Digital Operational Resilience Act (DORA) - Harmonisierung der finanziellen Stabilität in Europa

Der stark informationsgeprägte Finanzsektor konnte durch den Einsatz von Informations- und Kommunikationstechnologien (IKT) große Effizienzgewinne erzielen. Finanztransaktionen wie die Kreditvergabe, der Aktienhandel oder Giralgeld-Buchungen basieren nahezu ausschließlich auf Informationen. Funktionierende Informations- und Kommunikationssysteme sind für Finanzunternehmen daher so wichtig wie das Nervensystem für den menschlichen Organismus.

Ein Ausfall kritischer Systeme kann existenzbedrohend sein und die Stabilität des gesamten Sektors gefährden. Technologische Abhängigkeiten und Risiken sind deshalb in den Fokus der Regulierungsbehörden und des Risikomanagements der Finanzinstitute gerückt.

Die finanzielle Stabilität in Europa

Nicht nur durch die zunehmende Abhängigkeit von IKT, auch durch die steigende Anzahl an Cyberangriffen und die konfliktäre politische Weltlage konzentrieren sich die europäischen Regulierungsbehörden zunehmend auf technologische Risiken im Finanzsektor.

Als Teil des Digital Finance Packages (DFP) veröffentlichte die Europäische Kommission im September 2020 mit dem Entwurf des Digital Operational Resilience Act (DORA) einen neuen Regulierungsrahmen für den Finanzsektor. Die finale EU-Verordnung ist am 16.01.2023 in Kraft getreten. Finanzunternehmen in allen Mitgliedstaaten müssen bis zum 17.01.2025 die Inhalte der 64 Artikel der DORA-Verordnung umsetzen. Technische Regulierungsstandards (RTS) und Durchführungsstandards (ITS) konkretisieren die Anforderungen einzelner Artikel. Die finale Fassung der RTS und ITS wird in zwei Tranchen, sechs und zwölf Monate vor Anwendung von DORA, veröffentlicht.

Die Auswirkungen von DORA

DORA baut weitgehend auf bestehenden Anforderungen verschiedener europäischer Regulierungsbehörden auf und fasst diese in einer neuen Verordnung zusammen. Mit der Umsetzung und Anwendung von DORA entsteht in Europa ein einheitlicher objektiver Risikomanagement-Standard für Informations- und Kommunikationstechnologien (IKT), der Chancen und Herausforderungen mit sich bringt. Ein einheitlicher Regulierungsrahmen für das Risikomanagement in allen 30 Ländern des Europäischen Wirtschaftsraums harmonisiert die vielfältigen Regularien der Nationalstaaten und ermöglicht insbesondere international agierenden Finanzunternehmen finanzielle und administrative Ersparnispotenziale.

DORA verlagert den Schwerpunkt der Regulierung von der Stärkung der finanziellen Widerstandsfähigkeit der Unternehmen hin zu der Fähigkeit, resilient auf schwerwiegende Betriebsstörungen zu reagieren, beispielsweise ausgelöst durch eine Cyberattacke. Ziel der Bemühungen ist es, die Geschäftsfähigkeit aufrechtzuerhalten. Hierfür berücksichtigt die DORA-Verordnung anerkannte internationale Standards und umfasst u. a. folgende Inhalte:

• Governance und Verantwortung des Leitungsorgans
• IKT-Risikomanagement inklusive Schutz, Prävention und Identifizierung von IKT-Risiken, Disaster-Recovery-Planning, Business-Continuity-Management, Kommunikationsmanagement sowie Evaluierung und Weiterentwicklung
• Überwachung, Dokumentation und Meldung von IKT-bezogenen Vorfällen sowie Cyberbedrohungen
• Testen von IKT-Systemen und -Funktionen inklusive Threat-Led-Penetration-Testing
• Anforderungen an IKT-Drittdienstleister und Monitoring der Drittparteienrisiken
• Informationsaustausch zwischen Finanzunternehmen und Regulierungsbehörden
   

Die wichtigsten Inhalte von DORA

Die bedeutendsten Inhalte von DORA lassen sich in vier Themenschwerpunkte gliedern:

1. IKT-Risikomanagement

Der IKT-Risikomanagementrahmen ist ein zentrales Element von DORA. Er definiert die Strategie des Risikomanagements, das hinter der Steuerung des Managementsystems liegt, und stellt sie unter die Verantwortung des Leitungsorgans. Der Rahmen für das IKT-Risikomanagement umfasst alle zugehörigen Aufgaben und dient als Leitlinie zur Gestaltung der Verfahren, Maßnahmen und eingesetzten Tools des Risikomanagements.

• Straffung und Verbesserung der bestehenden Vorschriften zur IKT-Governance
• Ausdrückliche Verpflichtung der Geschäftsleitung zur Partizipation und kontinuierlichen Wissenspflege über IKT-Risiken
• Dauerhaftes Monitoring aller IKT-Risiken, um Schutz- und Präventionsmaßnahmen einzuleiten
• Einführung von Verfahren, Tools und Prozessen zu Risikominimierung einschließlich von Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungsplänen

Die unter DORA fallenden Institutionen müssen regelmäßig und kontinuierlich alle Quellen ihrer IKT-Risiken ermitteln, Schutz- und Vorbeugungsmaßnahmen ergreifen, abnorme und verdächtige Aktivitäten identifizieren und im Fall von Betriebsstörungen umfassende Maßnahmen für die Geschäftskontinuität initiieren. DORA listet die notwendigen Aufgaben und Pflichten auf, beispielsweise eine jährliche Berichterstattung des Managements über die Leistungsfähigkeit des IKT-Risikomanagementrahmens an das Leitungsorgan.

2. Testen der digitalen betrieblichen Widerstandfähigkeit

Finanzunternehmen sind zum regelmäßigen Testen durch interne und externe Parteien verpflichtet, um die Betriebsstabilität ihrer IKT-Systeme und -Funktionen in Belastungssituationen zu prüfen, Schwachstellen zu identifizieren und Gegenmaßnahmen zur Schließung von Sicherheitslücken umzusetzen. Ein umfassendes Programm für das Testen der digitalen betrieblichen Widerstandsfähigkeit ist Bestandteil des IKT-Risikomanagements und definiert die anzuwendenden Testmethoden, -verfahren und -häufigkeiten sowie die Priorisierungsstrategie der Testmaßnahmen:

• Jährliche risikobasierte Tests von kritischen IKT-Systemen und -Anwendungen
• Festlegung von Verfahren zur Behandlung aller während der Durchführung der Tests identifizierten Probleme, um ermittelte Sicherheitslücken zu schließen
• Regelmäßige bedrohungsbasierte Penetrationstests (Threat-Led-Penetration-Tests) auf Basis des TIBER-EU Frameworks
• Verpflichtung von IKT-Drittdienstleistern zur Beteiligung und uneingeschränkten Mitwirkung an Threat-Led-Penetration-Tests

Angesichts des breiten Anwendungsgebiets können einige Anforderungen den Finanzinstituten bereits durch bestehende Vorschriften vertraut sein. Dennoch sind bestimmte Tests wie bedrohungsbasierte Penetrationstests neuartig und benötigen ein erhöhtes Engagement.

3. Berichterstattung über IKT-Vorfälle

DORA sieht die Einführung und Umsetzung eines Managementprozesses zur Überwachung und Protokollierung der IKT-bezogenen Vorfälle vor. IKT-Vorfälle werden nach Kriterien klassifiziert, die von den European Supervisory Authorities (ESA) entwickelt wurden. Schwerwiegende Vorfälle unterliegen einer Meldepflicht und sind in einer festgelegten Form der zuständigen Behörde zu übermitteln.

• Einführung eines Verfahrens für das Management von IKT-bezogenen Vorfällen
• Verpflichtung zur Ursachenanalyse und Berichterstattung schwerwiegender IKT-Vorfälle an die Regulierungsbehörde
• Klassifizierung der Vorfälle nach den in der Verordnung genannten Kriterien, z. B. geografische Verteilung, Kritikalität der betroffenen Dienste und Dauer des Vorfalls
• Entwicklung von Verfahren zur kohärenten Überwachung, Bearbeitung und Weiterverfolgung von Vorfällen, um Wiederholungen zu vermeiden

DORA optimiert den Berichtsweg IKT-bezogener Vorfälle. Dies stellt eine deutliche Verbesserung gegenüber den derzeitigen Mehrfachmeldepflichten dar und reduziert die administrativen Aufwände der Finanzunternehmen. Die Zahl der meldepflichtigen Ereignisse soll durch DORA reduziert und das Format der Meldungen vereinheitlicht werden. Eine Zentralstelle der ESA bündelt meldepflichtige Ereignisse und gewinnt dadurch einen Überblick über die Schwachstellen und Trends im EU-Finanzsektor.

4. Management der IKT-Drittanbieter

Der Finanzsektor kennzeichnet sich durch steigende Interdependenzen aus und stützt sich zunehmend auf Drittdienstleister wie Cloud-Anbieter, die u. a. kritische IKT-Leistungen zur Verfügung stellen. Bislang fehlten einheitliche Kompetenzen, um diese Risiken zu bewältigen. Wesentliche Inhalte der DORA-Verordnung fokussieren sich auf Risken, die durch den Einsatz von IKT-Drittdienstleistern entstehen. Erstmalig erhalten kritische IKT-Dienstleister einen Aufsichtsrahmen und werden dem Einflussbereich der ESA unterstellt.

• Führen eines Informationsregisters von Verträgen und Vereinbarungen über die ausgelagerten Leistungen
• Klassifizierung der IKT-Drittdienstleister in Abhängigkeit ihrer Kritikalität für einzelne Finanzunternehmen und den Finanzsektor
• Berücksichtigung von Konzentrationsrisiken durch IKT-Drittdienstleister bei neuen vertraglichen Vereinbarungen
• Verantwortlichkeit der Finanzunternehmen für die Ausübung ihrer Geschäftstätigkeiten trotz der Verwendung von IKT-Dienstleistungen

Die Aufsicht über kritische IKT-Dienstleister wird durch eine der drei ESA ausgeübt. Diese führen Inspektionen durch, sprechen Empfehlungen aus und sind berechtigt bei Nichteinhaltung der Vorschriften Geldbußen in Höhe von bis zu 1 % des weltweiten Tagesumsatzes zu verhängen und dies täglich für einen Zeitraum von höchstens sechs Monaten. Finanzunternehmen, die IKT-Drittdienstleister einsetzen, müssen über Ausstiegsstrategien, Notfallpläne und weitere obligatorische Vertragsbestimmungen verfügen.

Die Umsetzung von DORA

Da DORA auf den gesamten Finanzsektor angewandt wird, sollten die betroffenen Unternehmen zunächst die für sie relevanten Inhalte und Einschränkungen der EU-Verordnung identifizieren. Infolge der unterschiedlichen Rahmenbedingungen der Finanzinstitute, u. a. durch länder- und branchenspezifische Regulierungen, ist eine individuelle Analyse der Finanzunternehmen erforderlich. Trotz dieser Herausforderung kann ein standardisiertes Projektvorgehen für die erfolgreiche Anpassung der IT-Organisation an die regulatorischen Anforderungen von DORA angewendet werden.

Die zweijährige Übergangsfrist zwischen Inkrafttreten und endgültiger Umsetzung der DORA-Verordnung war knapp bemessen. EU-Finanzunternehmen sollten, sofern noch nicht erfolgt, schnellstmöglich den Erfüllungsgrad ihrer IT-Organisation ermitteln, um den Umsetzungsaufwand und Investitionsbedarf zur Schließung von Compliance-Lücken zu bestimmen.

Die Umsetzung von DORA leistet einen wertvollen Beitrag zur Wahrung der Stabilität und Integrität des Finanzsektors und gewährleistet damit ein hohes Schutzniveau für Anlegerinnen und Anleger sowie Verbraucherinnen und Verbraucher im Europäischen Wirtschaftsraum.