Einheitliches Regelwerk für mehr Cyberresilienz in Europa

Als übergreifende EU-Regelungen zu IKT-Risiken in Finanzsystemen betreffen DORA & Co. nahezu alle Akteure des Markts. Finanzunternehmen müssen die Vorgaben bis Mitte Januar 2025 umsetzen – höchste Zeit also für eine Gap-Analyse und die Beseitigung von Schwächen in identifizierten Handlungsfeldern.

DORA soll nationale Vorschriften vereinheitlichen

Mit dem Digital Operational Resilience Act (DORA) existieren erstmals einheitliche, sektorübergreifende Regelungen für das Management und die Minderung der IKT-Risiken bei Banken, Versicherungen, Zahlungsdienstleistern und weiteren Akteuren des Finanzsektors. Angestrebt ist eine Konsolidierung der bisherigen, uneinheitlichen nationalen Regelungen. Das tut Not, denn: Selbst zu grundlegenden Aufgaben und Anforderungen im IKT-Risikomanagement existieren unterschiedliche nationale Vorschriften. Auch sind die Aufsichtsbehörden nicht überall mit den gleichen Befugnissen ausgestattet.

Die zweijährige Umsetzungsfrist für die in DORA enthaltenen Anforderungen hat mit dem Inkrafttreten am 17. Januar 2023 begonnen. Bis Anfang 2025 müssen die betroffenen Marktteilnehmer notwendige Anpassungen ihrer IT-Organisation und -Systeme abschließen.

Hintergrund von DORA ist die inzwischen zunehmend datengetriebene Wertschöpfung in der Finanzindustrie. Zudem wollen immer mehr Akteure mithilfe von Cloudsourcing Skaleneffekte erzielen und damit ihre Cost-Income-Ratio verbessern. Die Aufsicht wird die Finanzbranche auf diesem Weg aktiv begleiten. Zugleich erkennt sie in diesen Trends Risiken, die im Ernstfall auf die gesamte Volkswirtschaft ausstrahlen können. Mit DORA hat die Aufsicht den Rahmen für das adäquate Management solcher Bedrohungsszenarien geschaffen.

“I (…) see the role of supervision as a ‘supporter’ of digitalization in the banking sector. Legislation should not raise the bar for digital innovation, nor should it overburden the financial sector; instead, it should name risks and help institutions manage these risks adequately.”

(Prof. Dr. Joachim Wuermeling, Exploring DORA – the Digital Operational Resilience Act and its impact on banks and their supervisors. Speech at the European Savings and Retail Banking Group (ESBG), 23.09.2021) 

Grundlegende Ziele von DORA:

  • Stärkung der Cyberresilienz von Systemen und Prozessen in der Finanzbranche
  • gleiche Regelungen für Unternehmen mit gleichen Tätigkeiten und gleichem Risiko
  • einheitliche Verantwortung und identische Befugnisse für Regulierungsbehörden in der EU

Umfangreiche Regelungen

Als EU-Rechtsakt obliegt die Durchsetzung von DORA den für die Finanzbranche zuständigen Aufsichtsbehörden, der sogenannten European Supervisory Authority (ESA). Im Einzelnen sind dies

  • die European Banking Authority (EBA) für Banken
  • die European Insurance and Occupational Pensions Authority (EIOPA) für Versicherungen
  • die European Securities and Markets Authority (ESMA) für Assetmanager

Die jeweils beaufsichtigten Unternehmen sowie deren Dienstleister unterliegen nun einheitlichen Regelungen.

DORA besteht aus neun Kapiteln, von denen das erste den Anwendungsbereich und verwendete Begrifflichkeiten definiert, das sechste zum Informationsaustausch zwischen den Unternehmen anregt und die Kapitel sieben bis neun primär die formaljuristische Umsetzung regeln. Operativ relevant sind dementsprechend nur die Kapitel zwei bis fünf:

  • Kapitel II: IKT-Risikomanagement
    Kernanforderung: Implementierung von Schlüsselprinzipien und Anforderungen an den Rahmen des IKT-Risikomanagements 
  • Kapitel III: Vorfallmeldungen
    Kernanforderung: Harmonisierung und Straffung der Berichterstattung sowie Ausweitung der Berichtspflichten auf alle Finanzunternehmen 
  • Kapitel IV: Testen der digitalen operationellen Resilienz
    Kernanforderung: Durchführung von bedrohungsorientierten Tests 
  • Kapitel V: Management des IKT-Drittparteienrisikos
    Kernanforderung: Regeln für die Überwachung des Risikos von Auslagerungen und Definition des Aufsichtsrahmens für kritische IKT-Provider 

Besonders betroffen: Outsourcing und Penetrationstests

Die meisten Änderungen betreffen die Themenbereiche IKT-Risiken Dritter und die Belastbarkeitstests. Für ein Outsourcing wird in Zukunft eine Betrachtung des Konzentrationsrisikos bei Drittanbietern, eine Identifizierung und spezielle Beaufsichtigung der mit kritischen Funktionen befassten Partner und eine geänderte Vertragsgestaltung verlangt. Die Durchgriffsrechte der Aufsichtsbehörden auf Drittanbieter wachsen erheblich. Diese schließen sogar das Recht ein, die Kündigung von Verträgen anzuordnen.

Die Frequenz von Penetrations- und Belastungstests dürfte steigen. Auch die Qualität dieser Überprüfungen wird stärker in den Fokus rücken. Ein Rahmenwerk soll künftig die Anforderungen sowie die Qualifikationen der Tester regeln.

Keine Zeit verlieren und Gap-Analyse starten

Die Umsetzung dürfte erwartbar hohe Aufwände verursachen. Da alle Bereiche des Bankbetriebs betroffen sind, entsteht ein enormer Abstimmungsbedarf mit den unterschiedlichen Stakeholdern. Daher ist es höchste Zeit für eine Gap-Analyse, um die eventuell betroffenen Handlungsfelder frühzeitig zu identifizieren. Diese Prüfung sollte sehr detailliert ausfallen, denn einige Anforderungen sind aufgrund geltender Vorschriften, Richtlinien und Standards bereits umgesetzt. Ein Auszug relevanter Vorschriften verdeutlicht noch einmal, wie umfangreich die von DORA berührten Themenbereiche ausfallen.

Konkretisierung durch technische Standards

Die genaue technische Ausgestaltung einer DORA-konformen Umsetzung durch die Finanzinstitute ist noch gar nicht final festgelegt. Die Veröffentlichung der entsprechenden Regulatory Technical Standards (RTS) und der Implementing Technical Standards (ITS) ist in zwei Tranchen im Januar und im Juli 2024 vorgesehen. Dadurch unvermeidbar: ein iteratives Vorgehen innerhalb der Umsetzungsprojekte, um – ohne allzu viel Zeit zu verlieren – die jeweiligen Konkretisierungen berücksichtigen zu können.

Weitere Details können Sie in unserem Expert Summary zum Digital Operational Resilience Act nachlesen.

DORA mit PPI: Wir unterstützen Sie bei den anstehenden Umsetzungsprojekten:

  • Prüfungsbegleitung
  • Durchführung von Quick-Check und Gap-Analysen
  • Überarbeitung der schriftlich fixierten Ordnung (sfO) sowie der zugehörigen Prozesse
  • Schulungen und Trainings auf allen Ebenen
  • Begleitung der Umsetzung der IT-Strategie, etwa Cloudmigrationsprojekte unter Fokussierung auf Security und Compliance
  • Implementierung von Maßnahmen im Bereich Detection & Response – maßgeschneidert als Reaktion auf Cyberangriffe, beispielsweise SIEM, SOAR, XDR
  • Implementierung und Weiterentwicklung eines individualisierten Information Security Management Systems (ISMS) nach ISO 27001

Können wir Sie unterstützen?

 Tim Glenewinkel

Tim Glenewinkel

Manager

Kontakt
 Jan-Paul Neder

Jan-Paul Neder

Head of Information Security Banking

Kontakt

Das könnte Sie auch interessieren

Digital Broker

Verändertes Kundenverhalten, die digitale Transformation sowie gesetzliche und regulatorische Veränderungen machen die Anpassung von Prozessen und Handlungsweisen in der Versicherungsberatung notwendig. Mit unserer langjährigen Branchenexpertise unterstützen wir Makler bei der Bewältigung anstehender Herausforderungen.

Mehr erfahren

ESG-Risikomanagement

Spätestens seit dem Solvency-II-Update sind Nachhaltigkeitsrisiken in der Geschäfts- und Risikostrategie sowie der Unternehmensorganisation zu berücksichtigen. Die Integration des ESG-Risikomanagements in die entsprechenden Prozesse ist eine große Herausforderung. Hier hilft eine pragmatische Herangehensweise.

Mehr erfahren

cysmo | Cyberrisikobewertung

Mit dem Analysetool cysmo® lässt sich das Cyberrisiko eines Unternehmens fundiert und in Echtzeit einschätzen. Die von dem Outside-in-Scanner gelieferten Daten sind leicht in den Underwriting-, Vertriebs- und Portfoliomanagementprozess integrierbar. cysmo® ist Branchenstandard und Marktführer in der deutschen Versicherungslandschaft.

Mehr erfahren

Migration

Immer mehr Versicherungsunternehmen lösen ihre gewachsenen IT-Systeme durch zeitgemäße Lösungen ab. Die Migration von Daten, Anwendungen und Prozesse ist folgerichtig. Aber wie? Unsere Experten begleiten Ihr Transformationsvorhaben mit den gesammelten Erfahrungen aus zahlreichen Migrationsprojekten.

Mehr erfahren