DORA: Mehr Sicherheit für Europas Finanzbranche

Die Bedeutung der IKT für die Finanzstabilität steigt weiter, denn fast alle Unternehmen digitalisieren zunehmend Prozesse. Viele von ihnen brechen etablierte Wertschöpfungsketten auf und kreieren neue, voll digitale Geschäftsmodelle. Im IKT-Bereich steigen dann oftmals die Abhängigkeiten von Drittdienstleistern. Ein prägnantes Beispiel sind Cloud-Dienstleistungen. Umso wichtiger ist es, dass Finanzunternehmen ihre operativen Cyber- und IKT-Risiken effektiv managen. Die BaFin hat diese Risiken im Blick, bislang auf Basis nationaler Gesetze und Regelwerke. Nun gibt es jedoch auch auf europäischer Ebene ein einheitliches Rahmenwerk für den Umgang mit Cyberrisiken und der IKT-Sicherheit: den Digital Operational Resilience Act, kurz DORA (siehe dazu auch den BANKINGNEWS-Leitartikel). Die EU-Verordnung ist im Januar 2023 in Kraft getreten, die Unternehmen müssen den Anforderungen von DORA ab Januar 2025 nachkommen.

Proportional, risikoorientiert und technologieneutral

Die wichtigste Errungenschaft von DORA ist das „single rulebook“, ein europaweit einheitliches Regelwerk für das Management von IKT-Risiken. Darunter fallen Schätzungen zufolge mehr als 20.000 Finanzunternehmen in Europa. So gut wie alle beaufsichtigten Institute und Unternehmen und auch zahlreiche andere Anbieter wie IKT-Drittdienstleister müssen die Vorgaben des Regelwerks beachten. In Deutschland gilt DORA für mehr als 3.600 Finanzunternehmen. Ausnahmen gibt es nur wenige, etwa für Kleinstunternehmen mit weniger als zehn Beschäftigten und einem Umsatz oder einer Bilanzsumme unter zwei Millionen Euro. DORA folgt einem risikobasierten Regulierungsansatz. Die Anforderungen der Verordnung berücksichtigen das Proportionalitätsprinzip. Das heißt: Sie fallen unterschiedlich streng aus, abhängig von der Größe und dem Geschäftsmodell der Unternehmen sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte, die sie managen müssen. Außerdem hat der europäische Gesetzgeber DORA technologieneutral gestaltet, so dass der rasante digitale Fortschritt die Verordnung nicht überholen kann.

Sechs wesentliche Bereiche im Fokus

Inhaltlich fokussieren sich die in DORA enthaltenen Regelungen auf sechs wesentliche operative Bereiche:

• IKT-Risikomanagement

• Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen

• Testen der digitalen operationellen Resilienz einschließlich Threat-Led Penetration Testing (TLPT) für bedeutende Finanzunternehmen

• IKT-Drittparteirisikomanagement

• Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister

• Information Sharing sowie Cyberkrisen- und Notfallübungen

Einige Inhalte sind wenig überraschend, etwa die Anforderungen an das IKT-Risikomanagement. So müssen Banken zum Teil auch heute schon vergleichbare Vorgaben in ihrem Risikomanagement beachten. In anderen Bereichen lassen sich mit der Einführung von DORA Prozesse verschlanken. Ein gutes Beispiel ist das Meldewesen zu IKT-Vorfällen im Bankensektor. Künftig müssen Institute den gleichen Vorfall nicht mehr an unterschiedliche Behörden melden. In Deutschland wird dafür die BaFin als zentrale Meldestelle dienen. Ein wichtiges Novum unter DORA ist das Überwachungsrahmenwerk für kritische IKT-Drittdienstleister auf europäischer Ebene. Ab 2025 sollen die für den EU-Finanzsektor kritischen Anbieter von IKT-Dienstleistungen laufend von den europäischen und nationalen Aufsichtsbehörden überwacht werden.

Dabei geht es nicht um Aufsicht im klassischen Sinne. Die Dienstleister brauchen keine Erlaubnis und die Aufsichtsbehörden haben keine direkten Anordnungsbefugnisse. Aber sie können Empfehlungen aussprechen, Informationen einfordern und Prüfungen vornehmen. Außerdem verfügen sie über die Sanktionsmöglichkeit des Zwangsgeldes. Kurzum: Die Finanzaufsicht hat die kritischen IKT-Drittdienstleister fest im Blick. Und das ist auch wichtig, damit sie mit DORA die digitale operationale Resilienz des europäischen Finanzsektors nachhaltig stärken kann.