Die EU-Verordnung DORA (Digital Operational Resilience Act) ist ein gemeinsamer Rahmen für den europäischen Finanzsektor, um den Umgang mit Cybersicherheit und IKT-Risiken zu regeln. Ziel von DORA ist die Stärkung des EU-Finanzmarktes durch die Harmonisierung von Anforderungen und Standards in den Bereichen Cybersicherheit und IKT-Risiken, um die Widerstandsfähigkeit und Anpassungsfähigkeit – die operationale Resilienz – bei Finanzunternehmen bei und nach Störungsfällen aufrechtzuerhalten. Bis 2025 muss die Umsetzung erfolgt sein, aber wie erreicht man dies mit überschaubarem Aufwand? Wir geben in diesem Blogbeitrag einen Überblick zu DORA. Zudem geben wir grundlegende Tipps, wie man die Vorgaben umsetzen kann.
DORA gilt ab Anfang 2025
Der Digital Operational Resilience Act betrifft den Finanzsektor und umfasst grundsätzlich nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors. Neben Banken sind dies unter anderem auch Versicherungs- und Rückversicherungsunternehmen. Unternehmen müssen schon aktiv werden: Die EU-Verordnung ist bereits im Januar 2023 in Kraft getreten und findet nach 2-jähriger Umsetzungsfrist ab dem 17. Januar 2025 Anwendung.
Im Januar 2024 wurden von den ESAs* (European Supervisory Authorities) nun die ersten finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards veröffentlicht, ein Set an Standards, um einheitliche Regulierung im Bereich der Betriebsabläufe sicherzustellen.
*= Die Europäischen Aufsichtsbehörden / European Supervisory Authorities (ESAs) sind:
EBA: Europäische Bankenaufsichtsbehörde
ESMA: Europäische Wertpapier- und Marktaufsichtsbehörde
EIOPA: Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung
Was regelt DORA
Die EU-Verordnung DORA hat das Ziel, die Widerstandsfähigkeit gegen Cyberangriffe und die digitale Sicherheit zu stärken. Sie legt Anforderungen an Cybersicherheit, Betriebskontinuität und Krisenmanagement fest, um damit sicherzustellen, dass Prozesse unter Bedingungen wie Cyberangriffen und bei technischen Ausfällen weiter verfügbar bleiben. DORA legt den Schwerpunkt auf das IKT-Risikomanagement und orientiert sie sich an nationalen und internationalen Best Practices und Standards.
Die Regelungen umfassen folgende 6 Bereiche und Inhalte:
Bereich | Merkmale |
IKT-Risikomanagement: |
|
Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen: |
|
Testen der digitalen operationellen Resilienz und Threat-led Penetration Testing (TLPT): |
|
IKT-Drittpartei-Risikomanagement: | Vertragsbestandteile, z.B. notwendige Bestandteile, wie Unterstützung des Dienstleisters bei Vorfällen |
Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister:
|
Überwachung von kritischen IT-Dienstleistern (kritisch z.B. hinsichtlich Auswirkung von Betriebsstörungen auf den gesamten Finanzmarkt / Anzahl
der Kunden oder viele systemrelevante Finanzunternehmen als Kunden) |
„Information Sharing“ sowie Cyberkrisen- und Notfallübungen: | Informationsaustausch (auf EU-Ebene) => Maßnahmen ableiten => kontinuierliche Verbesserung |
Regelung des Meldewesens
In Bezug auf die Umsetzung von DORA sind einheitlich geregelte Meldeprozesse für Vorfälle in europäischen Finanzunternehmen ein wichtiger Aspekt. Parallelen zur Melde-/Berichtspflicht finden sich auch z.B. bei der NIS2-Richtlinie. Vorfälle werden zunächst an die zuständige nationale Behörde gemeldet und unter Einbezug der europäischen Aufsichtsbehörden bewertet. Anschließend werden sie bei entsprechender Relevanz an andere Mitgliedsstaaten und weitere Instanzen weitergeleitet. Abbildung 2 zeigt einen Vorfall im DORA-Meldeprozess mit der BaFin als zentrales Element im Zusammenspiel mit BSI und europäischen Aufsichtsbehörden:
Regulierungs- und Implementierungsstandards von DORA
Die oben genannten, von den ESAs veröffentlichten Entwürfe der technischen Regulierungs- und Implementierungsstandards (RTS und ITS) sollen bei der Umsetzung unterstützen und diese erleichtern: Die technischen Regulierungsstandards (RTS) enthalten detaillierte, spezifische Vorschriften und technische Anforderungen, z.B. in Bezug auf IKT-Risikomanagement und Sicherheitsmaßnahmen bei IT-Systemen, die technischen Durchführungsstandards (ITS) spezifische Vorschriften oder Verfahren, z.B. Anleitungen zur Durchführung der Sicherheitstests oder Berichterstattung über Sicherheitsvorfälle.
Die Europäischen Kommission prüft diese Entwürfe, damit diese im Einklang mit europäischen Gesetzen und politischen Zielen stehen. Sie werden zum verbindlichen Standard für die Umsetzung von DORA. Da diese Standards die Anforderungen von DORA konkretisieren, ermöglichen sie auch die bessere Bewertung des Umsetzungsaufwands für Unternehmen.
Abgrenzung zu anderen Regulierungsvorgaben
DORA grenzt thematisch an aktuelle andere Vorgaben und Richtlinien an, wie beispielsweise an die NIS2-Richtlinie, die das Gesamtniveau der Cybersicherheit der EU stärken soll und an TIBER (Threat Intelligence-based Ethical Red Teaming), welche die Widerstandsfähigkeit gegen Cyberangriffe durch präventive Tests fördern soll. Wenn ein Unternehmen auch in die NIS2-Richtlinie fällt, gilt: Sofern die DORA-Anforderung spezifischer ist, ist diese vorrangig.
Für den Bankensektor hat die European Banking Authority EBA 2019 die EBA-Leitlinien zu Auslagerungen sowie Leitlinien zu Management von IKT- und Sicherheitsrisiken veröffentlicht und darin Maßnahmen für das Risikomanagement definiert, welche die Anforderungen an Informationssicherheit und Auslagerungen betreffen. Hierbei handelt es sich jedoch um Empfehlungen bzw. Leitlinien, die nur für den Bankensektor gelten.
Die DORA-Verordnung schließt dabei grundsätzlich die Inhalte dieser Vorgaben und Richtlinien ein. DORA stellt dabei die konsistente Vereinheitlichung bekannter Verordnungen und Anforderungen im Kontext von Betriebsstabilität und Geschäftskontinuität in den Fokus. Sie betrifft dabei – anders als die EBA-Leitlinien – nicht nur den EU-Bankensektor, sondern den gesamten EU-Finanzsektor.
Wie integriert sich DORA in die deutschen Finanzregulierungsvorgaben
Es gibt eine Reihe von Verordnungen der deutschen Regulierungsbehörde BaFin, wie zum Beispiel die BAIT – (Bankaufsichtliche Anforderungen an die IT). Die BaFin ist auch für die Umsetzung von DORA auf nationaler Ebene zuständig, einschließlich Überwachung und Kontrolle. Zudem hat sie eine weitere wesentliche Rolle: Sie ist die zentrale Meldestelle für IKT-Vorfälle und das Bindeglied in Zusammenarbeit mit anderen nationalen Aufsichtsbehörden und der EBA. Dabei arbeitet sie mit den europäischen Aufsichtsbehörden zusammen, damit eine konsistente Durchsetzung in der EU stattfindet.
Auch die BaFin hat schon in der Vergangenheit Anforderungen und Praktiken im deutschen Finanzsektor etabliert, die sich jetzt bei DORA widerspiegeln:
-
- harmonisierte Anforderungen an das IKT-Risikomanagement
z.B. Mindestanforderungen an das Risikomanagement (MaRisk), Anforderungen an die IT in der BAIT, ZAIT,VAIT, KAIT - vereinheitlichte Anzeigen von Auslagerungen
d.h. einheitliche Standards und Verfahren für die Meldung von Auslagerungen an die BaFin - Überwachung von IT-Dienstleistern mit mehreren Mandanten
- vereinheitlichte Strukturen für das Meldewesen von IKT-bezogenen Vorfällen
- harmonisierte Anforderungen an das IKT-Risikomanagement
Wesentliche Elemente finden sich bei DORA wieder. Daher stellen auch die bereits erfolgten Umsetzungen der BaFin-Anforderungen eine gute Grundlage für die Implementierung der DORA-Verordnung in Unternehmen dar.
Handlungsempfehlungen und Tipps für die Umsetzung
-
- Bereits umgesetzte bzw. etablierte Anforderungen / Prozesse / Methoden, z.B. aus den EBA-Leitlinien sind für Finanzunternehmen eine gute Umsetzungsbasis.
- Anforderungen an Dokumentations- und Meldepflichten sollten geprüft und Prozesse angepasst werden.
- Bestehende Dienstleister-Verträge sind zu überprüfen und ggfs. anzupassen, etwa vom Dienstleister zu leistende Unterstützung bei Vorfällen. (Anpassungen können äußerst zeitaufwendig sein!)
- Vorhandene Tools für Risikomanagement / Dokumentation / Reporting können unterstützend genutzt werden, z.B. Tools zur automatischen Erkennung und Alarmierung von Auffälligkeiten oder Tools für Verschlüsselung und Verwaltung kryptografischer Schlüssel beziehungsweise für die Implementierung von Lebenszyklen für Firewallregeln zur Stärkung der Netzwerksicherheit.
- neue Tools zur Dokumentation von Dienstleister-Verträgen und für Berichtspflichten erforderliche Informationsregister zu Dienstleistern sind zu etablieren.
- Auch Erkenntnisse oder Maßnahmen aus dem Lieferkettengesetz-Umsetzung können für die Risikobewertung von Dienstleistern hilfreich sein (trotz primären Fokus auf soziale und ökologische Standards).
- Insgesamt sind konkrete Vorgaben mit den schon im Unternehmen existierenden (technischen und organisatorischen) Standards abzugleichen und Prozesse entsprechend anzupassen und nachzusteuern.
Fazit
Die DORA-Verordnung ist ein guter Schritt in Richtung harmonisierter Anforderungen und Prozesse im europäischen Finanzsektor. Die zunehmenden Cyber-Bedrohungen der letzten Jahre haben gezeigt, dass für Unternehmen – nicht nur im Finanzsektor – verbesserte Maßnahmen erforderlich geworden sind. Angemessene Maßnahmen und Prozesse sind für die Betriebssicherheit entscheidend, um auf gegenwärtige und zukünftige Bedrohungen und Risiken auf IT-Ebene zu reagieren. Um Sicherheit und Geschäftskontinuität bei wachsenden Risiken sicherstellen zu können, sind konkrete Standard-Vorgaben wie bei DORA hilfreich und (für eine EU-weit einheitliche Resilienz und Sicherheit) notwendig.