Gemäß einer Aufsichtsmitteilung der BaFin zur Umsetzung von DORA im IKT-Risikomanagement führt DORA zu einer Ausweitung der Compliance-Anforderungen. Der Beitrag stellt wesentliche Erkenntnisse der Aufsichtsmitteilung dar.
Die Verordnung des Europäischen Parlaments und des Rates über die digitale operationale Resilienz im Finanzsektor (EU) 2022/2554 (Digital Operational Resilience Act – DORA) (DORA) ist eine europaweit geltende Regulierung, die seit dem 16. Januar 2023 in Kraft und ab dem 17. Januar 2025 verpflichtend umzusetzen ist und umfassende Anforderungen an Finanzunternehmen stellt. Wesentliches Kernelement von DORA ist das sog. IKT-Risikomanagement. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat im Juni 2024 die Aufsichtsmitteilung Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement (Aufsichtsmitteilung) veröffentlicht, die Finanzunternehmen Orientierung bei der Umsetzung der Anforderungen durch DORA geben soll. Daraus geht hervor, dass aus Sicht der BaFin DORA zu einer deutlichen Ausweitung der Compliance-Anforderungen für Finanzunternehmen führt. Die wesentlichen Aspekte werden nachfolgend überblicksartig dargestellt.
Übergang von xAIT zu DORA im Finanzsektor
DORA wurde von der Europäischen Union eingeführt, um den wachsenden Bedrohungen durch Cyber-Angriffe und systemische Störungen der IKT-Infrastrukturen im Finanzsektor entgegenzuwirken. DORA bietet einen umfassenden Rahmen für das Management von IKT-Risiken und setzt einheitliche Standards für Informationssicherheit, die kontinuierliche Überwachung von IT-Systemen und den Umgang mit externen IKT-Drittdienstleistern (vgl. Digital Operational Resilience Act – ein Überblick (cmshs-bloggt.de).
Das IKT-Risikomanagement stellt ein zentrales Element von DORA dar und verpflichtet Finanzunternehmen, bestehende IKT-Risiken systematisch zu identifizieren, zu bewerten und zu steuern. Die Anforderungen an das IKT-Risikomanagement überschneiden sich in vielerlei Hinsicht mit den Anforderungen an die IT der bisherigen Regulatorik der BaFin (BAIT/VAIT/KAIT/ZAIT) (nachfolgend: xAIT), allerdings weist DORA auch spezifische Unterschiede auf und beinhaltet weitergehende Anforderungen, die bei der Implementierung berücksichtigt werden müssen. Perspektivisch beabsichtigt die BaFin die Aufhebung der xAIT.
Entwicklung einer neuen DOR-Strategie und Aufbau einer umfassenden Governance
Finanzunternehmen müssen eine neue Strategie für die digitale operationale Resilienz (sog. DOR-Strategie) entwickeln. Im Fokus der neuen DOR-Strategie steht das IKT-Risikomanagement und das IKT-Drittparteienrisikomanagement (Art. 6 Abs. 8 DORA). In den xAIT stand dagegen die IT-Strategie im Vordergrund, die jedoch breiter gefasst ist als die von DORA geforderte DOR-Strategie. Die BaFin weist darauf hin, dass der Fortbestand einer IT-Strategie gemäß den Anforderungen der xAIT weiterhin erforderlich und sinnvoll sei.
Ein zentrales Element von DORA ist der Aufbau eines umfassenden internen Governance- und Kontrollrahmens. Sichergestellt werden muss das wirksame und umsichtige Management der IKT-Risiken und die daraus resultierende Stärkung der Resilienz des Finanzunternehmens. Überdies haben Finanzunternehmen eine Überwachungsfunktion einzurichten, welche Verträge mit IKT-Drittdienstleistern über die Nutzung von IKT-Dienstleistungen zu überwachen hat (Art. 5 Abs. 3 DORA).
Rolle des Leitungsorgans in DORA erheblich gestärkt
Die Gesamtverantwortung trägt stets das Leitungsorgan des Finanzunternehmens. Dieses hat sicherzustellen, dass alle relevanten Maßnahmen zur Risikobewältigung ergriffen werden (Art. 5 Abs. 2 DORA). Im Vergleich zu den bisherigen Anforderungen der BaFin wird die Rolle des Leitungsorgans in DORA erheblich gestärkt. Es wird von den Mitgliedern des Leitungsorgans erwartet, dass sie über ausreichende Kenntnisse und Fähigkeiten im Bereich der IKT-Risiken verfügen und diese kontinuierlich auf dem neuesten Stand halten (Art. 5 Abs. 4 DORA).
Grundsätzliche Akzentverschiebung von Informationssicherheit zu IKT-Risikomanagement
Während die xAIT auf die Informationssicherheit fokussiert sind, legt DORA den Schwerpunkt auf das IKT-Risikomanagement. Maßnahmen der Informationssicherheit bleiben zwar ein zentraler Bestandteil, werden aber als Mittel zur Erreichung der digitalen Resilienz betrachtet. Die BaFin lässt erkennen, dass sich die in der Praxis zu ergreifenden Maßnahmen allerdings nicht wesentlich zu den bisherigen Anforderungen unterscheiden dürften.
DORA führt eine neue IKT-Risikokontrollfunktion ein, die die Zuständigkeit für das Management und die Überwachung des IKT-Risikos übernehmen soll (Art. 6 Abs. 4 DORA). Diese Funktion ähnelt dem bisherigen Informationssicherheitsbeauftragten, der in den xAIT vorgeschrieben ist, ist jedoch weiter gefasst und umfasst alle Aspekte des IKT-Risikomanagements. Ausdrücklich unter DORA vorgesehen ist, dass IKT-Risikomanagementfunktionen ausgelagert werden können, wobei die Verantwortlichkeit hierfür vollständig beim Finanzunternehmen verbleibt (Art. 6 Abs. 10 DORA).
Neue Prüfungs- und Analyseanforderungen zu IKT-Risiken und verstärkte Schulungspflichten
DORA führt neue Prüfungs- und Analyseanforderungen zu IKT-Risiken, neuen Technologien, Altsystemen, Vorfällen und Tests ein. Finanzunternehmen müssen hierzu regelmäßig Berichte über die Ergebnisse dieser Analysen erstellen, die teilweise auch der Aufsichtsbehörde vorgelegt werden müssen. Zur Umsetzung dieser neuen Analyse- und Berichtspflichten sind neue Prozesse zu implementieren oder bestehende Prozesse anzupassen.
Zu beachten sind zudem die durch DORA stärker hervorgehobenen Schulungspflichten. Finanzunternehmen müssen sowohl ihre Mitarbeiter als auch die Geschäftsleitung zur IKT-Sicherheit sensibilisieren und Schulungen zur digitalen operationalen Resilienz entwickeln (Art. 13 Abs. 6 DORA).
IKT-Systeme sind stets auf dem neuesten Stand zu halten
Der sichere IT-Betrieb spielt eine Schlüsselrolle bei der Stärkung der digitalen Resilienz eines Finanzunternehmens. DORA verlangt, dass alle IKT-Systeme stets auf dem neuesten Stand gehalten werden (Art. 7 DORA) und geht über die Anforderungen der bisherigen Regulatorik hinaus, die vorrangig regelmäßige Aktualisierungen der IT-Systeme verlangte. Auch die Anforderungen an die Zuverlässigkeit, die technologische Resilienz der IKT-Systeme sowie das Kapazitätsmanagement werden durch DORA ausgeweitet. Bestehende IKT-Altsysteme sind nunmehr einmal jährlich sowie bei jeder Änderung des IKT-Risikos explizit zu untersuchen und hinsichtlich des von ihnen ausgehenden IKT-Riskos zu bewerten (Art. 8 Abs. 7 DORA).
Eine weitere Neuerung in DORA ergibt sich aus der Ausweitung der Anforderungen an das IKT-Änderungsmanagements. Während in den xAIT nur wesentliche Änderungen an IKT-Systemen erfasst wurden, verlangt DORA, dass alle Änderungen an IKT-Systemen im Rahmen des IKT-Änderungsmanagements auf kontrollierte Weise erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden (Art. 9 Abs. 3 lit. e) DORA).
Erweiterte Anforderungen an das IKT-Geschäftsfortführungsmanagement
Das IKT-Geschäftsfortführungsmanagement wird in DORA als zentraler Bestandteil des IKT-Risikomanagements betrachtet. Finanzunternehmen müssen eine umfassende IKT-Geschäftsfortführungsleitlinie festlegen und implementieren, um insbesondere die Fortführung der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen (Art. 11 Abs. 1, 2 DORA). DORA fordert die regelmäßige und teilweise mindestens jährliche Überprüfung und Aktualisierung dieser Pläne und verschärft dabei die Anforderungen der bisherigen Regulatorik (Art. 11 Abs. 6 DORA).
Ein wesentlicher Unterschied zu den bisherigen Anforderungen der xAIT besteht darin, dass DORA die Berücksichtigung einer größeren Anzahl von Krisenszenarien im Rahmen des IKT-Geschäftsfortführungsmanagement vorsieht, beispielsweise klimawandelbedingte Risiken, Naturkatastrophen, Insider-Angriffe und politische und soziale Instabilität sowie großflächige Stromausfälle.
Erhebliche Ausweitung der Anforderungen im IKT-Drittparteienrisikomanagement
DORA legt ein besonderes Augenmerk auf das Management von Risiken, die durch die Nutzung von IKT-Drittdienstleistern entstehen. Wesentliche Anforderungen an ein solides Management des IKT-Drittparteienrisikos betreffen die Bereiche Governance, den Lebenszyklus eines IKT-Dienstleistungsbezugs, den Umgang mit bestimmten IKT-Drittparteienrisiken und den Mindestvertragsinhalten. Hervorgehoben wird, dass DORA die bestehenden Regelungen zu Auslagerungen (insbesondere § 25b KWG, MaRisk, MaGo) ergänzt und diese Regelungen parallel zu berücksichtigen sind.
Eine erhebliche Ausweitung des Aufwands für Finanzunternehmen dürfte sich daraus ergeben, dass sich das Management des IKT-Drittparteienrisikos auf „alle IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit“ bezieht (Art. 28 Abs. 1 DORA) und der Anwendungsbereich damit deutlich weiter gefasst ist als unter der bisherigen Regulatorik.
Keine erweiterten Übergangsfristen für die Anpassung der bestehenden vertraglichen Vereinbarungen vorgesehen
Finanzunternehmen müssen sicherstellen, dass alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern den Mindestanforderungen entsprechen, die in DORA festgelegt sind. Dabei werden die Anforderungen an vertragliche Vereinbarungen unter DORA deutlich erweitert. Zu den verpflichtend zu vereinbarenden Inhalten gehören unter anderem der Ort der Leistungserbringung sowie der Datenspeicherung, Bestimmungen über den Zugang zu Daten, Kündigungsrechte sowie Unterstützungsleistungen im Falle eines IKT-Vorfalls. Für Verträge, die kritische oder wichtige Funktionen betreffen, bestehen darüberhinausgehende Mindestvertragsinhalte.
Eine große Herausforderung dürfte sich daraus ergeben, dass eine deutliche Ausweitung der Anforderungen für Vereinbarungen besteht, die keine kritischen oder wichtigen Funktionen betreffen. Finanzunternehmen müssen daher eine Vielzahl von Verträgen prüfen und ggf. neu verhandeln, um den DORA-Anforderungen gerecht zu werden. Die BaFin macht deutlich, dass grundsätzlich keine erweiterten Übergangsfristen für die Anpassung der bestehenden vertraglichen Vereinbarungen vorgesehen ist. Insbesondere sollte nicht die Veröffentlichung der angekündigten und zu berücksichtigenden Standardvertragsklauseln (Art. 30 Abs. 4 DORA) abgewartet werden, zumal nicht absehbar ist, wann mit der Veröffentlichung gerechnet werden kann. Ausreichend sei es aber, wenn in einem dokumentierten Implementierungszeitplan die rechtzeitige Umsetzung festgelegt wird und die Anpassung der Verträge so bald wie möglich vorgenommen wird.
Fazit und Implikationen für die Praxis
Während einige der Anforderungen aus DORA bereits durch die bestehende Regulatorik abgedeckt sind, geht DORA in vielen Bereichen über diese Regelungen hinaus und fordert eine umfassendere und detailliertere Umsetzung.
Die Anforderungen an das IKT-Drittparteienrisikomanagement und die möglicherweise bestehende Notwendigkeit, Verträge mit IKT-Drittdienstleistern neu zu verhandeln, stellen eine große Herausforderung dar. Finanzunternehmen müssen sicherstellen, dass sie nicht nur ihre eigenen internen Systeme und Prozesse anpassen, sondern auch ihre Beziehungen zu IKT-Drittdienstleistern im Einklang mit den DORA-Vorgaben gestalten.
Insgesamt ist die Implementierung von DORA ein komplexer Prozess, der sorgfältige Planung und erhebliche Ressourcen erfordert. Die BaFin stellt mit diesem Dokument wertvolle Umsetzungshinweise für Finanzunternehmen bereit.
In unserem CMS-Blog informieren wir Sie in unserer Blog-Serie „Digital Operational Resilience Act (DORA)“ fortlaufend mit aktuellen Beiträgen zu diesen Themen, beginnend mit einem Überblick. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert.
Auch die Verordnung über Märkte für Kryptowerte (MiCA-Verordnung) ist Teil des Maßnahmenpakets zur Förderung des Innovations- und Wettbewerbspotentials des digitalen Finanzwesens. Mehr zur MiCA-Verordnung erfahren Sie hier in unserem Blog.