DORA: Wie der “Digital Operational Resilience Act” die EU-Finanzwelt vor Cyberangriffen schützen soll

Was ist der DORA?

Bis vor wenigen Jahrzehnten wurden Bank- und Versicherungsgeschäfte primär physisch - in Filialen, bei einem Agenten oder Berater - abgewickelt. Heute, im Zeitalter der Banking-Apps, Tradingplattformen und Fintechs, sind viele Prozesse digitalisiert, zentralisiert und in der Cloud gespeichert. Die Digitalisierung bietet natürlich einen enormen Effizienz- und Convenience-Gewinn. Doch sie führt auch dazu, dass gerade Finanzmarktteilnehmer, die sensible Daten speichern und verarbeiten, Opfer von Cyberattacken werden könnten. Das sehen auch die Unternehmen und Aufsichtsbehörden selbst und haben präventive Maßnahmen stark auf Risiken aus Informations- und Kommunikationstechnologien (IKT) fokussiert. 

Die aktuelle Studie „Paradigmenwechsel in der Risikostrategie“ untersuchte in diesem Zusammenhang, wie gut sich die Banken selbst für die kommenden Herausforderungen gerüstet sehen. Das Ergebnis: IKT-Risiken spielen in den kommenden Jahren eine sehr große Rolle im Risikoprofil von Finanzinstituten, 78 Prozent sehen sie als zentrale Herausforderung.

Banken rechnen selbst mit einem erheblichen Anstieg der Cyberkriminalität; 56 Prozent erwarten in den nächsten 24 Monaten einen Cyberangriff. Auch die Aufsichtsbehörden fokussieren verstärkt IKT-Risiken und reagieren mit einer Reihe von Regulierungen, unter anderem für IT-Infrastruktur, IT-Datensicherung und Outsourcing/Third-Party-Risiken. Zudem können die Folgen eines Angriffs oder einer Störung bei wichtigen, grenzüberschreitend agierenden Finanzdiensten weitreichende Auswirkungen auf andere Unternehmen, Teilsektoren oder gar den gesamten Wirtschaftsraum haben.

Regulation für Finanzunternehmen

Deshalb hat die EU am 27.12.2022 die Verordnung 2022/2254 "Digital operational resilience for the financial sector and amending regulations" erlassen. Im Deutschen bedeutet DORA "Verordnung über die digitale operative Resilienz im Finanzsektor". Das Regelwerk soll zur digitalen Transformation und Sicherheit Europas beitragen, indem es die Vorschriften für die Finanzmarktteilnehmer in der EU harmonisiert. Das Ziel der Verordnung ist, dass alle Beteiligten des Finanzsektors die erforderlichen Sicherheitsvorkehrungen getroffen haben, um IKT-bezogene Cyberangriffe und andere Vorfälle abzuwehren oder abzumildern.

Im Wesentlichen lassen sich die Anforderungen des Digital Operational Resilience Acts in diese fünf Themengebiete unterteilen:

• Etablierung eines Rahmenwerks für das IKT-Risikomanagement

• Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen

• Testen der operativen Widerstandsfähigkeit (Resilience)

• Management des IKT-Drittparteienrisikos

• Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister

DORA wird sich auf Finanzunternehmen wie Banken, Versicherungsgesellschaften, Wertpapierfirmen und Krypto-Dienstleister auswirken. Die Verordnung betrifft außerdem Dritte, die IKT-bezogene Dienstleistungen für diese Finanzunternehmen erbringen - so z.B. Cloud-Dienstleister. Ausgenom­men sind dagegen “Kleinstunternehmen“ mit weniger als zehn Beschäftigten und zwei Millionen Euro Jah­resumsatz. Es wird erwartet, dass DORA für mehr als 22.000 Finanzinstitute und IKT-Dienstleister gelten wird, die in der EU tätig sind. Für die Implementierung der 79 Seiten umfassenden DORA-Verordnung durch die betroffenen Unternehmen und Behörden ist eine Frist von 24 Monaten bis 17.01.2025 vorgesehen.

Ziel: Cyber-Resilienz im EU Finanzsektor

Dank DORA soll die Anfälligkeit für IKT-Störungen und Cyber-Bedrohungen entlang der kompletten Wertschöpfungskette des Finanzsektors reduziert werden. Darüber hinaus zielt die Verordnung darauf ab, nationale Vorschriften für die IKT-Sicherheit im Finanzsektor EU-weit zu harmonisieren und einen einheitlichen Aufsichts- und Rechtsrahmen zu schaffen. Denn der bisherige EU-Rechtsrahmen für IKT-Risiken im Finanzsektor ist fragmentiert und teils inkonsistent. Aktuell hat praktisch jedes Land eigene Regelungen und Aufsichtspflichten, die manche IKT-Risiken jedoch nicht ausreichend berücksichtigen - oder Doppelanforderungen auf nationaler und EU-Ebene beinhalten.

Besonders wichtig innerhalb der fünf oben genannten Kernthemen ist das IKT-Risikomanagement und die Risikoanalyse. Finanzunternehmen sind verpflichtet, ein umfassendes IKT-Risikomanagement einzurichten, einschließlich:

• Einrichtung und Pflege belastbarer IKT-Systeme und -Werkzeuge, die die Auswirkungen von IKT-Risiken minimieren,
• Schlüsselelemente wie Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen,
• kontinuierliche Überwachung aller Quellen von IKT-Risiken, um Schutz- und Präventionsmaßnahmen einzurichten,
• sofortige Erkennung von anomalen Aktivitäten,
• Einführung spezieller und umfassender Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne, einschließlich jährlicher Tests der Pläne, die alle unterstützenden Funktionen abdecken,
• Einrichtung von Mechanismen, um sowohl aus externen Ereignissen als auch aus eigenen IKT-Vorfällen zu lernen und sich weiterzuentwickeln.

Einige Punkte werden wahrscheinlich in den kommenden Monaten detailliert ausgearbeitet oder spezifiziert. Klar ist allerdings schon jetzt, dass Unternehmen seit dem Inkrafttreten der EU Verordnung am 16. Januar 2023 nur zwei Jahre Zeit haben, um ihre Systeme so aufzurüsten, dass sie widerstandsfähiger gegen Vorfälle wie Datenlecks, DDoS-Angriffe oder Insider-Bedrohungen werden. Denn die Verordnung sieht vor, dass Finanzunternehmen bis zum 17. Januar 2025 ein effektives und umfassendes Management von Cybersicherheits-, Informations- und Kommunikationstechnik-Risiken umsetzen müssen.

Für Finanzunternehmen drängt die Zeit

Angesichts dessen ist DORA gleichzeitig eine Herausforderung und eine Chance für Finanzunternehmen. Bei einer Vorbereitungszeit von nur zwei Jahren gibt es schon jetzt eine Menge zu bedenken, umzusetzen und nachzuweisen. Finanzinstitute sollten deshalb zeitnah umfassende Analysen durchführen, um rechtzeitig Bereiche zu ermitteln, die weitere Investitionen und / oder Optimierungsbedarf erfordern.

Trotz der teils umfangreichen Vorbereitungsmaßnahmen stellt die DORA-Initiative für Finanzunterneh­men auch eine große Chance dar. Denn ein EU-weiter Sicherheitsverbund der Branche bietet viele Vorteile. Zum Beispiel, wenn es um die Verringerung des allgemeinen Branchenrisikos oder die Verteilung von Sicherheitsaufgaben geht. Auch aus Verbrauchersicht ist DORA ein Schritt nach vorne, da deren Umsetzung unsere sensiblen Daten vor Cyberkriminellen schützt.