Digital Operational Resilience Act (DORA) bringt neue Spielregeln

 

Finanzunternehmen haben in den letzten Jahren ihre Digitalisierung stark vorangetrieben, insbesondere wegen der Pandemie. Mit der steigenden Abhängigkeit von IT-Systemen ist der Finanzsektor zu einem attraktiven Ziel für Cyberangriffe geworden. Dies wurde zuletzt durch den Ukrainekrieg deutlich. Die Stärkung der IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungsunternehmen und Wertpapierfirmen gerät dadurch zunehmend im Fokus der Aufsichtsbehörden.

Um den wachsenden Gefahren zu begegnen, haben der Rat und das Europäische Parlament eine Einigung über den Digital Operational Resilience Act (DORA) erzielt, die voraussichtlich noch im November 2022 förmlich beschlossen wird.

DORA legt für Unternehmen im Finanzsektor und Drittanbieter einheitliche Anforderungen an die digitale Betriebsstabilität und Sicherheit von Netzwerken und Informationssystemen fest. In diesem Beitrag erfahren Sie alle wesentlichen DORA-Anforderungen kompakt zusammengefasst.

Hintergrund

Als Teil des im September 2020 präsentierten Maßnahmenpakets „Digital Finance Strategy“ erließ die Kommission den Vorschlag einer Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA). Der Rat und das Europäische Parlament haben im Mai 2022 eine politische Einigung über den Vorschlag der DORA-Verordnung erzielt. Der endgültige Kompromisstext wurde am 23. Juni 2022 veröffentlicht und ist hier abrufbar.

Die Reaktion auf den Krieg in der Ukraine ist noch unklar und könnte zu einigen verschärften Anforderungen führen. Der nächste Schritt ist die Genehmigung durch das Europäische Parlament und den Rat, bevor das förmliche Annahmeverfahren eingeleitet wird, das voraussichtlich im November 2022 stattfinden wird.

Was regelt DORA im Wesentlichen?

DORA legt EU-weit einheitliche Anforderungen an die Informations- und Kommunikationstechnik (IKT)-Systeme von Finanzdienstleistern und mit diesen zusammenarbeitenden Drittanbieter fest, um Cyber-Angriffen und anderen Risiken vorzubeugen.

Weiters soll der europäische Finanzsektor in die Lage versetzt werden, die Betriebsstabilität im Falle einer schwerwiegenden Störung aufrechtzuerhalten. Dadurch soll die IT-Sicherheit im Finanzsektor erhöht werden.

DORA bezweckt zudem, Innovation und die Einführung neuer Finanztechnologien zu fördern und dabei einen angemessenen Verbraucher- und Anlegerschutz zu gewährleisten.

DORA-Anwendungsbereich: Finanzunternehmen und IKT-Drittanbieter

DORA erfasst nahezu alle Finanzunternehmen und wird für Kredit- und Zahlungsinstitute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen bis hin zu Versicherungsunternehmen, Versicherungsvermittler und zahlreiche weitere Finanzdienstleistungsanbieter gelten. Auch IKT-Drittanbieter, die digitale (Daten)Dienste erbringen, werden von den neuen Regeln erfasst. Umgekehrt werden Abschlussprüfer und Anbieter von Hardwarekomponenten und bloßen elektronischen Kommunikationsdiensten von DORA ausgenommen.

Die meisten Anforderungen sollen für Finanzinstitute aller Größen gelten. Lediglich für Kleinstunternehmen („microenterprises“ – Unternehmen, die weniger als 10 Personen beschäftigen und deren Jahresumsatz EUR 2 Mio nicht überschreitet) sind Erleichterungen vorgesehen.

Ausblick auf die inhaltlichen Anforderungen

Die oben genannten Unternehmen werden sicherstellen müssen, dass sie in der Lage sind, allen Arten von Störungen und Bedrohungen im Zusammenhang mit IKT standzuhalten, darauf zu reagieren und sich von ihnen zu erholen. Die Anstrengungen, die von den Finanzunternehmen unternommen werden sollen, werden in einem angemessenen Verhältnis zu den potenziellen Risiken stehen.

Die Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA) werden die Anforderungen in technischen Leitlinien noch spezifizieren.

Neue Anforderungen an das IKT-Risikomanagement

Die erfassten Unternehmen müssen zunächst stabile IKT-Systeme und -Instrumente einrichten und kontinuierlich verbessern, um mit verschiedenen Bedrohungen Schritt halten zu können. Im Unternehmen muss eine eigene verantwortliche Stelle eingerichtet sein.

Mit DORA wird die Implementierung von Schutz- und Präventionsmaßnahmen sowie die Erarbeitung von Notfall- und Wiederherstellungsplänen zur Pflicht. Die konkreten Anforderungen werden sich nach europäischen und international anerkannten technischen Normen richten. Das DORA-Rahmenwerk wird zu diesem Zweck durch delegierte Verordnungen sowie von den zuständigen Aufsichtsbehörden zu erstellenden Leitlinien (Guidelines), technischen Regulierungsstandards (Regulatory Technical Standards) und technischen Durchführungsstandards (Implementing Technical Standards) flankiert werden.

Management, Klassifizierung und Berichterstattung von IKT-Vorfällen

Finanzunternehmen sollen einen Managementprozess zur Überwachung und Protokollierung von IKT-bezogenen Vorfällen einführen. Vorfälle sind nach den in der DORA dargelegten Kriterien anhand von Wesentlichkeitsschwellen zu klassifizieren (wieviele Betroffene, in welchem Gebiet, welche Daten sind betroffen, etc) und schwerwiegende IKT-bezogene Vorfälle müssen künftig nach vorgegebenen Standards gemeldet werden.

Als kritisch eingestufte IKT-Vorfälle müssen sowohl an die Aufsicht als auch an die Kunden gemeldeten werden, sofern deren Interessen berührt sein können.

Neue Regeln für die Testung von IKT-Systemen

Die für das IKT-Risikomanagement vorgesehenen Kapazitäten und Funktionen müssen regelmäßig, mindestens einmal pro Jahr, im Funktionsmodus anhand von simulierten Bedrohungsszenarien auf Abwehrbereitschaft getestet werden (sog. Penetrationstests). Die durchgeführten Tests sind zu protokollieren und bei Ermittlung von Schwachstellen soll die Umsetzung von Korrekturmaßnahmen geprüft werden. Die Verwendung eigener Prüfer wird nur unter streng begrenzten Umständen und vorbehaltlich von Schutzbedingungen möglich sein.

Steuerung des von IKT-Drittanbietern ausgehenden Risikos

Finanzunternehmen müssen das Risiko durch IKT-Drittanbieter evaluieren, laufend proaktiv steuern und überwachen. DORA harmonisiert die Bestandteile von Verträgen mit Drittanbietern und fördert die freiwillige Verwendung von Standardvertragsklauseln. Es ist zu erwarten, dass selbst bei Verwendung der vorgegebenen Vertragsmuster eine detaillierte interne Gesamtrisikoabwägung vorzunehmen ist.

DORA schafft zudem einen europäischen Aufsichtsrahmen für kritische IKT-Drittanbieter (Big Techs), die für Finanzinstitute digitale Dienstleistungen wie zB Cloud Computing erbringen. Kritische Anbieter aus Drittländern, die IKT-Dienste für Finanzunternehmen in der EU erbringen, müssen künftig eine Tochtergesellschaft in der EU gründen, um eine ordnungsgemäße Aufsicht zu gewährleisten.

Zuständigkeit der Aufsichtsbehörden

Laut aktueller Fassung sollen neben der FMA auch die Gewerbebehörden für den Vollzug zuständig sein. Für die Beaufsichtigung kritischer IKT-Drittanbieter soll ein Vertreter der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA als federführende Aufsichtsinstanz bestimmt werden.

Um die Zusammenarbeit und vor allem die (Krisen-)Kommunikation zwischen den Behörden zu erleichtern, sieht DORA Möglichkeiten für sektorübergreifende Simulationsübungen vor. Es ist noch nicht absehbar, wie konkret die erforderliche Abstimmung in der bei Cyberangriffen kurzen Zeit im Ernstfall funktionieren wird.

Finanzunternehmen sollten schon jetzt handeln

DORA wird voraussichtlich im Jänner 2023 in Kraft treten. Ab dann haben Unternehmen 24 Monate Zeit, um die neuen Anforderungen umzusetzen. Es ist ratsam, sich frühzeitig mit den neuen Anforderungen der DORA zu beschäftigen, wie die Erfahrungen bei der Europäischen Datenschutzgrundverordnung (DSGVO) gezeigt haben. Hier haben Unternehmen lange den Handlungsbedarf verdrängt und waren dann überfordert, als die Inkraftsetzung näher rückte.

Unseres Erachtens sind Finanzunternehmen mit niedrigem Resilienz-Reifegrad und solche, die sich bisher wenig mit der Betriebsstabilität ihrer digitalen Systeme und der Resilienz ihrer Dienstleister auseinandergesetzt haben, am stärksten gefordert. Diese Unternehmen sollten bereits jetzt eruieren, wo ihre Widerstandsfähigkeit Lücken aufweist, und Strategien entwickeln, wie sie die künftigen Anforderungen umsetzen wollen.

Wie können wir Sie unterstützen?

Gerne unterstützen wir Sie mit unserem umfassenden Know-How im Risikomanagement von Informations- und Kommunikationstechnologien bei der Implementierung der neuen Anforderungen. Wir freuen uns auf Ihre Anfrage.

Ansprechpersonen: Mag. Sanijel Ficulovic

Adresse

  • 1010 Wien,
    Nibelungengasse 11/4

Kontakt

  • +43 1 877 04 54
  • office(a)pfr.at

Follow us

Suche

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.