Die Anwendung der neuen EU-Verordnung DORA rückt näher

Bereits im Januar 2023 ist der „Digital Operational Resilience Act“ (DORA) der Europäischen Kommission in Kraft getreten. DORA soll maßgeblich zur Cybersicherheit und digitalen Resilienz europäischer Finanzunternehmen beitragen. Gemäß Artikel 64 von DORA müssen die betroffenen Unternehmen bereits bis zum 17. Januar 2025 alle Anforderungen umgesetzt haben. Damit verbleiben weniger als zwei Jahre, um die DORA-Konformität zu erreichen. Im Vergleich zu bestehenden Regelungen wie BAIT, VAIT, KAIT und ZAIT stellt DORA neue und weitergehende Anforderungen. Um eine schnelle und effektive Umsetzung zu gewährleisten, müssen betroffene Finanzinstitute in den kommenden Monaten die notwendigen Maßnahmen ergreifen.

DORA: im Überblick

Der Einsatz von Informations- und Kommunikationstechnologien (IKT) nimmt heutzutage eine zentrale Rolle in der gesamten Finanzdienstleistungsbranche ein. Angesichts der rasch voranschreitenden Digitalisierung des europäischen Finanzsektors und der damit einhergehenden Abhängigkeit von digitalen Technologien hat die Europäische Union die Verordnung DORA entwickelt. DORA harmonisiert bestehende europäische und nationale Standards und schafft damit einen einheitlichen rechtlichen Rahmen zur Gewährleistung der digitalen Betriebsstabilität. Um das Ziel eines sicheren und widerstandsfähigen europäischen Finanzmarktes zu erreichen, stellt DORA weitreichende Anforderungen an Finanzunternehmen sowie an kritische IKT-Drittdienstleister. Bestehende Schutzmaßnahmen werden erweitert und in ein übergreifendes Sicherheitssystem integriert, das von einer vernetzten europäischen Finanzaufsicht überwacht wird. 

Die Anforderungen von DORA umfassen ein breites Themenspektrum mit dem Ziel, die digitale Resilienz der Unternehmen zu stärken. So soll ein stabiler Betrieb im Falle einer Störung, beispielsweise ausgelöst durch einen Cyberangriff, sichergestellt werden. Um dies zu erreichen, verdeutlicht DORA die Notwendigkeit eines organisationsübergreifenden Ansatzes, der die digitale Resilienz zentral im Unternehmen verankert und über Abteilungsgrenzen hinweg betrachtet.

^{Abbildung 1: DORA-Timeline}

Geltungsbereich: Wer ist betroffen?

DORA richtet sich an einen breiten Anwenderkreis und wird neben Banken, Versicherungen und Zahlungsdienstleistern auch weitere Unternehmen wie Handelsplätze, Datenbereitstellungsdienste, Anbieter von Krypto-Diensten, Versicherungsvermittler und einige andere Finanzunternehmen umfassen.

Besonders hervorzuheben ist, dass auch IKT-Drittdienstleister der Finanzunternehmen betroffen sind, sofern diese von den Europäischen Aufsichtsbehörden (ESAs) als kritisch eingestuft werden. Die Einstufung basiert im Wesentlichen auf der Kritikalität der erbrachten Dienstleistungen und der Abhängigkeit vom IKT-Drittdienstleister. Zu beachten ist auch, dass betroffene IKT-Drittdienstleister mit Sitz in einem Drittstaat künftig eine Tochtergesellschaft in der EU gründen müssen, um weiterhin kritische Dienstleistungen für europäische Finanzunternehmen erbringen zu können.

Lediglich „Kleinstunternehmen“ mit weniger als zehn Beschäftigten und 2 Mio. € Jahresumsatz werden größtenteils von DORA ausgenommen.

Umfang und Anforderungen von DORA im Überblick

Anforderungen an die Governance

Die Geschäftsstrategien von Finanzunternehmen und das IKT-Risikomanagement sollen besser aufeinander abgestimmt werden. Zu diesem Zweck wird das Leitungsorgan eine entscheidende und aktive Rolle bei der Steuerung des Rahmens für das IKT-Risikomanagement übernehmen und für die Einhaltung einer strikten Cyberhygiene sorgen müssen.

Anforderungen an das IKT-Risikomanagement

Um mit einer sich schnell ändernden Bedrohungslage Schritt zu halten, müssen Finanzunternehmen stabile IKT-Systeme und -Instrumente einrichten und aufrechterhalten. Diese Systeme sollen folgende Funktionen erfüllen: Auswirkungen von IKT-Risiken minimieren, kontinuierlich alle Ursachen von IKT-Risiken ermitteln, Schutz- und Präventionsmaßnahmen ergreifen, anormale Aktivitäten umgehend aufdecken, dedizierte und umfassende Strategien für die Fortführung des Geschäftsbetriebs sowie Notfall- und Wiederherstellungspläne als integralen Bestandteil der operativen Strategie für die Fortführung des Geschäftsbetriebs einrichten.

Meldung IKT-bezogener Vorfälle

Finanzunternehmen sollen generell verpflichtet werden, einen Managementprozess zur Überwachung und Protokollierung IKT-bezogener Vorfälle einzurichten und umzusetzen. Alle Vorfälle sind nach den von DORA vorgegebenen Kriterien zu klassifizieren. Vorfälle, die gemäß DORA als schwerwiegend eingestuft werden, sind den zuständigen Behörden innerhalb der vorgeschriebenen Fristen zu melden.

Prüfung der digitalen Betriebsstabilität

Die im Rahmen des IKT-Risikomanagements zur Verfügung gestellten Kapazitäten und Funktionen müssen regelmäßig auf ihre Eignung zur Ermittlung und Behebung von Schwachstellen, Mängeln oder Lücken sowie auf ihre Bereitschaft zur umgehenden Umsetzung von Korrekturmaßnahmen hin geprüft werden. Diese Verordnung ermöglicht eine verhältnismäßige Anwendung der Anforderungen an die Prüfung der digitalen Betriebsstabilität in Abhängigkeit von der Größe sowie der Geschäfts- und Risikoprofile von Finanzunternehmen. 

Risiko durch IKT-Drittanbieter

Mit der Verordnung soll Finanzunternehmen eine solide Überwachung des Risikos durch IKT-Drittanbieter ermöglicht werden. Dieses Ziel wird zunächst durch die Einhaltung grundsatzbasierter Regeln erreicht, die für die Überwachung des Risikos durch IKT-Drittanbieter gelten. Die Verträge, mit denen diese Beziehung geregelt wird, müssen insbesondere eine vollständige Beschreibung der erbrachten Dienstleistungen berücksichtigen.

Schließlich zielt die Verordnung darauf ab, die Konvergenz der Aufsichtskonzepte für das Risiko durch IKT-Drittanbieter im Finanzsektor zu fördern, indem kritische IKT-Drittanbieter einem Aufsichtsrahmen der Union unterworfen werden. 

Die drei Europäischen Aufsichtsbehörden (ESAs), die als federführende Aufsichtsinstanz für jeden, der als kritischer IKT-Drittanbieter gilt, benannt wurden, erhalten Befugnisse, um sicherzustellen, dass Technologiedienstleister, die entscheidend zum Funktionieren des Finanzsektors beitragen, auf gesamteuropäischer Ebene angemessen überwacht werden.

Informationsaustausch

Um das Bewusstsein für IKT-Risiken zu schärfen, ihre Ausbreitung zu minimieren, die Abwehrkapazitäten von Finanzunternehmen und die Techniken zur Erkennung von Bedrohungen zu unterstützen, ermöglicht die Verordnung Finanzunternehmen, untereinander Vereinbarungen für den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zu treffen.

Veröffentlichung von ersten konkreten Regulierungs- und Implementierungsstandards

Bereits am 19. Juni 2023 wurden erste Entwürfe sogenannter Implementierungs- (ITS) und Regulierungsstandards (RTS) veröffentlicht. Diese geben einen Ausblick darauf, wie Anforderungen konkret umgesetzt werden sollen, und definieren beispielsweise konkrete Schwellenwerte. Folgende Schwellenwerte wurden veröffentlicht:

• RTS zum Risikomanagementrahmenwerk und RTS zur Vereinfachung des IKT-Risikomanagementrahmenwerks
• RTS zur Bewertung und Klassifikation von IKT-Vorfällen
• RTS zur Spezifizierung der Outsourcing-Policy für IKT-Dienste
• ITS zum Informationsregister für ausgelagerte IKT-Dienste

Die bislang vorliegenden Entwürfe der Implementierungs- und Regulierungsstandards werden bis Mitte 2024 von der Europäischen Kommission finalisiert. Darüber hinaus ist die Veröffentlichung weiterer Standards geplant.

Ausblick / Fazit

DORA verdeutlicht die Notwendigkeit für Finanzunternehmen, verstärkt Themen der Cybersicherheit voranzubringen. Das breite Themenspektrum von DORA stellt eine Reihe neuer Anforderungen, für deren Umsetzung ein ganzheitlicher, abteilungsübergreifender Ansatz wichtig ist. Dabei kann DORA auch als Chance verstanden werden, da durch die Umsetzung der Anforderungen eine effektive digitale Resilienz aufgebaut wird, mit der Finanzunternehmen für den Ernstfall gerüstet sind. Bereits jetzt sollten betroffene Unternehmen, unter Berücksichtigung der veröffentlichten Implementierungs- und Regulierungsstandards, mit einem koordinierten Projekt zur Umsetzung der DORA-Anforderungen beginnen.

Unsere Services (Mazars Vorgehen / Unterstützung / Prüfung / Assessment)

Mazars unterstützt Sie auf Ihrem Weg zur DORA-Konformität durch eine ausführliche GAP-Analyse, die Umsetzung offener Anforderungen inkl. Schließung identifizierter Lücken sowie die Feststellung der Prüfungssicherheit.