Digitale Informations- und Kommunikationstechnologie (nachfolgend IKT genannt) ist aus dem Alltag des Finanzsektors kaum wegzudenken. Von Wertpapierhandel über Darlehens- und Versicherungsgeschäfte und Bonitätseinstufung bis hin zu Schadensmanagement und Back-Office-Transaktionen – vieles läuft digital ab. Technische Ausfälle in diesen Bereichen verursachen daher nicht nur erhebliche Unterbrechungen in Betriebsabläufen und hohe Kosten, sondern auch Imageschäden.
Stärkung von Resilienz und Stabilität
Die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der EG-Verordnungen 1060/2009, 648/2012, 600/2014, 909/2014 und 2016/1011 (Digital Operational Resilience Act, nachfolgend DORA-Verordnung genannt) schafft erstmalig einen EU-einheitlichen Regulierungsrahmen für operationale Betriebsstabilität im Finanzsektor. Das europäische DORA-Paket beinhaltet auch die EU-Richtlinie 2022/2556 (zur Änderung der EG-Richtlinien 2009/65, 2009/138 und der EU-Richtlinien 2011/61, 2013/36, 2014/59, 2014/65, 2015/2366 und 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor).
Die Ziele der neuen DORA-Verordnung sind eine Steigerung operationaler Resilienz, Leistungsfähigkeit und Stabilität. Für den Fall einer schwerwiegenden Störung des Finanzmarkts sollen Finanzunternehmen und IKT-Drittdienstleister Vorsorge treffen. Die DORA-Verordnung sieht hier sechs Bereiche vor, die in einzelnen Kapiteln der DORA-Verordnung geregelt sind:
- IKT-Risikomanagement (Art. 1 Abs. 1 lit. a) Nr. i), Art. 5 bis 14 DORA-Verordnung)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Art. 1 Abs. 1 lit. a) Nr. ii) DORA-Verordnung)
- Testen von IKT-Tools und -Systemen, einschließlich Thread-led-Penetration-Testing (Art. 1 Abs. 1 lit. a) Nr. iv), Art. 25 bis 27 DORA-Verordnung)
- Management des IKT-Drittparteirisikos (Art. 1 Abs. 1 lit. a) Nr. vi)) DORA-Verordnung)
- Überwachungsmaßnahmen für kritische IKT-Dienstleister (Art. 28 DORA-Verordnung)
- Vereinbarungen über den Austausch von Informationen (Art. 1 Abs. 1 lit. a) Nr. v) DORA-Verordnung)
Die DORA-Verordnung harmonisiert die europäischen Regelungen in Bezug auf operationale Resilienz für 20 verschiedene Arten von Finanzakteuren und externen Dienstleistern im Bereich der Informations- und Kommunikationstechnologie. Die Liste reicht von Banken, Versicherern und Wertpapierfirmen bis hin zu Ratingagenturen und Crowdfunding-Plattformen sowie E-Geld-Instituten und Anbieter von Krypto-Dienstleistungen (Art. 2 Abs. 1 lit. a) bis t) DORA-Verordnung), alle zusammen Finanzunternehmen genannt (Art. 2 Abs. 2 DORA-Verordnung).
Neue Verpflichtungen für Institute und Unternehmen
Die DORA-Verordnung ist am 16. Januar 2023 in Kraft (Art. 64 Abs. 1 DORA-Verordnung) getreten und wird ab dem 17. Januar 2025 angewendet (Art. 64 Abs. 2 DORA-Verordnung). In der zweijährigen Zwischenphase können sich Finanzunternehmen auf die Anforderungen der DORA-Verordnung einstellen.
Mehr noch: Bereits vor dem Geltungsbeginn sie sind verpflichtet, in dieser Zeit eine sogenannte Gap-Analyse (einschließlich Schwächen, Mängel und Lücken in IT-Systemen) durchzuführen (vgl. Art. 24 Abs. 1 DORA-Verordnung). Diese Gap-Analyse soll etwaige bestehende Schwachstellen im Bereich der IKT-Sicherheit der Finanzunternehmen identifizieren, um hieraus „Korrekturmaßnahmen umgehend umzusetzen, erstellen, pflegen und überprüfen“ (vgl. Art. 24 Abs. 1 DORA-Verordnung).
Für die Compliance bezüglich der DORA-Umsetzung ist dies jedoch nicht ausreichend. Vielmehr müssen die IKT-Systeme anschließend getestet werden, um die Wirksamkeit der Korrekturmaßnahmen zu überprüfen. In der Verordnung heißt es wörtlich, dass das Finanzunternehmen „Validierungsmethoden fest[legt], um sicherzustellen, dass alle ermittelten Schwächen, Mängel oder Lücken vollständig angegangen werden“ (vgl. Art. 24 Abs. 5 DORA-Verordnung).
In Deutschland wird die DORA-Verordnung durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) umgesetzt. Das Gesetz – derzeit im Regierungsentwurf abrufbar – sorgt nicht nur für die Umsetzung der europäischen DORA-Regeln, sondern auch für die Umsetzung der EU-Verordnung 2023/1114 über Märkte für Kryptowerte sowie der EU-Geldtransferverordnung 2023/1113. Grundsätzlich bedürfen europäische Verordnungen keinerlei Umsetzungsakte in einzelnen EU-Mitgliedsstaaten, weil Verordnungen EU-weit unmittelbar gelten (Art. 288 Abs. 2 AEUV). Allerdings führen EU-Verordnungen dazu, dass sich die Rechtslage ändert, sodass nationale Regelungen, wie in Deutschland, angepasst werden müssen. So werden nach dem Regierungsentwurf durch das FinmadiG beispielsweise das Kryptomärkteaufsichtsgesetz (KMAG), das Kreditwesengesetzes (KWG), das Wertpapierhandelsgesetz (WpHG), das Geldwäschegesetz (GWG) und das Zahlungsdiensteaufsichtsgesetz (ZAG).
Für die betroffenen Finanzunternehmen entstehen durch DORA vielfältige neue und umfangreichere Verpflichtungen:
Governance und -Kontrollframework
So ist nach der DORA-Verordnung unter anderem ein einheitliches, europaweites Governance- und Kontrollrahmen für alle Risiken im Bereich IKT vorgesehen (Art. 5 DORA-Verordnung).
IKT-Risikomanagement mit regelmäßiger Überprüfung
Finanzunternehmen müssen, sofern nicht bereits vorhanden, ein IKT-Risikomanagement einführen (Art. 6 DORA-Verordnung). Dieses muss mindestens diejenigen Strategien, Leit- und Richtlinien und Verfahren sowie IKT-Protokolle und -Tools umfassen, die erforderlich sind, um die IKT-Infrastruktur einschließlich sensibler Bereich wie Rechenzentren, angemessen zu schützen. Der IKT-Risikomanagementrahmen muss mindestens einmal jährlich dokumentiert und überprüft werden – bei Kleinstunternehmen sogar „regelmäßig“.
Das Risikomanagement muss die Überwachung von IKT-Risiken und entsprechende Schutz- und Präventionsmechanismen beinhalten. Beispiel: Wenn ein Unternehmen also einen Cloud-Anbieter einbindet, dann muss die Risikoanalyse des Unternehmens dies künftig berücksichtigen. Eine Schutzmaßnahme kann darstellen, im Fall eines Cyberangriffs betroffene Bereiche abzutrennen.
Dokumentation und Reporting
Finanzunternehmen müssen IKT-Vorfälle dokumentieren und hierüber berichten. Einheitliche Verfahren sollen Überwachung Meldung schwerwiegender IKT-bezogener Vorfälle sicherstellen (Art. 17 ff. DORA-Verordnung). Dies soll den zuständigen Behörden einen besseren Überblick über Vorfälle dieser Art ermöglichen.
Finanzunternehmen können künftig Informationen und Erkenntnisse zu Cyberbedrohungen austauschen (Art. 45 DORA-Verordnung). Voraussetzung hierfür sind konkrete Vereinbarungen zwischen den Finanzunternehmen, welche potentiell sensible Informationen schützen und eine Einhaltung der Vorgaben der Datenschutz-Grundverordnung (DS-GVO) sicherstellen.
Sonderregeln für „kritische IKT-Dienstleister“
Die DORA-Verordnung führt den Begriff „kritischer IKT-Dienstleister“ ein. Dabei handelt es sich um IKT-Dienstleister, die nach Art. 31 DORA-Verordnung als kritisch eingestuft wurden. Bei der Einstufung als kritischer IKT-Dienstleister spielen verschiedene Kriterien eine Rolle, unter anderem die systemischen Auswirkungen des Dienstleisters auf die „Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen“. Dabei ist die Zahl der Finanzunternehmen, für die der IKT-Dienstleister tätig ist, und der Gesamtwert der Aktiva dieser Unternehmen zu berücksichtigen. Handelt es sich bei einem IKT-Dienstleister um einen kritischen IKT-Dienstleister, finden strengere Regeln Anwendung.
IKT-Drittanbieter, Drittpartnerrisiko und Vertragsmanagement
Die DORA-Verordnung führt auch eine Haftung von Finanzunternehmen für Drittanbieter von IKT-Diensten ein: die Verordnung bezeichnet „das IKT-Drittparteienrisiko als integralen Bestandteil des IKT-Risikos“ des Finanzunternehmens (Art. 28 Abs. 1 DORA-Verordnung). Dies bedeutet, dass betroffene Unternehmen gegebenenfalls ihren bestehenden Versicherungsschutz in überprüfen und unter Umständen anpassen müssen.
In den Verträgen mit den IKT-Dienstleistern ist u.a. die Dienstleistungsgüte zu vereinbaren und zu dokumentieren; letzteres schriftlich oder in einem elektronischen Format (Art. 30 Abs. 1 DORA-Verordnung). Neben dieser besonderen Hervorhebung der Leistungsqualität sind auch – wie in Art. 28 DS-GVO – zahlreiche Mindestinhalte bei Verträgen über die Nutzung von IKT-Dienstleistungen vorgesehen. Diese sind nach Art. 30 Abs. 2 DORA-Verordnung u.a.:
- klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen
- Aufstellung der Regionen oder Länder, an denen vertraglich vereinbarte Funktionen und IKT-Dienstleistungen bereitzustellen sind, einschließlich des Speicherorts
- Darstellung der Maßnahmen der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit, bezogen auf den Datenschutz
- Aktualisierungen und Überarbeitungen der IKT-Dienstleistungen
- Informations- und Unterstützungsverpflichtung des IKT-Dienstleisters bei einem IKT-Vorfall, und zwar ohne zusätzliche Kosten
Weitere vertragliche Vereinbarungen werden hinsichtlich kritischer oder wichtiger Funktionen vorgesehen (Art. 30 Abs. 3 DORA-Verordnung). Als Unterstützung für die Finanzunternehmen und IKT-Dienstleister sollen Standardvertragsklauseln (Art. 30 Abs. 4 sowie ErwG 75 DORA-Verordnung) sowie technische Regulierungsstandards (Art. 30 Abs. 5 DORA-Verordnung) entwickelt werden.
Inspektionen, Überwachung, Sanktionen
Art. 39 DORA-Verordnung gibt der Überwachungsbehörde das Recht, Vor-Ort-Inspektionen in den Geschäftsräumen von IKT-Drittdienstleistern (Art. 38 DORA-Verordnung) durchzuführen und laufende Überwachung (Art. 40 DORA-Verordnung) vorzunehmen. Art. 52 DORA-Verordnung sieht darüber hinaus strafrechtliche Sanktionen vor.
BaFin wird zum Melde-Hub
Die DORA-Verordnung ändert die bestehende Rolle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die BaFin passt aktuell ihre Aufsichts- und Verwaltungspraxis an und implementiert IT-Prozesse und Systeme im Rahmen von DORA. Mit Geltungsbeginn der DORA-Verordnung wird die BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Die DORA-Verordnung verpflichtet Finanzunternehmen, im Rahmen des IKT-Drittparteimanagements in bestimmten Fällen Anzeige zu erstatten. Die BaFin nimmt diese Anzeigen entgegen und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.
Novellierung nationaler Regelungen steht bevor
Deutsche Finanzunternehmen können sich in Teilen entspannt zurücklehnen: Denn einige Instrumente, die DORA-Verordnung vorsieht, um die IKT-Sicherheit zu erhöhen, wurden in Deutschland bereits in der Vergangenheit geschaffen. Dazu gehören harmonierte Anforderungen an das IKT-Risikomanagement für die einzelnen Finanzsektoren wie Banken, Versicherungen, etc., Überwachungsrahmen für IT-Mehrmandantendienstleister sowie vereinheitlichte Strukturen für die Meldung von IKT-Vorfällen. Doch ergeben sich neue Baustellen.
Die BaFin hat ihre Anforderungen an die IT von Banken (BAIT), Versicherungen (VAIT), Kapitalverwaltungsgesellschaften (KAIT) und Zahlungsdienste (ZAIT) erst kürzlich novelliert. Besonders neue DORA-Elemente wie Thread-led-Penetration-Testing dürften für viele Unternehmen jedoch neu sein. Entsprechend gilt es, sich rechtzeitig mit den neuen Anforderungen auseinanderzusetzen. Die Umsetzung der DORA-Verordnung bringt für Unternehmen neue Herausforderungen mit sich, birgt aber auch die Chance, die eigene IT-Sicherheit zu vereinheitlichen und auf ein neues Level zu hieven.