Die DORA-Anforderungen gelten für alle beaufsichtigten Finanzunternehmen – darunter Kredit-, Zahlungs- und E-Geld-Institute, Krypto-Dienstleister und Versicherungen.
DORA stellt umfassende Anforderungen an das IKT-Risikomanagement und IKT-Dienstleistern.
Unternehmensleitung trägt die Hauptverantwortung für die Einhaltung – ihre Pflichten werden durch die DORA deutlich erweitert.
Beim Verfassen dieses Beitrags rund um die DORA-Verordnung haben mich zwei spannende Fragen maßgeblich beschäftigt. Welche verbindlichen Anforderungen beinhaltet die DORA? Und natürlich: Wie beeinflusst diese Entwicklung die aufsichtsrechtlichen Anforderungen an die IT?
Aber eins nach dem anderen. Für alle, die sie (noch) nicht kennen: Die Verordnung (EU) 2022/2554, bekannt als DORA, regelt die digitale operationale Resilienz im Finanzsektor und adressiert Cybersicherheit sowie IKT-Risiken in der Europäischen Union. DORA zielt darauf ab, die digitale Resilienz des europäischen Finanzsektors in fünf zentralen Bereichen zu verbessern, insbesondere im IKT-Risikomanagement (geregelt in Kapitel II, Art. 5-16 der Verordnung).
IKT-Risikomanagement und Betrugsprävention
Das IKT-Risikomanagement bildet das Herzstück von DORA. Unternehmen müssen eine Strategie zur digitalen Resilienz entwickeln und diese regelmäßig überprüfen. Dabei müssen die Risiken neuer Technologien sowie die Altsysteme bewertet werden. In diesem Zusammenhang kommt der Unternehmensleitung eine zentrale Funktion zu, insbesondere hinsichtlich der Kontrolle der IKT-Risiken. Zudem ist die Dokumentation von IKT-Vorfällen Pflicht.
Laut Art. 5 Abs. 1 DORA sollten Finanzunternehmen einen internen Governance- und Kontrollrahmen implementieren, um IKT-Risiken effektiv zu managen. Zudem wird in Art. 6 Abs. 8 DORA die Einführung einer „DOR-Strategie“ gefordert, um digitale Resilienz zu steigern. Die Führungsebene ist auch verpflichtet, ihre Kenntnisse über IKT-Risiken durch regelmäßige Schulungen aktuell zu halten.
Das IKT-Risikomanagement muss in einen umfassenden Risikomanagementrahmen eingebettet sein, der jährlich dokumentiert und überprüft wird. Wichtige Aspekte hierbei sind:
- Entwicklung von Strategien, Richtlinien und Verfahren zum Schutz der IKT-Assets.
- Analyse der Ursachen und Verbesserung nach schwerwiegenden IKT-Vorfällen.
- Jährliche Risikobewertung für Altsysteme sowie vor und nach technologischen Änderungen.
- Berichterstattung der IKT-Mitarbeitenden über Vorfälle und Empfehlungen an die Unternehmensleitung.
Art. 9 DORA verpflichtet Unternehmen des Finanzsektors zur Implementierung eines robusten Frameworks zur Identifikation, Prävention und Bewältigung IT-basierter Risiken. Ziel der regulatorischen Vorgaben ist die frühzeitige Erkennung von Betrugsversuchen, die Schließung von Sicherheitslücken sowie die Etablierung eines kontinuierlichen „Threat-Monitorings“. Neben präventiven Maßnahmen wird dabei explizit die Fähigkeit gefordert, im Falle von Cyberangriffen oder Sicherheitsverletzungen eine schnelle und effiziente Reaktion sicherzustellen.
Die Einführung eines dynamischen Risikomanagementsystems, das potenzielle Schwachstellen in IT-Infrastrukturen systematisch analysiert und Gegenmaßnahmen entwickelt, ist hier notwendig. Ein solches System dient nicht nur der Risikominimierung, sondern auch der Schaffung eines proaktiven Sicherheitsökosystems.
Um Betrugsversuche frühzeitig zu erkennen, ist der Einsatz automatisierter Monitoring-Tools obligatorisch. Hierbei spielen Systeme zur Anomalie-Erkennung und KI-gestützte Analysen von Transaktionsmustern eine Rolle. Durch Echtzeitüberwachung können Abweichungen von etablierten Verhaltensmustern unmittelbar identifiziert werden, was eine zeitnahe Intervention ermöglicht.
Einen vertiefenden Einblick in die operativen Auswirkungen auf IT-Betrieb und IT-Risikomanagement werden Sie in unserem folgenden Blogbeitrag am 28. Mai erhalten.
Die Verantwortung für die Einhaltung der DORA-Verordnung obliegt in erster Linie der Unternehmensleitung. Die DORA hat die Pflichten und Aufgaben der Leitungsorgane in Finanzunternehmen erheblich erweitert, wie in Art. 5 Abs. 2 DORA festgelegt.
In diesem Zusammenhang wird gefordert, dass die Leitung über angemessene und aktuelle Kenntnisse sowie Fähigkeiten im Umgang mit den zu managenden IKT-Risiken verfügt (Art. 5 Abs. 4 DORA), wobei die Möglichkeit zur Delegation dieser Verantwortung stark eingeschränkt ist.
Obwohl die Auslagerung des IKT-Risikomanagements zulässig ist, trägt das Finanzunternehmen dennoch die uneingeschränkte Verantwortung für die Gewährleistung eines effektiven IKT-Risikomanagements. Ferner sind die Finanzunternehmen verpflichtet, eine IKT-Risikokontrollfunktion einzuführen, die analog zum Informationssicherheitsbeauftragten die Verantwortung für das Management und die Überwachung des IKT-Risikos übernimmt, gemäß Artikel 6 Absatz 4 DORA.
IKT-Drittparteienmanagement
Ein weiterer wichtiger Aspekt des Risikomanagements ist das IKT-Drittparteienmanagement. Die Verordnung zielt darauf ab, potenziellen System- und Konzentrationsrisiken, die durch die Abhängigkeit des Finanzsektors von wenigen IKT-Dienstleistern entstehen, entgegenzuwirken.
Im Fokus des IKT-Drittparteienmanagements stehen klare Anforderungen an Outsourcing-Verträge zwischen Finanzunternehmen und externen IKT-Dienstleistern. Diese Verträge müssen Mindeststandards erfüllen, um den hohen Sicherheitsanforderungen von DORA gerecht zu werden. Art. 30 DORA legt verbindlich fest, welche Inhalte diese Mindestverträge haben müssen. Die Anforderungen garantieren, dass alle externen Dienstleistungen den strengen Sicherheits- und Resilienzvorgaben der Verordnung entsprechen.
Es ist außerdem zu beachten, dass für IKT-Dienstleister, die kritische oder wesentliche Funktionen übernehmen, noch strengere Anforderungen gelten.
Management von IKT-Vorfällen
Finanzunternehmen sind verpflichtet, einen Prozess zur Handhabung von IKT-Vorfällen zu etablieren, um deren Erkennung, Behandlung und Meldung zu gewährleisten.
Ein IKT-Vorfall nach Art. 3 Nr. 8 DORA, ist ein unerwartetes Ereignis, das die Sicherheit von Netzwerk- und Informationssystemen beeinträchtigt und negative Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten sowie auf die bereitgestellten Dienstleistungen hat .
Die Unternehmen müssen IKT-Vorfälle gemäß Art. 18 Abs. 1 DORA klassifizieren. Je nach Klassifizierung kann eine Meldepflicht gegenüber der BaFin bestehen, wobei schwerwiegende Vorfälle zwingend gemeldet werden müssen.
Für die Einstufung von IKT-Vorfällen wurde die Delegierte Verordnung (EU) 2024/1772 erlassen, die technischen Standards für die Klassifizierung und Meldung von IKT-bezogenen Vorfällen und Cyberbedrohungen festlegt.
Tests zur digitalen operationalen Resilienz
Finanzunternehmen müssen als Teil ihres IKT-Risikomanagementrahmens ein Programm zur Testung der digitalen operationalen Resilienz implementieren, abhängig von Größe sowie Geschäfts- und Risikoprofil.
Art. 25 Abs. 1 DORA listet beispielhaft Maßnahmen für diese Tests auf. Die Auflistung dient lediglich als Beispiel und ist aktuell bisher nicht vollständig:
- Schwachstellenanalysen
- Open-Source-Analysen
- Lückenanalysen
- Netzwerksicherheitsbewertungen
- Physische Sicherheitsüberprüfungen
- Softwarelösungs-Scans
- Quellcodeüberprüfungen
- Optional szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests
Der Schutz sensibler Finanz- und Kundendaten erfordert den Einsatz von Verschlüsselungstechnologien, die die Vertraulichkeit und Integrität informationeller Assets gewährleisten. Ergänzend sind sichere Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) zu implementieren.
Regelmäßige Penetrationstests evaluieren die Widerstandsfähigkeit der Systeme und decken Schwachstellen auf, bevor diese extern ausgenutzt werden.
Diese Tests sind jährlich durchzuführen, wenn die IKT-Systeme kritische Funktionen unterstützen. Kleinstunternehmen sind davon ausgenommen.
Zudem sind größere Finanzunternehmen gemäß Art. 26 Abs. 1 DORA verpflichtet, alle drei Jahre bedrohungsorientierte Penetrationstests durchzuführen, wobei die Aufsichtsbehörde die Testfrequenz anpassen kann.
Die aufsichtsrechtlichen Anforderungen an die IT erfahren Änderungen. Betroffen sind die kapitalverwaltungsspezifischenAnforderungen an die IT (KAIT), die versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sowie die zahlungsdienstaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT). Diese Rundschreiben wurden mit Ablauf des 16. Januar 2025 außer Kraft gesetzt. Die bankaufsichtlichen Anforderungen an die IT (BAIT) werden von der BaFin schrittweise aufgehoben: Seit dem 17. Januar 2025 werden Institute, die ein Risikomanagement für die IKT gemäß den Art. 5–15 oder Art. 16 DORA unterhalten müssen, aus dem Anwendungsbereich der BAIT ausgeschlossen. Des Weiteren wird Kapitel 11 der BAIT von der BaFin aufgehoben. Die aktualisierten BAIT sind auf der Webseite der BaFin abrufbar. Durch DORA wird ein europaweiter harmonisierter Standard für die digitale operationale Resilienz eingeführt, der die bestehenden nationalen Regelungen ablöst. Die schrittweise Abschaffung der bisherigen Anforderungen sorgt für Klarheit und verringert regulatorische Doppelstrukturen.
Informationsaustausch
Der Informationsaustausch über Cybervorfälle zwischen Finanzunternehmen wird gemäß Art. 45 DORA gefördert, um die Resilienz der Branche insgesamt zu stärken. Dabei soll auch die Erfassung von Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren sowie von Cybersicherheitswarnungen und Konfigurationstools im Vordergrund stehen.
Der Austausch von Informationen und Erkenntnissen verfolgt das Ziel, die digitale operationale Resilienz der Finanzunternehmen zu stärken, indem er zur Sensibilisierung für Cyberbedrohungen beiträgt, die Verbreitung solcher Bedrohungen einschränkt oder verhindert und die Verteidigungsfähigkeiten, Techniken zur Bedrohungserkennung sowie Abmilderungsstrategien und Reaktions- sowie Wiederherstellungsphasen unterstützt.
Dies geschieht innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen und wird durch Vereinbarungen zum Austausch von Informationen umgesetzt.
Diese Vereinbarungen sind darauf ausgelegt, den potenziell sensiblen Charakter der ausgetauschten Informationen zu schützen und unterliegen Verhaltensregeln, die die Wahrung von Geschäftsgeheimnissen, den Schutz personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie die Einhaltung von Richtlinien zur Wettbewerbspolitik gewährleisten.
Die fünf Säulen der DORA-Verordnung
Europäische Finanzunternehmen sollen widerstandsfähig gegen Cybergefahren werden und ihre Prozesse auch bei Störfällen aufrechterhalten können. Die DORA-Verordnung macht ihnen dazu Vorgaben, die sich im Kern um fünf Themen ranken.Fazit
Zusammenfassend lässt sich festhalten, dass die DORA-Verordnung einen bedeutenden regulatorischen Rahmen für die Stärkung der digitalen operativen Resilienz im europäischen Finanzsektor darstellt. Sie fordert Finanzunternehmen auf, eine effektive Governance-Struktur zu etablieren und umfassende Anforderungen an das IKT-Risikomanagement zu erfüllen.
Insbesondere liegt die Verantwortung für die Einhaltung und das Management dieser Risiken bei der Unternehmensleitung, die über fundierte Kenntnisse und Fähigkeiten im Umgang mit digitalen Risiken verfügen muss. Weiterhin fördert die DORA den Austausch von Informationen über Cybervorfälle zwischen Finanzinstituten, was zur Stärkung der gesamten Branche beitragen soll.
Durch die Ablösung bestehender nationaler Regelungen wird ein einheitlicher Standard geschaffen, der Klarheit und Effizienz im Umgang mit IKT-Risiken fördert.
Insgesamt zeigt die DORA einen klaren Fortschritt in der Förderung der Cybersicherheit innerhalb des Finanzsektors und trägt zur Schaffung eines robusteren Sicherheitsumfelds bei.
Verfasst von
