27. Februar 2024 - Die EU-Verordnung DORA gilt: Ab nächstem Jahr müssen in Deutschland mehr als 3.600 Unternehmen die EU-Verordnung DORA anwenden. Sie soll den Finanzsektor besser gegen Cyberrisiken schützen. Wie ist der genaue Zeitplan, auf was müssen sich die Unternehmen des Finanzsektors vorbereiten? Und was erwartet die Aufsicht?
Für mehr als 3.600 Unternehmen hierzulande wird die EU-Verordnung DORA spätestens ab dem nächsten Jahr obligatorisch. Jens Oberländer von der BaFin-IT-Aufsicht erklärt, woraus es dabei ankommt.
Laut BaFin (www.bafin.de) nutzte die Hackergruppe Clop im Sommer 2023 eine Schwachstelle im Datentransferprogramm MoveIT aus. Weltweit waren tausende Unternehmen und deren Kundinnen und Kunden von Datenlecks betroffen. Darunter befanden sich auch zahlreiche deutsche Finanzinstitute und Versicherer, die mit Dienstleistern im Kundenservice zusammenarbeiten, die dieses Programm nutzen.
Das Beispiel zeigt, wie stark die Abhängigkeiten in der Finanzbranche gewachsen sind. Hausgemachte IT-Pannen oder eine Cyber-Attacke können gravierende Folgen haben, die weit über das unmittelbar von ihnen betroffene Unternehmen hinausreichen. Solche Störungen müssen nicht einmal bei einem Finanzinstitut selbst auftreten. So steigt die Bedeutung von kritischen Dienstleistern. Sie übernehmen wichtige Aufgaben für einen großen Kreis an Unternehmen des Finanzsektors. Dadurch entstehen hohe Konzentrationsrisiken.
Cyberrisiken im Fokus der Aufsicht
Die Finanzaufsicht BaFin hat solche Risiken schon länger im Fokus – und entsprechende Anforderungen an die IT von Banken, Versicherern, Kapitalverwaltungsstellen und Zahlungsdienstleistern gestellt. Auf europäischer Ebene gibt der Digital Operational Resilience Act (DORA) nun einheitliche Vorgaben für den Umgang mit Cyberrisiken und der IKT-Sicherheit im Finanzsektor. Hier geht es um die Absicherung des Einsatzes von Informations- und Kommunikationstechnik (IKT).
Die wichtigste Errungenschaft von DORA: Die Verordnung schafft ein „single rulebook“, also europaweite Regeln für das Management von Risiken der Informations- und Kommunikationstechnologie (IKT). DORA betrifft Schätzungen zufolge mehr als 20.000 Finanzunternehmen in Europa. So gut wie alle bereits heute beaufsichtigten Institute und Unternehmen und auch zahlreiche andere Anbieter müssen die Vorgaben beachten. In Deutschland gilt DORA für mehr als 3.600 Unternehmen des Finanzsektors.
Fahrplan bis zur Anwendung
Die EU-Verordnung ist im Januar 2023 in Kraft getreten, die Institute und Unternehmen müssen den Anforderungen von DORA ab Januar 2025 nachkommen (siehe Grafik 1). Die drei Europäischen Aufsichtsbehörden – die Europäische Bankenaufsicht (European Banking Authority – EBA), die Europäische Wertpapieraufsicht (European Securities and Markets Authority – ESMA) und die Europäische Versicherungsaufsicht (European Insurance and Occupational Pensions Authority – EIOPA) – erarbeiten gemeinsam technische Regulierungsstandards, Durchführungsstandards und Leitlinien, die DORA weiter konkretisieren.
Grafik 1: DORA – Entwicklung und weiterer Zeitplan
Quelle: BaFin
IKT-Risikomanagement: Verantwortung lässt sich nicht delegieren
Kern von DORA sind die Anforderungen an das IKT-Risikomanagement (siehe Grafik 2). Sie sollen dazu beitragen, dass die Unternehmen widerstandsfähig gegen Cybergefahren werden und ihre Prozesse auch während und nach einem Störungsfall aufrechterhalten können.
Grafik 2: Die verschiedenen Anforderungen des IKT-Risikomanagements
Quelle: BaFin
In der Verordnung wird betont, dass die Unternehmensleitung – also etwa die Geschäftsführung oder der Vorstand – verantwortlich ist für das Management der IKT-Risiken. Und nicht nur das: Sie muss auch die Strategie für die digitale operationale Resilienz festlegen, genehmigen und hierfür ein angemessenes Budget einplanen. Das erforderliche Know-how muss immer auf dem neuesten Stand sein. Zusätzlich müssen die Unternehmen des Finanzsektors eine IKT-Risikokontrollfunktion einrichten. Sie enthält Elemente des bereits heute in den Anforderungen an die IT vorgeschriebenen Informationssicherheitsbeauftragten, ist aber nicht deckungsgleich.
Ein solides, umfassendes und gut dokumentiertes IKT-Risikomanagement ist das A und O, um IKT-Risiken zu begegnen. Die konkreten Anforderungen daran orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren (best practices) sowie an Standards. DORA ist insgesamt standard- und technikneutral: Die Unternehmen des Finanzsektors sollen die Anforderungen risikoorientiert und proportional umsetzen können.
Berichtspflichten zu IKT-Vorfällen für gesamten Finanzsektor
DORA verpflichtet die Unternehmen des Finanzsektors IKT-Vorfälle sorgfältig zu managen. Sie müssen diese überwachen, protokollieren und melden. Sämtliche IKT-Vorfälle müssen die Finanzunternehmen gemäß der in Artikel 18 DORA genannten Kriterien klassifizieren. Schwerwiegende Vorfälle müssen sie an die zuständige Aufsichtsbehörde melden.
Neu ist dies für viele beaufsichtige Unternehmen nicht: Ähnliche Berichts- und Meldepflichten gibt es aktuell für Zahlungsdienstleister durch die Zweite Zahlungsdiensterichtlinie (PSD2-Richtlinie). Auch die NIS2-Richtlinie für Finanzunternehmen macht für kritische Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) solche Vorgaben.
Freiwilliges Meldewesen für erhebliche Cyberbedrohungen
DORA weitet diese Pflichten auf den gesamten Finanzsektor aus, vereinheitlicht diese – und legt fest, dass die BaFin solche Meldungen empfängt. Sie leitet die Meldungen unverzüglich an das BSI, an die jeweilige Europäische Aufsichtsbehörde (EBA, ESMA oder EIOPA) und gegebenenfalls an weitere Akteure weiter, etwa die Europäische Zentralbank. Neben dem Meldewesen für IKT-Vorfälle führt DORA auch ein freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein.
Digitale operationale Resilienz muss getestet werden
DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen: mit einem risikobasierten, proportionalen Testprogramm. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es nach Artikel 16 DORA für Kleinst- und wenige andere Unternehmen. Ein solches Testprogramm soll zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen. Hinzu kommen weitere Tests wie szenario-basierte Tests, Kompatibilitätstests oder Penetrationstests.
Das bisher freiwillige deutsche Äquivalent, genannt TIBER-DE, wird durch DORA zur Pflicht. Die Aufsicht bescheinigt den Unternehmen, dass sie einen TLPT erfolgreich und aufsichtskonform durchgeführt haben. Diese Bescheinigungen werden grenzüberschreitend anerkannt. Aus Sicht der BaFin sollten die TLPTs aber nicht nur der Aufsicht, sondern vor allem dem Erkenntnisgewinn der jeweiligen Unternehmen dienen.
DORA nimmt auch die Risiken in den Fokus, die entstehen können, wenn Unternehmen des Finanzmarkts IKT-Drittdienstleister nutzen. Die Unternehmen, die diese Dienstleistungen nutzen, müssen diese Risiken überwachen – und zwar während des gesamten Lebenszyklus.
Schon vor Vertragsabschluss muss es eine Risikoanalyse geben. Außerdem müssen die Unternehmen eine Due-Diligence-Prüfung durchführen: also die Eignung des Dienstleisters bewerten. Die Unternehmen des Finanzsektors sollen unter anderem berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Für kritische oder wichtige ausgelagerte Funktionen benötigen die Unternehmen des Finanzsektors eine Ausstiegsstrategie. Auch zu den vertraglichen Bestimmungen formuliert DORA Anforderungen: So muss sich der Dienstleister verpflichten, bei IKT-Vorfällen, die seine Dienstleistung betreffen, Unterstützung zu leisten.
Alle IKT-Vertragsbeziehungen müssen in einem Informationsregister dokumentiert werden. Auf dieser Basis kann die Aufsicht kritische IKT-Drittdienstleister bestimmen. Damit liefert das Register einen wesentlichen Beitrag für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister.
Ernstfall muss geprobt werden
DORA regt an, dass Unternehmen des Finanzsektors Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, beispielsweise Indikatoren für Beeinträchtigungen. Auch Taktiken, Techniken und Verfahren von Angreifern, Cybersicherheitswarnungen und Konfigurationseinstellungen relevanter Systeme sollten die Unternehmen des Finanzsektors miteinander teilen, um voneinander zu lernen.
Auch die BaFin will diesen Austausch mitgestalten. Da sie künftig die Meldungen zu IKT-Vorfällen erhält, hat sie wertvolle Informationen, wovon der gesamte Finanzmarkt profitieren könnte. Auch Krisenmanagement- und Notfallübungen rücken für die BaFin in Zukunft noch stärker in den Fokus: Denn für den Ernstfall – wenn also alle präventiven Maßnahmen und Verteidigungsmechanismen nicht gegriffen haben – müssen sowohl die Unternehmen des Finanzsektors als auch die Aufsicht gewappnet sein. Am besten bereitet man sich auf solche Extremsituation durch Übungen vor. Dabei können Sektor übergreifende Kommunikationskanäle und Reaktionen getestet und die Zusammenarbeit in Krisensituationen optimiert werden. (Autor Jens Obermöller, BaFin-IT-Aufsicht / www.bocquel-news.de)
Achtung Copyright: Die Inhalte von bocquel-news.de sind nach dem Urheberrecht für journalistische Texte geschützt. Die Artikel sind ausschließlich zur persönlichen Lektüre und Information bestimmt. Abdrucke und Weiterverwendung - beispielsweise zum kommerziellen Gebrauch auf einer anderen Homepage / Website oder Druckstücken - sind nur nach persönlicher Rücksprache mit der Redaktion (info@bocquel-news.de) gestattet.
