsweise der IKT-Systeme muss kontinuierlich überwacht und kontrolliert werden, um einen angemessenen Schutz zu gewährleisten. Dafür sind vorbeugend geeignete Sicherheitsstrategien, -richtlinien, -verfahren und -tools zu implementieren.

Erkennung anomaler Aktivitäten:

Unternehmen müssen über Mechanismen verfügen, um anomale Aktivitäten umgehend zu erkennen und alle potenziellen Schwachstellen zu ermitteln.

Gegenmaßnahmen und Wiederherstellung:

Unternehmen sind verpflichtet, Reaktions- und Wiederherstellungsmaßnahmen zu ergreifen sowie entsprechende Notfallstrategien und -pläne zur Fortführung des Geschäftsbetriebs zu entwickeln. Selbst Firmen, die sonst bereits viele der IKT-Risikomanagement-Anforderungen von DORA erfüllen, sollten daher prüfen, ob auch ihre Reaktions- und Wiederherstellungsstrategien und -pläne den erweiterten Regeln in diesen Bereichen entsprechen.

Kommunikation:

Firmen müssen einen Krisenkommunikationsplan erarbeiten, der „eine verantwortungsbewusste Offenlegung IKT-bezogener Vorfälle oder erheblicher Anfälligkeiten“ gegenüber Kunden, anderen Finanzunternehmen und der Öffentlichkeit ermöglicht.


Meldung von IKT-bezogenen Vorfällen

Management:

Finanzunternehmen müssen einen spezifischen Incident-Management-Prozess zur Identifizierung, Verfolgung, Protokollierung, Kategorisierung und Klassifizierung von IKT-Vorfällen einrichten und anwenden.

Klassifizierung:

Die Klassifizierung von IKT-Vorfällen muss anhand einer Reihe von Kriterien erfolgen, die vom gemeinsamen Ausschuss der ESAs weiterentwickelt werden sollen.

Berichterstattung:

Unternehmen sind verpflichtet, schwerwiegende IKT-Vorfälle innerhalb vorgeschriebener Fristen und unter Verwendung harmonisierter Berichtsvorlagen der zuständigen Behörde zu melden.


Prüfung der digitalen Betriebsstabilität

Allgemeine Anforderungen:

Als integralen Bestandteil des IKT-Risikomanagementrahmens fordert DORA von Unternehmen die Einführung eines soliden und umfassenden Programms zur Prüfung der digitalen Betriebsstabilität, das IKT-Instrumente, -Systeme und -Prozesse abdeckt.

Erweiterte Prüfung:

Bestimmte Finanzinstitute müssen mindestens alle drei Jahre erweiterte Prüfungen ihrer IKT-Instrumente, -Systeme und -Prozesse anhand bedrohungsorientierter Penetrationstests durchführen. Betroffene Firmen sollten genau verfolgen, wie die ESAs die Durchführungskriterien ausarbeiten.


Steuerung des Risikos durch IKT-Drittanbieter

Allgemeine Grundsätze:

Finanzunternehmen müssen das Risiko durch IKT-Drittanbieter innerhalb ihres IKT-Risikomanagementrahmens in Einklang mit bestimmten Grundsätzen steuern. Diese umfassen Verantwortung und Haftung, Verhältnismäßigkeit, eine Strategie für das Risiko durch IKT-Drittanbieter, Dokumentation und Aufzeichnung, Analyse vor Vertragsabschluss, Informationssicherheit, Prüfungen und Inspektionen, Kündigungsrechte sowie Ausstiegsstrategien.

Vorläufige Bewertung des IKT-Konzentrationsrisikos und weiterer Sub-Outsourcing-Vereinbarungen:

Die verpflichtende vorläufige Bewertung zielt darauf ab, festzustellen, ob der Abschluss einer vertraglichen Vereinbarung in Bezug auf IKT-Dienste zu einem Vertrag mit einem marktbeherrschenden IKT-Drittanbieter führen würde, der nicht ohne Weiteres ersetzbar ist. Ebenso soll sie zeigen, ob mehrere vertragliche Vereinbarungen über die Erbringung von IKT-Diensten mit demselben oder einem eng verbundenen Dienstleister getroffen wurden.

Wesentliche Vertragsbestimmungen:

Die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittanbieters müssen eindeutig zugewiesen und in einer vertraglichen Vereinbarung festgelegt werden, deren detaillierter Umfang in den Rechtsvorschriften definiert wird.


Vereinbarungen zum Informationsaustausch

Austausch zu Cyberbedrohungen:

DORA ermöglicht Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander auszutauschen, um die digitale Betriebsstabilität zu stärken. Das umfasst Indikatoren für Beeinträchtigungen, Taktiken, Techniken, Verfahren, Cybersicherheitswarnungen und Konfigurationstools.

07

Wann ist mit den neuen DORA-Regelungen zu rechnen?

Der am 24. September 2020 von der EU-Kommission verabschiedete Gesetzentwurf muss noch dem Europäischen Parlament und dem Ministerrat zur Überprüfung und Annahme vorgelegt werden. Beide Institutionen können zusätzliche Änderungen vornehmen. Eine endgültige Fassung ist nicht vor Ende 2021 zu erwarten. Danach werden die ESAs noch weitere sekundäre Rechtsvorschriften und technische Standards ausarbeiten, welche die Anwendung der neuen Regeln konkretisieren. Nach Inkrafttreten von DORA wird es außerdem eine noch zu bestimmende Übergangsfrist zur Umsetzung geben.

08

Was müssen Finanzunternehmen künftig bei der Wahl eines IKT-Drittanbieters beachten?

DORA wird höchstwahrscheinlich zu erheblichen Anpassungen bestehender nationaler Regelungen zu Auslagerungen wie MaRisk und BAIT führen. Gemäß dem aktuellen DORA-Gesetzentwurf müssen in der EU tätige Finanzunternehmen vorab das Risiko einer Auslagerung bewerten und eine Due-Diligence-Prüfung durchführen, um geeignete Drittanbieter zu identifizieren. Ergänzend dazu heißt es in Artikel 25 §6: „Finanzunternehmen dürfen nur vertragliche Vereinbarungen mit IKT-Drittanbietern schließen, die hohe, angemessene und aktuelle Standards für Informationssicherheit einhalten.“

Vertragliche Vereinbarungen mit Dienstleistern aus Drittländern müssen Datenschutz, effektive Durchsetzung des Rechts, insolvenzrechtliche Bestimmungen im Fall des Konkurses des Drittanbieters sowie Einschränkungen, die in Bezug auf die dringende Wiederherstellung der Unternehmensdaten entstehen können, berücksichtigen.

In der Praxis werden sich all diese Anforderungen durch die Wahl eines IKT-Drittanbieters aus der EU deutlich einfacher umsetzen lassen. Generell als Outsourcing-Partner ausgeschlossen sind IKT-Drittdienstleister ohne Geschäftspräsenz in der EU, deren Betriebsausfall systemische Auswirkungen auf die Erbringung von Finanzdienstleistungen hätte.

09

Myra ist schon jetzt bereit für DORA

Myra Security erfüllt bereits jetzt alle zentralen Anforderungen von DORA. Als erfahrener Dienstleister im Finance-Bereich begleiten wir schon lange wesentliche und unwesentliche Auslagerungen. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen seit Jahren die Security-as-a-Service-Plattform von Myra, um ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen abzudecken.