DORA: IT-Resilienz des Finanzsektors stärken

Um die Widerstandskraft des Finanzsektors gegen interne wie externe Störungen der Informations- und Kommunikationstechnik (IKT) zu stärken, hat der EU-Gesetzgeber die Verordnung 2022/2554 zur „digitalen operationalen Resilienz“ erlassen, kurz DORA (Digital Operational Resilience Act). Sie gilt ab 17. Januar 2025 für fast alle Finanzunternehmen in der EU. Laut Artikel 2 DORA ist der Terminus Finanzunternehmen wörtlich zu verstehen, nicht im restringierten Sinn des deutschen Kreditwesengesetzes (KWG). DORA enthält Vorschriften zur Sicherheit der Informationssysteme und Netze, mit denen Finanzhäuser ihr Kerngeschäft betreiben. Ihre Einhaltung soll die Kontinuität des Finanzgeschäfts in jeder Lage gewährleisten. Unternehmen, die Sicherheitsregeln oder Meldepflichten aus DORA verletzen, drohen harte Sanktionen.

Motive hinter DORA

Die Motive des EU-Gesetzgebers, dem Finanzsektor Vorgaben zur IKT-Härtung zu machen, lassen sich in drei Punkten zusammenfassen.

1. Mit der Digitalisierung des Finanzsektors nimmt dessen Anfälligkeit für Cyberattacken ebenso zu wie der potenzielle Schaden. Neben vorsätzlichen Angriffen stellen gutwillig verursachte IT-Probleme wie Softwarefehler oder Systemausfälle ein hohes Risiko dar.
2. DORA unterwirft auch externe IKT-Dienstleister der Überwachung durch die drei Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESA) für Banken (EBA), Versicherer (EIOPA) sowie Wertpapiere (ESMA). In älteren Vorschriften zur IKT-Sicherheit waren Fremdleister noch nicht berücksichtigt.Mit der DORA-Verordnung sollen bereits geltende Regelwerke für Finanzakteure in Einklang gebracht werden. Beispielweise sind  dies die IT-Anforderungen an Banken (BAIT), Versicherer (VAIT), Kapitalverwalter (KAIT) sowie Zahlungsdienste (ZAIT).

Fahrplan

DORA trat am 16. Januar 2023 in Kraft. Nach einer zweijährigen Implementierungsphase ist sie inklusive der verordneten Penetrationstests ab 17. Januar 2025 im Tagesgeschäft anzuwenden. Um spätestens dann startklar zu sein, müssen sich Finanzunternehmen und IKT-Dienstleister sputen, die Zeit ist knapp bemessen.

Geltungsbereich

DORA gilt für fast alle in der EU regulierten Finanzunternehmen und deren externe IKT-Dienstleister. Der Adressatenkreis ist größer als derjenige der beiden EBA-Leitlinien zum IKT-Risikomanagement respektive zur Auslagerung. Für Kleinstunternehmen sieht die Verordnung Ausnahmen vor.

Gegenstand

Zur Steigerung der digitalen Resilienz des Finanzsektors regelt DORA vier Anwendungsfelder.

IKT-Risikomanagement

DORA geht davon aus, dass Finanzunternehmen über einen internen Governance- und Kontrollrahmen verfügen, mit dem sie IKT-Risiken im Griff behalten. Dieser Rahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren, Protokolle und Tools zum Schutz der Daten, Hard- und Software sowie deren Standorte. Die Gesamtverantwortung für die Mittel und Maßnahmen des IKT-Risikomanagements liegt beim Vorstand oder Geschäftsführer. Diese halten ihre IKT-Kompetenz unter anderem durch regelmäßige Schulung auf dem neuesten Stand. Zuständigen Behörden sind auf Anfrage vollständige und aktuelle Informationen zu IKT-Risiken vorzulegen. Der Governance- und Kontrollrahmen ist mindestens jährlich zu dokumentieren und zu prüfen.

Umgang mit IKT-Vorfällen

DORA verpflichtet Finanzunternehmen, zur Erkennung, Behandlung und Meldung von IKT-Vorfällen einen regulären Prozess einzurichten. Vorfälle und Risiken sind zu erfassen und weiterzuverfolgen, Ursachen zu ermitteln, zu dokumentieren und abzustellen, um weiteren Fällen vorzubeugen. Der Prozess beginnt mit der Klassifikation der IKT-Risiken und Vorfälle. Schwerwiegende Vorfälle, definiert in Artikel 3 der Verordnung, müssen Finanzhäuser der zuständigen Behörde melden. Meldungen noch nicht realisierter Risiken sind erwünscht, aber freigestellt.

In Abstimmung mit der EU-Agentur für Cybersicherheit (European Network & Information Security Agency, ENISA) und der EZB entwerfen die Europäischen Aufsichtsbehörden technische Standards zu Inhalt und Form der Verfahren, Formulare und Vorlagen, mit denen Finanzunternehmen gravierende IKT-Vorfälle oder Risiken melden sollen. Bis Januar 2025 prüfen sie zudem die Möglichkeit, das IKT-Meldewesen auf einer EU-Plattform zu zentralisieren und damit zu vereinfachen. Die jeweilige Meldestelle ist gehalten, jeden Eingang zu bestätigen und nach Möglichkeit zeitnah Feedback zu liefern, etwa in Form anonymisierter Erkenntnisse aus Parallelfällen.

Resilienztest

Zum IKT-Risikomanagement gehört nach DORA ein methodisch solides, umfassendes Testprogramm zur Bewertung und Steigerung der digitalen operationalen Resilienz. Mit dem Resilienztest ist eine unabhängige Partei zu beauftragen. Sofern Interessenkonflikte ausgeschlossen sind und genügend Mittel bereitstehen, dürfen die Tester aus dem Unternehmen selbst stammen. Zudem sollen Finanzhäuser Leitlinien und Verfahren zur Priorisierung, Klassifizierung und Behebung der im Test ermittelten Probleme entwickeln.

Das Arsenal zum Testen betrieblicher IKT-Systeme und Tools reicht von Schwachstellenscans über Open-Source-Analysen, Netzsicherheitsbewertung und Szenarien bis zu Kompatibilitäts-, Leistungs- und Penetrationstests. Spätestens alle drei Jahre sollen Finanzunternehmen ihre IKT einem sogenannten bedrohungsorientierten Penetrationstest (Threat-Led Penetration Test, TLPT) unterziehen. Dabei simuliert ein autonomes Testteam einen realistischen Cyberangriff.

Zusammenarbeit mit IKT-Dienstleistern

Die Zusammenarbeit der Finanzunternehmen mit als kritisch eingestuften externen IKT-Dienstleistern unterliegt der Aufsicht durch die ESA. Die Einschätzung der Kritikalität obliegt ebenfalls diesen Behörden und stützt sich auf vier Kriterien:

1. systemische Folgen des Ausfalls des IKT-Dienstleisters für die Stabilität, Kontinuität oder Qualität des Finanzgeschäfts
2. Systemrelevanz der Finanzhäuser, die er betreut
3. seine Relevanz für weitere Unternehmen des Finanzsektors, mit denen ein Finanzhaus eng zusammenarbeitet
4. Grad der Substituierbarkeit des Dienstleisters

Für den Fall, dass bei einem IKT-Anbieter Risiken eintreten, die zum Ausfall oder zur Verschlechterung einer kritischen Leistung führen, verlangt Artikel 28 DORA von Finanzunternehmen eine Ausstiegsstrategie. Artikel 35 verpflichtet als kritisch eingestufte IKT-Dienstleister, den Europäischen Aufsichtsbehörden auf Verlangen Auskunft zu geben, Unterlagen zu überlassen, an Ermittlungen oder Inspektionen mitzuwirken und zu berichten. Bei Verweigerung, Restriktion oder Verschleppung der Zusammenarbeit mit den ESA drohen Zwangsgelder. Einmal im Jahr geben die ESA eine europaweite Liste kritischer IKT-Dienstleister heraus. Nicht auf der Liste zu stehen, dürfte sich auf Dauer als Wettbewerbsnachteil erweisen. Darum können sich IKT-Dienstleister auf Antrag in die Liste aufnehmen lassen, um sich freiwillig der europäischen Aufsicht zu unterstellen.

Knackpunkte der DORA-Compliance

Finanzunternehmen und deren IKT-Dienstleister dürfen den Aufwand zur Anpassung an DORA nicht unterschätzen. Dies sind die höchsten Hürden:

Komplexität

Europa sehnt sich nach Bürokratieabbau, DORA rennt in die Gegenrichtung. Was sie von ihren Adressaten verlangt, müssen diese aus dem extrem verbosen, verschachtelten und redundanten Text mühsam herausarbeiten. Das kostet Zeit und provoziert Missverständnisse. Zudem ist der Fahrplan angesichts der Fülle und Komplexität der Anforderungen eng getaktet, kompetenter Beistand mithin unerlässlich.

Kosten

Die DORA-Compliance wird insbesondere kleineren Finanzunternehmen hohe Kosten verursachen.

Abhängigkeit von Externen

Viele Finanzunternehmen sind in ihrem Kerngeschäft auf IKT-Dienste externer Anbieter angewiesen. Unter DORA müssen sie darüber wachen, dass auch ihre Dienstleister die Verordnung in vollem Umfang befolgen. Dies potenziert den Aufwand und dürfte sich in der Praxis als schwierig erweisen.

Überwachung und Berichterstattung

Aus DORA ergeben sich für Finanzunternehmen umfangreiche interne und externe Berichtspflichten. Sie sollten daher prüfen, ob sie über die nötigen Kanäle und Mechanismen verfügen, und etwaige Lücken rechtzeitig zum Beginn der Anwendbarkeit schließen.

So flankieren wir Ihr DORA-Projekt

Consileon berät Finanzunternehmen und deren IKT-Dienstleister in allen Phasen der DORA-Compliance von der Bestandsaufnahme bis zum Echtbetrieb. Der Umfang Ihres Projekts richtet sich unter anderem nach Betriebsgröße, aktuellem IT-Sicherheitsniveau sowie der Zahl der externen Dienstleister. Unsere Projektbegleitung gliedert sich in drei Schritte.

1. Bedarfsanalyse. Hier klären wir, welche Voraussetzungen Ihr Unternehmen intern schaffen muss, um DORA einzuhalten, und welche Mittel, Fähigkeiten und Systeme es dazu braucht.
2. Folgenabschätzung, auch Impakt-Analyse genannt. Sie untersucht, wie sich DORA auf Ihre Geschäftsfelder, Teams und Systeme auswirken wird. So gewinnen Sie Planungssicherheit.
3. Einführung der Sicherheitsstandards, Kontrollmechanismen und Software, die Sie zur Anwendung der Erkenntnisse aus den ersten beiden Schritten benötigen.