Was bedeutet der neue europäische Digital Operational Resilience Act (DORA) für IT-Dienstleister?
Seit Anfang des Jahres 2023 ist der europäische Digital Operational Resilience Act (DORA) in Kraft und stimmt die Finanzdienstleister auf eine Anpassung ihrer digitalen Infrastruktur auf ein neues IT-Sicherheitsniveau ein. Mit diesem regulatorischen Update reagiert der europäische Gesetzgeber auf aktuelle Bedrohungen und Risiken bei der Nutzung von Informations- und Kommunikationstechnologie, um die Cyberresilience im gesamten Finanzsektor zu stärken. Dabei denkt man – zurecht – an immer häufiger werdende Hackerangriffe und schwerwiegende Datenverluste, welche die Stabilität der Finanzinstitute und damit das Vertrauen in die Finanzmärkte stark beschädigen können.
Allerdings adressiert DORA auch ein anderes Risiko, dem sogar ein eigenes Kapitel (V.) gewidmet ist: Das Outsourcing und die Nutzung von IT-Systemen bereitgestellt durch (große) Technologieanbieter, also das sogenannte IKT-Drittparteienrisiko (Art. 3 Nr. 18 DORA). Dieser Beitrag beleuchtet explizit diesen Regelungsgegenstand und zeigt auf, was Finanzunternehmen und IKT-Drittdienstleister beachten müssen.
Konkrete Regelungsadressaten: Finanzdienstleister und Bereitsteller von IKT-Dienstleistungen für die Finanzindustrie
In den Anwendungsbereich von DORA fallen nicht nur Finanzdienstleister, sondern auch Unternehmen, welche IKT-Dienstleistungen für die Finanzindustrie bereitstellen. Letztere werden in Art. 3 Nr. 21 DORA definiert als
digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung oder Hardwaredienstleistung.
Damit gilt die Verordnung für ein breites Spektrum von Drittdienstleistern, sodass insbesondere auch Cloud-Service-Provider, Softwareanbieter, Datenanalysedienste und Rechenzentren miteingeschlossen sind. Explizit erfasst werden Anbieter, welche Zahlungen abwickeln oder Zahlungsinfrastrukturen betreiben.
Einem besonders strikten Überwachungsregime sind solche IKT-Drittdienstleister unterworfen, die von DORA als „kritisch“ eingestuft werden. Die Einstufung als „kritischer IKT-Dienstleister“ erfolgt nach festgelegten, objektiven Kriterien, welche sowohl an den Dienstleistenden als auch an den Empfänger anknüpfen. Entscheidungsrelevant sind sowohl die Substituierbarkeit des Drittdienstleisters als auch die Abhängigkeit der Empfänger auf der einen Seite. Auf der anderen Seite fließt die relative Bedeutung des den betreffenden Dienstleister nutzenden Finanzunternehmens im europäischen Finanzsektor und die Auswirkungen etwaiger in den IT-Dienstleistungen angesiedelten Betriebsstörungen in die Bewertung mit ein, Art. 3 Ziff. 23 i.V.m. Art. 31 DORA.
Herausforderungen und Chancen für Finanzunternehmen im Drittparteienmanagement
Hierbei prägen zwei Grundprinzipien das Risikomanagement: Zum einen entscheiden sich die Anforderungen an eine Überwachung nach dem Grundsatz der Verhältnismäßigkeit und damit je nach Einzelfall. Zum anderen tragen die Finanzunternehmen die volle Verantwortung, wenn sie ihre Pflichten aus der Verordnung aufgrund einer Risikoverwirklichung aus der Sphäre des Drittanbieters nicht einhalten.
Dafür stellt die Verordnung den Finanzunternehmen eine Reihe an Instrumenten zur Verfügung. Bereits vor Vertragsschluss müssen sie mittels einer umfassenden Analyse die Kritikalität oder Bedeutung der ausgelagerten Dienste als auch die Eignung des IKT-Drittdienstleisters auf Eignung hinsichtlich der Einhaltung von Qualitätsstandards für Informationssicherheit bewerten. Die Sorgfaltsanforderungen steigen, wenn es sich bei den übertragenen Diensten um „wichtige oder kritische Funktionen“ nach Art. 3 Ziff. 22 DORA handelt, also um solche, deren Ausfall die finanzielle Leistungsfähigkeit erheblich beeinträchtigen könnte und daher unter den aktuellen und höchsten Sicherheitsstandards vorgenommen werden muss.
Beachtlich für die Bewertung ist außerdem das Konzentrationsrisiko, also die Abhängigkeitsprognose des Finanzunternehmens von einem Drittdienstleister, Art. 28 Abs. 4 lit. c, 29 DORA. Damit dabei die Vertragsfreiheit nicht zu sehr eingeschränkt wird, verfolgt DORA einen flexiblen Ansatz ohne vorgeschriebene starre Obergrenzen oder strenge Beschränkungen. Für den Fall, dass eine ursprünglich vorhandene Eignung nachträglich wegfällt, fordert DORA die Einräumung von umfassenden Kündigungsmöglichkeiten und die Ausarbeitung einer Exitstrategie. Um die Einhaltung vertraglicher Bestimmungen zu kontrollieren, sollen den Finanzunternehmen umfangreiche Zugangs-, Inspektions- und Auditrechte eingeräumt werden, Art, 30 Abs. 3 lit. e DORA.
DORA hat außerdem klare inhaltliche Vorstellungen von den wesentlichen Vertragsbedingungen, welche der in Art. 30 DORA niedergeschriebene Katalog äußert. Neben einem Formerfordernis wird etwa eine Spezifikation aller Funktionen und Dienstleistungen oder die Beschreibung der Dienstleistungsgüte verlangt. Auch sollen Bestimmungen zur Zugänglichkeit, Sicherheit und Schutz personenbezogener Daten enthalten sein. Zudem sind bei kritischen Auslagerungen auch z. B. konkretere Anforderungen an Leistungsgüte Berichtspflichten, Implementierung von Notfallplänen, Teilnahme an TLPT-Tests, umfangreiche Auditrechte, Kooperationsverpflichtungen und Ausstiegsstrategien in den Verträgen festzulegen; vgl. Art. 30 Abs. 3 DORA. Außerdem ist in bestimmten Fällen die Möglichkeit der Zwangskündigung einer Kooperation durch die Behörden vorgesehen, vgl. Art. 39 Abs. 7 DORA.
Durch diese zahlreichen Instrumente wird im Ergebnis die Verhandlungsposition der Finanzunternehmen gestärkt, indem sie bei der Verhandlung der Verträge auf die zwingenden, dem Schutz der Finanzinstitute dienenden, vertraglichen Mindestinhalte verweisen können.
Ein spezielles Überwachungskonzept für kritische IKT-Drittdienstleister
Wie bereits erwähnt, unterscheidet DORA zwischen „normalen“ und kritischen IKT-Drittdienstleistern, indem letztere schärferen Vorschriften und einer direkten Überwachung durch die Finanzaufsichtsbehörden unterworfen werden. DORA begründet hier ein besonderes Aufsichtskonzept zur Sicherung der Stabilität und Integrität des Finanzsektors. Es soll explizit nur im Kontext von digitaler, operativer Resilienz und nicht als (allgemeines) Modell zur Beaufsichtigung von Finanzdienstleistungen gelten (Erwägungsgrund 76).
Die Verordnung reagiert auf den länger anhaltenden Trend der wachsenden Abhängigkeit von bestimmten IKT-Drittdienstleistern in einem noch nie dagewesenen Ausmaß und spielt damit auf die Marktmacht der sogenannten Hyperscaler, also der großen internationalen Cloud Service Provider, an (Erwägungsgrund 79; BKR 2021, 424, 426; RDi 2023, 164). Es liegt in der Natur von Cybervorfällen, dass sie sich erheblich schneller ausbreiten und mit heftigen Auswirkungen den gesamten Finanzsektor betreffen können. Damit bedarf es eines angepassten Überwachungsrahmens zur Eindämmung der Sicherheitsrisiken, dessen wesentliche Bestandteile im Folgenden vorgestellt werden.
Um ein umfassendes und operatives Verständnis des IKT-Risikomanagements des kritischen IKT-Drittdienstleisters zu erhalten, werden die federführenden Behörden, die European Supervisory Authorities (ESA), mit weitreichenden Befugnissen ausgestattet. Konkret umfasst das weitreichende Auskunfts-, Untersuchungs- und Inspektionsrechte, Art. 35 i.V.m. Art. 37 bis 39 DORA. Insbesondere wird die zuständige Aufsichtsbehörde gemäß Art. 39 DORA auch zur Durchführung von Vor-Ort-Inspektionen, bis hin zu sogenannten Dawn Raids, ermächtigt. Um dem kooperativen Ansatz mehr Wirkung zu verleihen, können bei Nichteinhaltung der Maßnahmen Zwangsgelder ausgesprochen werden. Sie können täglich verhängt werden und dabei einen Umfang von 1% des weltweiten Tagesumsatzes des jeweiligen IT-Dienstleisters erreichen.
DORA ist sich zudem der Ortsunabhängigkeit der Dienstleistungserbringung bewusst und fordert von kritischen IKT-Drittdienstleistern mit Sitz und Niederlassungen in Drittstaaten die Gründung eines Tochterunternehmens in der Europäischen Union (EU), um das Überwachungskonzept so effektiv wie möglich umsetzen zu können. Ergänzend sollen die EBA, ESMA oder die EIOPA Kooperationsverträge mit Drittstaaten schließen, um die Befugnisse auch in anderen Territorien neben der EU auszuüben, Art. 36 Abs. 2 DORA.
Ausblick: Die Verantwortung verbleibt grundsätzlich bei den Finanzunternehmen
DORA reguliert den Umgang mit Cyberrisiken in der Finanzbranche. Hierzu gehören auch solche Risiken, die gerade durch das Outsourcing von IKT-Dienstleistungen an Dritte entstehen. Dabei belässt sie die Verantwortung grundsätzlich bei den Finanzunternehmen, stellt ihnen jedoch zahlreiche Instrumente zur Steuerung dieser Dritt-Risiken zur Verfügung. Ab dem Zeitpunkt, in dem ein Unternehmen als „kritischer IKT-Drittdienstleister“ bewertet wird, greift außerdem ein Überwachungsrahmen, um die Stabilität und Integrität des europäischen Finanzsystems erfolgreich zu schützen.
Die Verordnung wird ab dem 17. Januar 2025 von den Aufsichtsbehörden durchgesetzt werden. Bis dahin ist es interessant zu beobachten, wie Finanzunternehmen als auch IKT-Drittdienstleister die Anforderungen umsetzen oder sich die Behörden zur Wahrnehmung ihrer Überwachungsfunktion aufstellen.
Der Beitrag wurde mit Hilfe von Jonathan Beyer erstellt.
In unserem CMS-Blog informieren wir Sie in unserer Blog-Serie „Digital Operational Resilience Act (DORA)“ fortlaufend mit aktuellen Beiträgen zu diesen Themen, beginnend mit einem Überblick. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge informiert.
Auch die Verordnung über Märkte für Kryptowerte (MiCA-Verordnung) ist Teil des Maßnahmenpakets zur Förderung des Innovations- und Wettbewerbspotentials des digitalen Finanzwesens. Mehr zur MiCA-Verordnung erfahren Sie hier in unserem Blog.