Produkte und Profile
Noch mehr Bürokratie um DORA-Einhaltung zu prüfen 18. Juli 2024 - Um IT-Risiken besser begegnen zu können, hat die EU mit dem Digital Operational Resilience Act (DORA) ein neues Regelwerk geschaffen. Der GDV erklärt die Hintergründe und neue Anforderungen für die Umsetzung Anfang 2025. Digitale Technologien spielen dabei eine zentrale Rolle für Versicherungen. Wieder Mehrarbeit für die Unternehmen. Um die IT-Sicherheit in den Unternehmen zu stärken, hat die Europäische Union im Januar 2023 eine Verordnung zur digitalen operationalen Resilienz (DORA) verabschiedet, die ab Januar 2025 von nahezu allen Finanzinstitutionen angewendet werden muss (siehe auch .bocquel-news 27. Februar 2024 DORA kommt - der Countdown läuft bereits. Der Fokus von DORA liegt auf Informations- und Kommunikationstechnologie (IKT)-Systemen, die Geschäftsabläufe aufrechterhalten, wie beispielsweise den Abschluss von Versicherungsprodukten. DORA zielt darauf ab, dass im Falle eines Cyberangriffs oder einer anderen schwerwiegenden Betriebsstörung die Unternehmen stabil und funktionsfähig bleiben können. Diese EU-Verordnung ist sehr weitreichend und betrifft nicht nur klassische Finanzunternehmen wie Versicherungen und Banken, sondern mitunter auch deren IKT-Drittdienstleister, einschließlich Cloud-Dienstleister und Rechenzentren. Es handelt sich hier um die IKT-Drittdienstleister mit „allen digitalen Diensten und Datendiensten, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardware-Dienstleistungen. Die europäischen Vorgaben gelten unmittelbar und sind von den Unternehmen umzusetzen. Zusätzliche nationale Sonderregelungen, wie die jährliche Prüfpflicht der DORA-Einhaltung als Bestandteil der Jahresabschlussprüfung sollen im Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert werden. Umfassendes IKT-Risikomanagement erforderlich Damit Finanzunternehmen ihre Funktionsfähigkeit gewährleisten können, müssen sie ihre IKT-Risiken effektiv steuern. Dazu sind die betroffenen Unternehmen aufgefordert, ein umfassendes IKT-Risikomanagementsystem einzuführen. In der Praxis bedeutet das, dass neue Verantwortlichkeiten und Schnittstellen festgelegt werden müssen. So sollen Unternehmen unter anderem eine Resilienzstrategie entwickeln, Richtlinien zur Informationssicherheit und Geschäftskontinuität dokumentieren sowie Pläne zur Reaktion und Wiederherstellung von IKT-Systemen vorhalten. - Um Versicherungsunternehmen realistisch zu bewerten, sind in regelmäßigen Abständen Prüfungen und Tests durch interne und externe Experten gefordert. Die Unternehmen sollen sich nicht nur vor externen Angriffen schützen, sondern auch schwerwiegende IT-Probleme meistern, die nicht durch kriminelle Absichten verursacht werden. Strenge Vorgaben für die Meldung von IKT-Vorfällen Wenn sich ein IKT-Vorfall als schwerwiegend herausstellt, muss dies der Aufsichtsbehörde spätestens nach 24 Stunden und mit einer ausführlichen Beschreibung gemeldet werden. Dabei sind die vom Gesetzgeber festgelegten Klassifizierungskriterien umfangreich und betreffen unterschiedliche Unternehmensbereiche. Sie umfassen unter anderem die potenzielle Anzahl betroffener Kunden sowie die möglichen finanziellen Auswirkungen. Zusätzlich muss der Inhalt der Erst-, Zwischen- und Abschlussmeldungen unternehmensweit zusammengetragen und dokumentiert werden. Risiken durch zunehmende Nutzung von Drittdienstleistern Um alle Anforderungen regelkonform zu gewährleisten, sind große personelle und finanzielle Ressourcen erforderlich. In einem GDV-Bericht (www.gdv.de) heißt es dazu außerdem: Insbesondere im Bereich des Managements von Drittanbieterrisiken, etwa von Service-Providern, verlangt DORA den Unternehmen umfassende Anforderungen ab. Entsprechend dem Prinzip der Letztverantwortung müssen sich Finanzunternehmen noch stärker mit internen Risiken aber auch mit Risiken aus der Beauftragung von Drittanbietern und deren Unterbeauftragung befassen. Auch die IKT-Drittanbieter selbst werden durch den neu eingeführten Überwachungsrahmen stärker in den Fokus der regulatorischen Kontrolle genommen. Sie können als sogenannte kritische IKT-Drittdienstleister künftig Überprüfungen und Maßnahmen der Europäischen Aufsichtsbehörden unterliegen. Kriterien für solche Dienstleister sind zum Beispiel die systemische Relevanz oder die funktionelle Abhängigkeit der Finanzunternehmen vom IKT-Drittdienstleister. Umsetzungsfrist ist knapp bemessen Mit der Einführung von DORA wollen die europäischen Gesetzgeber eine neue Ära der IT-Sicherheit und operativen Widerstandsfähigkeit einleiten. Technische Details zu den regulatorischen Vorgaben sind noch nicht final. Auch wenn viele der Anforderungen für deutsche Versicherungsunternehmen bereits aus dem bisherigen VAIT-Rundschreiben der BaFin bekannt sind, bleibt der Aufwand für die Umsetzung erheblich. Besonders kleinere und mittlere Versicherungsunternehmen mit begrenzten Personalressourcen stehen vor großen Herausforderungen. Zwar enthält DORA den Grundsatz der Proportionalität, doch lässt der Detailgrad der Anforderungen oft wenig Raum für eine angepasste Umsetzung. Seit der Verabschiedung im Jahr 2023 werden die Details sukzessive ausgearbeitet und kommuniziert. Die Frist zur Umsetzung bis zum 17. Januar 2025 ist daher knapp bemessen. Mehrfache Meldepflichten für Versicherungsgruppen möglich Während DORA die Cybersicherheit speziell für den Finanzsektor regelt, erfasst die NIS2-Richtlinie beziehungsweise das kommende nationale NIS2-Umsetzungsgesetz branchenübergreifend sogenannte kritische Infrastrukturen. Die EU-Richtlinie NIS2 legt damit ebenfalls EU-weite Mindeststandards für IT-Sicherheit fest, die bis Oktober 2024 in deutsches Recht umgesetzt werden müssen. Aufgrund der inhaltlichen Überschneidung beider Regulierungen werden Finanzunternehmen, die unter DORA fallen, weitestgehend von NIS2 ausgenommen. Trotzdem bestehen mittelbar Wechselwirkungen. So fallen gruppeninterne IT-Dienstleister weiterhin unter NIS2. Im Umkehrschluss können auch NIS2-Regelungen für Versicherungsgruppen relevant werden: IT-Vorfälle müssten beispielsweise laut DORA über die Versicherungsunternehmen beziehungsweise von allen betroffenen Konzerngesellschaften an die BaFin (www.bafin.de) gemeldet werden. Die IT-Tochter der Versicherungsgruppe müsste wiederum gemäß NIS2 an das BSI Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) melden. Laut GDV sind Inhalt, Verfahren und Form der Meldungen derzeit nicht identisch – mit der Folge, dass derselbe Vorgang unterschiedlich und mehrfach zu melden wäre. (-el / www.bocquel-news.de) zurück Achtung Copyright: Die Inhalte von bocquel-news.de sind nach dem Urheberrecht für journalistische Texte geschützt. Die Artikel sind ausschließlich zur persönlichen Lektüre und Information bestimmt. Abdrucke und Weiterverwendung - beispielsweise zum kommerziellen Gebrauch auf einer anderen Homepage / Website oder Druckstücken - sind nur nach persönlicher Rücksprache mit der Redaktion (info@bocquel-news.de) gestattet. Artikel drucken

Produkte und Profile

Noch mehr Bürokratie um DORA-Einhaltung zu prüfen

18. Juli 2024 - Um IT-Risiken besser begegnen zu können, hat die EU mit dem Digital Operational Resilience Act (DORA) ein neues Regelwerk geschaffen. Der GDV erklärt die Hintergründe und neue Anforderungen für die Umsetzung Anfang 2025. Digitale Technologien spielen dabei eine zentrale Rolle für Versicherungen. Wieder Mehrarbeit für die Unternehmen.

Um die IT-Sicherheit in den Unternehmen zu stärken, hat die Europäische Union im Januar 2023 eine Verordnung zur digitalen operationalen Resilienz (DORA) verabschiedet, die ab Januar 2025 von nahezu allen Finanzinstitutionen angewendet werden muss (siehe auch .bocquel-news 27. Februar 2024 DORA kommt - der Countdown läuft bereits.

Der Fokus von DORA liegt auf Informations- und Kommunikationstechnologie (IKT)-Systemen, die Geschäftsabläufe aufrechterhalten, wie beispielsweise den Abschluss von Versicherungsprodukten. DORA zielt darauf ab, dass im Falle eines Cyberangriffs oder einer anderen schwerwiegenden Betriebsstörung die Unternehmen stabil und funktionsfähig bleiben können.

Diese EU-Verordnung ist sehr weitreichend und betrifft nicht nur klassische Finanzunternehmen wie Versicherungen und Banken, sondern mitunter auch deren IKT-Drittdienstleister, einschließlich Cloud-Dienstleister und Rechenzentren. Es handelt sich hier um die IKT-Drittdienstleister mit „allen digitalen Diensten und Datendiensten, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardware-Dienstleistungen.

Die europäischen Vorgaben gelten unmittelbar und sind von den Unternehmen umzusetzen. Zusätzliche nationale Sonderregelungen, wie die jährliche Prüfpflicht der DORA-Einhaltung als Bestandteil der Jahresabschlussprüfung sollen im Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert werden.

Umfassendes IKT-Risikomanagement erforderlich
Damit Finanzunternehmen ihre Funktionsfähigkeit gewährleisten können, müssen sie ihre IKT-Risiken effektiv steuern. Dazu sind die betroffenen Unternehmen aufgefordert, ein umfassendes IKT-Risikomanagementsystem einzuführen. In der Praxis bedeutet das, dass neue Verantwortlichkeiten und Schnittstellen festgelegt werden müssen.

So sollen Unternehmen unter anderem eine Resilienzstrategie entwickeln, Richtlinien zur Informationssicherheit und Geschäftskontinuität dokumentieren sowie Pläne zur Reaktion und Wiederherstellung von IKT-Systemen vorhalten. - Um Versicherungsunternehmen realistisch zu bewerten, sind in regelmäßigen Abständen Prüfungen und Tests durch interne und externe Experten gefordert. Die Unternehmen sollen sich nicht nur vor externen Angriffen schützen, sondern auch schwerwiegende IT-Probleme meistern, die nicht durch kriminelle Absichten verursacht werden.

Strenge Vorgaben für die Meldung von IKT-Vorfällen
Wenn sich ein IKT-Vorfall als schwerwiegend herausstellt, muss dies der Aufsichtsbehörde spätestens nach 24 Stunden und mit einer ausführlichen Beschreibung gemeldet werden. Dabei sind die vom Gesetzgeber festgelegten Klassifizierungskriterien umfangreich und betreffen unterschiedliche Unternehmensbereiche. Sie umfassen unter anderem die potenzielle Anzahl betroffener Kunden sowie die möglichen finanziellen Auswirkungen. Zusätzlich muss der Inhalt der Erst-, Zwischen- und Abschlussmeldungen unternehmensweit zusammengetragen und dokumentiert werden.

Risiken durch zunehmende Nutzung von Drittdienstleistern
Um alle Anforderungen regelkonform zu gewährleisten, sind große personelle und finanzielle Ressourcen erforderlich. In einem GDV-Bericht (www.gdv.de) heißt es dazu außerdem: Insbesondere im Bereich des Managements von Drittanbieterrisiken, etwa von Service-Providern, verlangt DORA den Unternehmen umfassende Anforderungen ab. Entsprechend dem Prinzip der Letztverantwortung müssen sich Finanzunternehmen noch stärker mit internen Risiken aber auch mit Risiken aus der Beauftragung von Drittanbietern und deren Unterbeauftragung befassen.

Auch die IKT-Drittanbieter selbst werden durch den neu eingeführten Überwachungsrahmen stärker in den Fokus der regulatorischen Kontrolle genommen. Sie können als sogenannte kritische IKT-Drittdienstleister künftig Überprüfungen und Maßnahmen der Europäischen Aufsichtsbehörden unterliegen. Kriterien für solche Dienstleister sind zum Beispiel die systemische Relevanz oder die funktionelle Abhängigkeit der Finanzunternehmen vom IKT-Drittdienstleister.

Umsetzungsfrist ist knapp bemessen
Mit der Einführung von DORA wollen die europäischen Gesetzgeber eine neue Ära der IT-Sicherheit und operativen Widerstandsfähigkeit einleiten. Technische Details zu den regulatorischen Vorgaben sind noch nicht final.

Auch wenn viele der Anforderungen für deutsche Versicherungsunternehmen bereits aus dem bisherigen VAIT-Rundschreiben der BaFin bekannt sind, bleibt der Aufwand für die Umsetzung erheblich. Besonders kleinere und mittlere Versicherungsunternehmen mit begrenzten Personalressourcen stehen vor großen Herausforderungen. Zwar enthält DORA den Grundsatz der Proportionalität, doch lässt der Detailgrad der Anforderungen oft wenig Raum für eine angepasste Umsetzung. Seit der Verabschiedung im Jahr 2023 werden die Details sukzessive ausgearbeitet und kommuniziert. Die Frist zur Umsetzung bis zum 17. Januar 2025 ist daher knapp bemessen.

Mehrfache Meldepflichten für Versicherungsgruppen möglich
Während DORA die Cybersicherheit speziell für den Finanzsektor regelt, erfasst die NIS2-Richtlinie beziehungsweise das kommende nationale NIS2-Umsetzungsgesetz branchenübergreifend sogenannte kritische Infrastrukturen. Die EU-Richtlinie NIS2 legt damit ebenfalls EU-weite Mindeststandards für IT-Sicherheit fest, die bis Oktober 2024 in deutsches Recht umgesetzt werden müssen. Aufgrund der inhaltlichen Überschneidung beider Regulierungen werden Finanzunternehmen, die unter DORA fallen, weitestgehend von NIS2 ausgenommen. Trotzdem bestehen mittelbar Wechselwirkungen. So fallen gruppeninterne IT-Dienstleister weiterhin unter NIS2.

Im Umkehrschluss können auch NIS2-Regelungen für Versicherungsgruppen relevant werden: IT-Vorfälle müssten beispielsweise laut DORA über die Versicherungsunternehmen beziehungsweise von allen betroffenen Konzerngesellschaften an die BaFin (www.bafin.de) gemeldet werden. Die IT-Tochter der Versicherungsgruppe müsste wiederum gemäß NIS2 an das BSI Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) melden. Laut GDV sind Inhalt, Verfahren und Form der Meldungen derzeit nicht identisch – mit der Folge, dass derselbe Vorgang unterschiedlich und mehrfach zu melden wäre. (-el / www.bocquel-news.de)

zurück

Achtung Copyright: Die Inhalte von bocquel-news.de sind nach dem Urheberrecht für journalistische Texte geschützt. Die Artikel sind ausschließlich zur persönlichen Lektüre und Information bestimmt. Abdrucke und Weiterverwendung - beispielsweise zum kommerziellen Gebrauch auf einer anderen Homepage / Website oder Druckstücken - sind nur nach persönlicher Rücksprache mit der Redaktion (info@bocquel-news.de) gestattet.

Artikel drucken