Mit dem am 16. Januar 2023 in Kraft getretenen Digital Operational Resilience Act (DORA) [pdf] soll den wachsenden Cyberrisiken begegnet werden. Das Rahmenwerk hat zum Ziel, nationale Standards zu konsolidieren und für digitale Betriebsstabilität von EU-Finanzunternehmen zu sorgen. Konkret soll DORA sie in die Lage versetzen, auf Störungen und Bedrohung angemessen zu reagieren. Die Verordnung adressiert explizit Non-Financial Risks (NFR) und trägt damit der Tatsache Rechnung, dass diese in der Risikolandkarte von Finanzinstituten gegenüber Financial Risks immer mehr an Relevanz gewinnen.
Inhaltsverzeichnis
Wer ist von DORA betroffen?
Der Digital Operational Resilience Act betrifft EU-weit über 22.000 Finanzunternehmen – darunter Banken, Versicherer, Versicherungsvermittler, Wertpapierfirmen, Dienstleister für Crypto-Assets aber auch IKT-Drittanbieter (z.B. Clouddienstleister). Ausgenommen sind gemäß Art. 2 Abs. 3 der DORA-Verordnung einzelne Unternehmensgruppen wie z.B. Verwalter alternativer Investmentfonds oder Einrichtungen der betrieblichen Altersversorgung. Teile der DORA-Vorgaben sind zudem abhängig von der Unternehmensgröße umzusetzen. Hier ist demzufolge jeweils eine individuelle Prüfung notwendig, welche Anforderungen wirklich umgesetzt werden müssen.
DORA – ab wann müssen die Anforderungen umgesetzt werden?
Da es sich um eine Verordnung handelt, gilt DORA ohne weitere Umsetzungsakte unmittelbar in den Mitgliedsstaaten. Für die Implementierung durch die betroffenen Finanzunternehmen ist eine 24-monatige Frist bis zum 17. Januar 2025 vorgesehen.
24.09.2020: Die EU-Kommission veröffentlicht den DORA-Entwurf.
Das EU-Parlament erstellt den Bericht für das Verhandlungsmandat im Trilog (Rat, Kommission und Parlament).
24.06.2022: Kompromiss zwischen EU-Rat und EU-Parlament.
10.11.2022: Annahme des finalen Textes der Verordnung.
27.12.2022: Veröffentlichung im EU-Amtsblatt.
16.01.2023: DORA tritt in Kraft
Die Aufsichtsbehörde legt technische Regulierungs- und Durchführungsstandards fest. Sie enthalten Spezifikationen und Anleitungen für die Umsetzung der DORA-Anforderungen.
Entwürfe bis 17.01.2024:
- Einzelheiten zum IKT-Risikomanagement
- Details zur Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
Entwürfe bis 17.07.2024:
- Details zur Berichtspflicht (z.B. Termine und Formate)
- Einzelheiten zu erweiterten Tests von Tools, Systemen und Prozessen auf Basis von Threat Led Penetration Testing
- Details zum Management des IKT-Drittparteienrisikos sowie Vorgaben für ein Register
- Spezifizierungen zur Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister
17.01.2025: Anwendung der Verordnung.
Seit Oktober 2023 stellt die BaFin auf einer Plattform regelmäßig Informationen zum DORA-Regelwerk und dessen Umsetzung bereit. Darüber hinaus fand im Dezember 2023 die BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“ statt – die Vortragsunterlagen stehen hier zum Download bereit.
Die Handlungsfelder von DORA
DORA adressiert vor allem die folgenden fünf zentralen Kernthemen:
- Vereinheitlichung und Verbesserung des IKT-Risikomanagements
- Einrichtung und Pflege belastbarer Systeme und Werkzeuge
- Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen
- Erweiterte und vereinheitlichte Meldepflichten
- Test sind zu protokollieren
- Vorfälle/Störungen müssen klassifiziert und geclustert werden
- Jährliche Tests von Werkzeugen und Systemen
- Durchführung bedrohungsgesteuerter Penetrationstests
- Spezifizierung institutsindividueller Präventionsmaßnahmen
- Risikomanagement von Dienstleistungspartnern
- Kritische IKT-Drittdienstleister unterliegen zukünftig EU-Aufsichtsrahmen
- Vollständiges Auslagerungsverzeichnis
- Regelungen zum Informationsaustausch über Cyberbedrohungen zwischen Finanzunternehmen
- Aufsichtsbehörde stellt anonymisierte Erkenntnisse über Cyberbedrohung zur Verfügung
Aktuelle DORA-Aktivitäten in Deutschland
Das Bundesministerium der Finanzen veröffentlichte am 23. Oktober 2023 das Gesetz über die Digitalisierung des Finanzmarktes (FinmadiG). Der Referentenentwurf dient der nationalen Umsetzung gleich mehrerer europäischer Regulierungen: Neben dem DORA-Paket sind dies MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114) sowie die Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113).
Hinter den Kulissen bereiten sich zudem sowohl die BaFin als auch die Deutsche Bundesbank auf DORA vor. Das umfasst u.a. die Anpassung der Aufsichts- und Verwaltungspraxis sowie die Implementierung von IT-Prozessen und -Systemen. Die BaFin, die bereits heute als nationaler Melde-Hub für ITK-Vorfälle fungiert, nimmt zukünftig auch Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen. Diese wird sie mit Blick auf potenzielle Risiken für den Finanzsektor analysieren. Es ist davon auszugehen, dass dafür die bereits vorhandene Melde- und Veröffentlichungsplattform MVP-Portal entsprechend erweitert wird.
Hier ist ein erhöhter Umsetzungsaufwand zu erwarten
Viele der Vorgaben von DORA überschneiden sich mit bereits bekannten Regularien (z.B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/ZAIT und EBA-Guidelines). Allerdings beinhaltet das Rahmenwerk einige Verschärfungen – v.a. mit Blick auf die Themen „Kritische IKT-Dienstleister“ und „Belastbarkeitstests“:
1. Kritische IKT-Dienstleister
IKT-Drittdienstleister, die im Sinne der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) kritische Infrastrukturleistungen erbringen, rücken mit DORA deutlich in den Fokus. Ziel sind sektorübergreifend harmonisierte Anforderungen an das ITK-Drittparteienrisikomanagement. Als kritisch oder wichtig werden dabei Funktionen definiert, deren Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellen würde. Sie sind zu identifizieren, in einem Auslagerungsverzeichnis bzw. Informationsregister zu erfassen und speziell zu beaufsichtigen. In diesem Kontext sind Finanzunternehmen auch explizit dazu aufgefordert, das Konzentrationsrisiko bei Drittanbietern zu berücksichtigen. Zudem wird mit DORA erstmals eine direkte Aufsicht für kritische IKT-Drittdienstleister durch eine europäische Aufsichtsbehörde eingeführt. Deren Durchgriffsrechte wachsen damit erheblich – bis hin zur Befugnis, die Kündigung von Verträgen anzuordnen.
IT-Governance, IT-Risikomanagement und IT-Compliance
2. Belastbarkeitstests
DORA bringt eine Steigerung der Frequenz bei Penetrations- und Belastungstests der digitalen Resilienz mit sich. Systeme und Werkzeuge müssen jährlich getestet werden. Finanzunternehmen, die von gewisser systemischer Relevanz sind, müssen zudem alle drei Jahre durch eine entsprechend qualifizierte und unabhängige Stelle bedrohungsorientierte Penetrationstests (TLPT) durchführen lassen. Hierzu wird es ein Rahmenwerk mit Anforderungen geben – geplant ist die Konsultation des technischen Regulierungsstandard zu TLPT (Art. 26 (11) DORA) ab Dezember 2023.
Finanzunternehmen ist es dabei sicher zu empfehlen, ihre risikobasierten Testprogramme bereits frühzeitig zu stärken und sich dabei an TIBER-DE / TIBER-EU zu orientieren. Zu den TLPT verpflichtete Finanzunternehmen werden von den zuständigen Behörden unter Berücksichtigung des Proportionalitätsprinzips identifiziert und entsprechend informiert.
Wie setzt PASS die Anforderungen von DORA um?
Angesichts der Bedrohungslage liegt die Verbesserung der digitalen operationalen Resilienz vollständig in unserem Interesse. Dabei gehören risikoorientierte Penetrationstests bereits längere Zeit zu unseren Standardprozessen. Wir sehen jedoch Handlungsbedarf beim künftigen Vorgehen zu bedrohungsorientierten Penetrationstests (TLPT), wie sie von DORA gefordert werden. Unser Ziel ist es, auf der Grundlage von Artikel 26 (4), der die Durchführung eines gebündelten TLPT für mehrere Finanzunternehmen durch einen externen, vom ITK-Dienstleister beauftragten Tester ermöglicht (Pooled Testing), ein rechtskonformes und praktikables Szenario für uns und unsere Kunden zu implementieren.
Insgesamt sehen wir uns beim Thema DORA gut aufgestellt und wir erwarten mit Spannung die Ergebnisse der Konsultationen und Präzisierungen der Leitlinien insbesondere zu den TLPT in der zweiten Jahreshälfte. Lesen Sie hierzu auch meinen Beitrag "DORA – das zweite Paket technischer Regulierungsstandards" vom 27.02.2024, der die neuen Standards zur Vergabe von Unteraufträgen für IKT-Dienstleistungen sowie für bedrohungsorientierte Penetrationstests (TLPT) beleuchtet.
Stefan Luckhaus, Leiter der PASS Innenrevision
Machbarer Aufwand von DORA
Mit DORA unterliegt die digitale Resilienz im Finanzsektor erstmals einheitlichen Regeln. Der individuelle Umsetzungsaufwand hängt dabei stark von der Unternehmensgröße, den Risiken des Geschäftsmodells sowie dem aktuellen Status quo der digitalen Resilienz ab. Wie bereits ausgeführt, werden vor allem die Themen „Auslagerung“ und „Belastbarkeitstests“ in den Fokus rücken, wobei Finanzinstitute, welche BAIT/VAIT/ZAIT bereits konsequent umsetzen, beim Thema „Auslagerung“ einen klaren Vorteil haben werden.
Lesen Sie mehr dazu: Die BAIT definieren die Anforderungen der Aufsicht an die Informationssicherheit in Banken – so helfen sie Cyberangriffen vorzubeugen.
Unter dem Strich wird das IT-Risikomanagement mit DORA noch komplexer und es gilt, nicht nur den Überblick zu behalten, sondern das Thema aktiv zu steuern. Hierbei kann eine Governance, Risk und Compliance Software wie z.B. PASS GRC unterstützen.
Die Anforderungen von DORA decken sich im Übrigen in weiten Teilen mit der neuen EU-Verordnung zur Cybersicherheit NIS2. Sprich: Viele Finanzunternehmen schlagen hier zwei Fliegen mit einer Klappe.
Exkurs: NIS2
Dieser Artikel zum Thema DORA wurde am 3. April 2023 erstmalig veröffentlicht und am 29. Januar 2024 aktualisiert.
Bildquelle: Shutterstock
