Erstmalig wird die IT-Sicherheit und die Betriebsstabilität im Finanzsektor europaweit harmonisiert.
Die Digitalisierung des Finanzmarkts schreitet voran. Dadurch werden wertvolle Chancen ergriffen, der Finanzsektor sieht sich aber auch Risiken ausgesetzt. Jedes Jahr veröffentlicht die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Report „Risiken im Fokus“, in dem die aus ihrer Sicht wichtigsten Risiken des deutschen Finanzmarkts dargelegt werden. In dem im Januar 2023 veröffentlichten Report sieht die BaFin in Cyberattacken mit gravierenden Auswirkungen eines der sechs Hauptrisiken. Aufgrund des hohen Vernetzungsgrads der Finanzbranche und der europaweiten Erbringung von Finanzleistungen führen neben Cyberattacken auch die unzureichende Gewährleistung der Betriebsstabilität der IT-Systeme zu Risiken für die Stabilität des Finanzmarkts.
Dies hat auch der Verordnungsgeber erkannt und als Teil des Pakets zur Digitalisierung des Finanzsektors die Verordnung des Europäischen Parlaments und des Rates über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act [DORA]) verabschiedet.
DORA hält Unternehmen dazu an, Maßnahmen zur Förderung der IT-Sicherheit sowie zur Aufrechterhaltung und Gewährleistung der Betriebsstabilität vorzunehmen
DORA harmonisiert erstmals europaweit aufsichtsrechtliche Vorschriften in Bezug auf die IT und Informationssicherheit. Bislang legte jeder Mitgliedstaat dahingehend eigene aufsichtliche Regelungen fest.
Ferner wurden die einzelnen Sektoren des Finanzwesens gesondert reguliert. So gibt es in Deutschland neben der MaRisk weitere Rundschreiben der BaFin, in denen Anforderungen an die IT für Banken (BAIT), Versicherungen (VAIT), Kapitalverwaltungsgeselllschaften (KAIT) und Zahlungs- und E-Geld-Institute (ZAIT) gestellt werden. Dieser Fragmentierung soll durch DORA entgegengewirkt werden. Ziel ist es, europaweit die Risiken in Bezug auf Störungen der IT zu mitigieren sowie die digitale Widerstandsfähigkeit des Finanzsektors zu erhöhen. Die Stabilität des europäischen Finanzmarkts soll durch den reibungslosen Betrieb bei der Nutzung von Informations- und Kommunikationstechnologien gewährleistet sein.
Der Anwendungsbereich von DORA ist denkbar weit
Von DORA werden zum einen Finanzunternehmen erfasst. Darunter versteht DORA Unternehmen, die 20 Betätigungsfeldern zugeordnet werden können. Im Einzelnen gelten die Anforderungen daher gemäß Art. 2 Abs. 1 lit. a) bis t) DORA unter anderem für Kredit- und Zahlungsinstitute, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungs- und Versicherungsvermittler, E-Geld-Institute, Wertpapierfirmen, Anbieter* von Krypto-Dienstleistungen, aber auch für Einrichtungen der betrieblichen Altersversorgung, Handelsplätze und Ratingagenturen.
Neu ist, dass Pflichten nicht nur regulierten Unternehmen auferlegt werden, sondern der Anwendungsbereich auch gemäß Art 2 Abs. 1 lit. u) DORA für sog. IKT-Drittdienstleister eröffnet ist. Definiert wird ein IKT-Drittdienstleister als „Unternehmen, das IKT-Dienstleistungen bereitstellt“ (Art. 3 Nr. 19 DORA). Der Verordnungsgeber legt auch hier ein weites Begriffsverständnis zu Grunde und definiert unter IKT-Dienstleistungen als
digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste
(Art. 3 Nr. 21 DORA). So unterfallen etwa Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Anbieter von Rechenzentrumsdienstleistungen dem Anwendungsbereich (Erwägungsgrund 63 DORA).
Um gleichwohl dem Grundsatz der Verhältnismäßigkeit (Art. 4 DORA) Rechnung zu tragen, werden Ausnahmen von den Anforderungen für Kleinstunternehmen (Art. 3 Nr. 60 DORA), Kleinunternehmen (Art. 3 Nr. 63 DORA) und mittlere Unternehmen (Art. 3 Nr. 64 DORA) statuiert.
Verantwortung für IKT-Risikomanagement liegt beim Leitungsorgan
DORA stellt umfassende Anforderungen an Finanzunternehmen und IKT-Dienstleister. Im Wesentlichen enthält die Verordnung die folgenden vier Regelungsschwerpunkte:
- IKT-Risikomanagement (Artt. 5-16 DORA);
- Umgang mit IKT-bezogenen Vorfällen (Artt. 17-23 DORA);
- Testen der digitalen operationalen Resilienz (Artt. 24-27 DORA); und
- Management des IKT-Drittparteienrisiko (Artt. 28-44 DORA).
Gemäß den umfassenden Vorgaben zum IKT-Risikomanagement haben Finanzunternehmen die Pflicht, über einen internen Governance- sowie über einen IKT-Risikomanagementrahmen zur Gewährleistung des Risikomanagements zu verfügen (Art. 5 und Art. 6 DORA). Dazu entwickeln Finanzunternehmen mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools, die erforderlich sind, um alle Informations- und IKT-Assets zu schützen (Art. 6 Abs. 2 DORA).
Das Leitungsorgan des Finanzunternehmens definiert, genehmigt und überwacht nicht nur die Umsetzung der Anforderungen im Zusammenhang mit dem IKT-Risikomanagement, sondern trägt dafür auch die letztendliche Verantwortung (Art. 5 Abs. 2 DORA). Die weitere Harmonisierung von Tools, Methoden, Prozessen und Richtlinien zum IKT-Risikomanagement erfolgt gemäß Art. 15 DORA mit Hilfe technischer Regulierungsstandards (Regulatory Technical Standards (RTS)), die von den Europäischen Aufsichtsbehörden (European Supervisory Authorities (ESA)) entworfen werden.
Verpflichtende Abgabe einer Meldung bei schwerwiegenden IKT-bezogenen Vorfällen
Kapitel 3 des DORA umfasst Regelungen zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle. Finanzunternehmen legen einen Prozess für die Erkennung, Behandlung und Meldung IKT-bezogener Vorfälle fest (Art. 17 Abs. 1 DORA). Kriterien für die Klassifizierung und die Bestimmung der Auswirkungen von IKT-bezogenen Vorfällen und Cyberbedrohungen durch die Finanzunternehmen werden in Art. 18 DORA festgelegt.
Neu ist, dass Finanzunternehmen gemäß Art. 19 DORA verpflichtet sind, schwerwiegende IKT-bezogenen Vorfällen der BaFin zu melden. Beim Eintritt einer erheblichen Cyberbedrohung ist die Meldung hingegen freiwillig. Die Harmonisierung des Inhalts von Meldungen und die Erarbeitung von Vorlagen erfolgt wiederum durch die ESA, die dazu neben RTS auch technische Durchführungsstandards (Implementing Technical Standards [ITS]) entwirft.
Schwachstellenerkennung durch Einführung eines Programms zum Testen der digitalen operationalen Resilienz
Ferner sind Finanzunternehmen verpflichtet, ein Programm zum Testen der digitalen operationalen Resilienz zu betreiben. Dadurch sollen Schwächen, Lücken und Mängel in Bezug auf die digitale operationale Resilienz erkannt und erforderliche Korrekturmaßnahmen eingeleitet werden (Art. 24 Abs. 1 DORA). Mögliche Test, die Finanzunternehmen durchzuführen haben sind etwa Schwachstellentests, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Scans von Softwarelösungen, soweit durchführbar Quellcodeprüfungen, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests (Art. 25 Abs. 1 DORA). Darüber hinaus sind threat led penetration tests (TLPT) von systemrelevanten Finanzunternehmen mindestens alle drei Jahre durchzuführen (Art. 26 DORA). Die Präzisierung der TLPT-Vorgaben erfolgt in einem RTS, der im Einklang mit dem TIBER-EU-Rahmen entworfen wird.
Management des IKT-Drittparteienrisiko
Schließlich enthält DORA zahlreiche Regelungen, um Risiken, die für ein Finanzunternehmen im Zusammenhang mit der Nutzung von IKT-Dienstleistungen entstehen können, zu mitigieren. Schlüsselprinzipien sind dabei die Erstellung einer Strategie für das IKT-Drittparteienrisiko (Art. 28 Abs. 2 DORA), die Führung eines aktuellen Informationsregisters über die Vertragsbeziehungen mit IKT-Drittdienstleistern (Art. 28 Abs. 3 DORA) und die Sicherstellung, dass die vertraglichen Vereinbarungen die in Art. 30 DORA verankerten Mindestinhalte enthalten.
Ferner schafft DORA einen europäischen Überwachungsrahmenwerk für kritische IKT-Drittdienstleister (Artt. 31 ff. DORA). Durch Level-2-Rechtsakte werden etwa Standardvorlagen für Informationsregister erstellt und die Voraussetzungen für die Durchführung der Überwachungstätigkeiten harmonisiert.
Bei Verstößen gegen DORA drohen Sanktionen
Den zuständigen Behörden stehen alle Aufsichts- und Untersuchungsbefugnisse zu. Kommen Finanzunternehmen oder IKT-Drittdienstleister den Vorgaben aus DORA nicht nach, drohen Sanktionen. Neben verwaltungsrechtlichen Sanktionen, die von den zuständigen Behörden erlassen werden können, steht es den Mitgliedstaaten frei, strafrechtliche Sanktionen zu verhängen (Artt. 50 ff. DORA). Zwangsgelder, die gegen den IKT-Drittdienstleister erlassen werden können, können bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes, den der kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat, betragen (Art. 35 Abs. 8 S. 1 DORA). Gemäß Art. 54 Abs. 1 DORA sind verwaltungsrechtliche Sanktionen von den zuständigen Behörden auf ihren Webseiten zu veröffentlichen.
Wann sind die Vorgaben aus DORA umzusetzen?
Bereits im November 2022 hat der Rat der Europäischen Union die Vorschriften des DORA förmlich angenommen. Die Verordnung wurde im Dezember 2022 im Amtsblatt der Europäischen Union (EU) veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Nach einer zweijährigen Umsetzungsfrist gelten die Anforderungen ab dem 17. Januar 2025 verbindlich in allen Mitgliedstaaten der EU.
In der Zwischenzeit finden für Level-2-Rechtsakte (RTS/ITS) öffentliche Konsultationen statt. Nachdem die Konsultationsrunde für die ersten RTS und ITS Mitte September 2023 abgeschlossen wurde, wird für Ende November/Anfang Dezember dieses Jahres die nächste Runde der öffentlichen Konsultationen für weitere RTS und ITS erwartet. Aufgrund der fortschreitenden Zeit ist Unternehmen zu empfehlen, sich mit den Anforderungen des DORA auseinanderzusetzen und mittels einer GAP-Analyse zu eruieren, welcher Umsetzungsbedarf bei ihnen besteht.
Dieser Beitrag bildet den Auftakt zu unserer CMS Blog-Serie „Digital Operational Resilience Act (DORA)“. Wir geben einen Überblick über die digitale operationale Resilienz im Finanzsektor und halten Sie mit weiteren Beiträgen zu aktuellen Entwicklungen auf dem Laufenden.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.