Das DORA-Gesetz verstehen: Eine transformative Verordnung, die die digitale Widerstandsfähigkeit des gesamten Finanzsektors verbessert.
Der Bedarf an digitaler operativer Resilienz in Finanzdienstleistungen
Im heutigen digitalen Zeitalter unterstützt die Informations- und Kommunikationstechnologie (IKT) komplexe Systeme, die für die täglichen Aktivitäten im Finanzsektor unerlässlich sind. Mit der zunehmenden Digitalisierung unserer Volkswirtschaften erhöht die Vernetzung der IKT-Systeme das Risiko und macht das Finanzsystem anfälliger für Cyberbedrohungen und IKT-Störungen.
Der Europäische Ausschuss für Systemrisiken (European Systemic Risk Board, ESRB) hat bekräftigt, dass der hohe Grad der Vernetzung zwischen Finanzunternehmen eine systemische Schwachstelle darstellen könnte. Lokalisierte Cyber-Vorfälle können sich schnell ausbreiten und das gesamte Finanzsystem in Mitleidenschaft ziehen. Daher muss die digitale Widerstandsfähigkeit besser berücksichtigt und in den operativen Rahmen der Finanzinstitute integriert werden.
Das Verordnung zur Digitalen Operationalen Resilienz (DORA) ist unter dem folgenden Link verfügbar:
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554
Kernbestandteile und Anforderungen von DORA
Der Digital Operational REsilience Act zielt darauf ab, die digitale operationelle Widerstandsfähigkeit des Finanzsektors zu stärken, indem es die IKT-Risikoanforderungen in einem einzigen Rechtsrahmen konsolidiert und verbessert. Diese Verordnung deckt das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der operativen Widerstandsfähigkeit und die Überwachung des IKT-Drittrisikos ab.
Finanzunternehmen müssen bei der Behandlung von IKT-Risiken prinzipienbasierte Regeln befolgen und dabei ihre Größe, ihr Risikoprofil und die Komplexität ihrer Dienstleistungen berücksichtigen. Die Verordnung schreibt auch die Entwicklung von IKT-Kapazitäten und -Resilienz vor, um Betriebsausfälle zu überstehen und die Stabilität und Integrität der Finanzmärkte der Union zu gewährleisten.
Anwendbarkeit und Reichweite von DORA
Die DORA-Akte ist ein umfassender Rechtsrahmen, der die digitale Widerstandsfähigkeit von Finanzunternehmen in der gesamten Europäischen Union verbessern soll. Er gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungsgesellschaften, Wertpapierfirmen und Zahlungsdienstleister, so dass alle wichtigen Akteure des Finanzökosystems abgedeckt sind. Durch die Einbeziehung eines so breiten Spektrums von Einrichtungen zielt das DORA-Gesetz darauf ab, einen einheitlichen Ansatz für das Management von IKT-Risiken zu schaffen und so den gesamten Finanzsektor gegen potenzielle digitale Bedrohungen zu stärken.
Der Geltungsbereich des DORA-Gesetzes ist nicht auf die Unternehmen selbst beschränkt, sondern erstreckt sich auch auf deren IKT-Drittdienstleister. Diese Einbeziehung ist von entscheidender Bedeutung, da viele Finanzinstitute bei wichtigen IKT-Dienstleistungen in hohem Maße auf externe Partner angewiesen sind. Indem das DORA-Gesetz vorschreibt, dass diese Drittanbieter strenge Risikomanagement- und Ausfallsicherheitsstandards einhalten müssen, stellt es sicher, dass die gesamte Lieferkette robust und sicher ist.
Darüber hinaus soll die Reichweite des DORA-Gesetzes über die nationalen Grenzen innerhalb der EU hinausgehen und ein harmonisiertes Regelungsumfeld fördern. Diese grenzüberschreitende Anwendbarkeit ist für Finanzunternehmen, die in verschiedenen Rechtsordnungen tätig sind, von entscheidender Bedeutung, da sie die Einhaltung der Vorschriften durch einheitliche Regeln und Anforderungen vereinfacht. Durch die Förderung einer kohärenten Regulierungslandschaft erhöht das DORA-Gesetz nicht nur die digitale Widerstandsfähigkeit, sondern erleichtert auch reibungslosere Abläufe und die Zusammenarbeit auf den Finanzmärkten der Union.
Im Wesentlichen sind Anwendbarkeit und Reichweite des DORA-Gesetzes strategisch darauf ausgerichtet, einen widerstandsfähigen Finanzsektor aufzubauen, der den Herausforderungen des digitalen Zeitalters standhalten kann. Durch die Festlegung hoher Standards sowohl für Finanzunternehmen als auch für deren Drittanbieter und durch die Gewährleistung der einheitlichen Anwendung dieser Standards in der gesamten EU spielt die DORA-Akte eine zentrale Rolle bei der Sicherung der Stabilität und Integrität des Finanzsystems.
Verpflichtung zur Einhaltung seit 17. Januar 2025 & RTS/ITS
Technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) sind entscheidende Bestandteile von DORA. Sie dienen als detaillierte Leitlinien und Verfahren, die Finanzunternehmen einhalten müssen, um die Einhaltung der Verordnung zu gewährleisten. Die RTS wurden entwickelt, um die technischen Details zu spezifizieren, die für die Umsetzung der Anforderungen von DORA notwendig sind, und um Klarheit darüber zu schaffen, wie Finanzunternehmen IKT-Risiken managen, Vorfälle melden und Resilienz-Tests durchführen sollten. Diese Standards sind so konzipiert, dass sie präzise und umsetzbar sind und es den Unternehmen ermöglichen, ihre Abläufe effektiv an den regulatorischen Erwartungen auszurichten. Andererseits konzentrieren sich die ITS auf die praktischen Aspekte der Umsetzung dieser Standards und bieten einen Rahmen für die kohärente Anwendung der Vorschriften in den verschiedenen Rechtsordnungen innerhalb der Europäischen Union. Zusammen bilden RTS und ITS ein umfassendes Konzept, das den Finanzinstituten bei der Verbesserung ihrer digitalen operativen Widerstandsfähigkeit hilft und sicherstellt, dass sie gut gerüstet sind, um die Herausforderungen der sich rasch entwickelnden digitalen Landschaft zu bewältigen.
Einen Überblick über die RTS & ITS finden Sie unter dem folgenden Link:
Auswirkungen auf das IKT-Risikomanagement und die Meldung von Vorfällen
Die DORA-Verordnung führt ein solides System zur Meldung von IKT-Vorfällen ein, das den zuständigen Behörden einen umfassenden Überblick über Art, Häufigkeit, Bedeutung und Auswirkungen von IKT-Vorfällen verschafft. Dieser gestraffte Rahmen zielt darauf ab, die Meldung von Vorfällen im gesamten Finanzsektor zu harmonisieren, den Verwaltungsaufwand zu verringern und doppelte Meldepflichten zu beseitigen.
Finanzunternehmen müssen größere IKT-bezogene Vorfälle direkt an ihre zuständigen Behörden melden. Diese direkte Meldung ermöglicht den Finanzaufsichtsbehörden einen sofortigen Zugang zu wichtigen Informationen, die für die Bewältigung von IKT-Risiken bei groß angelegten Angriffen mit potenziell systemischen Folgen unerlässlich sind.
Prüfung und Überwachung im Rahmen des neuen Rechtsrahmens
Regelmäßige Tests von IKT-Systemen sind entscheidend für die Aufdeckung und Behebung potenzieller Schwachstellen. Das DORA-Gesetz verlangt von den Finanzinstituten ein umfassendes Testprogramm für die digitale operationelle Widerstandsfähigkeit, einschließlich fortgeschrittener Tests mittels bedrohungsgesteuerter Penetrationstests (TLPT) für systemrelevante Finanzinstitute.
Die Verordnung fördert ein koordiniertes Testsystem, um die gegenseitige Anerkennung von fortgeschrittenen Testergebnissen in verschiedenen Rechtsordnungen zu erleichtern. Finanzunternehmen, die grenzüberschreitend tätig sind, müssen eine einheitliche Reihe von Anforderungen an fortgeschrittene Tests erfüllen, um einen einheitlichen Ansatz für die Prüfung der digitalen operationellen Resilienz in der gesamten Union zu gewährleisten.
Auswirkungen auf Finanzunternehmen und Beziehungen zu Drittparteien
Finanzunternehmen müssen das IKT-Drittrisiko umfassend managen, indem sie prinzipienbasierte Regeln für die Überwachung ausgelagerter IKT-Dienstleistungen umsetzen. Verträge mit IKT-Drittanbietern sollten wichtige Bestimmungen enthalten, um die Sicherheit und Widerstandsfähigkeit von IKT-Diensten zu gewährleisten, z. B. Zugangs-, Inspektions- und Auditrechte sowie Kündigungsklauseln.
Das DORA-Gesetz befasst sich auch mit dem systemischen Risiko, das von der Konzentration von IKT-Drittanbietern ausgeht. Es legt einen Aufsichtsrahmen für kritische IKT-Drittdienstleister fest, der eine kontinuierliche Überwachung ihrer Aktivitäten ermöglicht und sicherstellt, dass sie die höchsten Standards des IKT-Risikomanagements einhalten.
Leitfaden zur Einhaltung des DORA-Gesetzes
Um das DORA-Gesetz erfolgreich zu erfüllen, müssen Finanzunternehmen mehreren kritischen Bereichen Priorität einräumen, die das Rückgrat der digitalen operativen Widerstandsfähigkeit bilden. An erster Stelle steht die Einrichtung eines umfassenden IKT-Risikomanagementrahmens. Dazu gehören die Identifizierung potenzieller Risiken, die Bewertung ihrer Auswirkungen und die Umsetzung von Strategien zu ihrer Eindämmung. Ein solcher Rahmen sollte dynamisch sein, damit er kontinuierlich aktualisiert und verbessert werden kann, wenn neue Bedrohungen auftauchen und sich die Technologie weiterentwickelt.
Ein weiterer Eckpfeiler der Compliance ist die Einführung robuster Mechanismen zur Meldung von Vorfällen. Finanzunternehmen müssen Systeme entwickeln, die eine rasche und genaue Meldung von IKT-bezogenen Vorfällen ermöglichen. Dies gewährleistet nicht nur die Einhaltung der Vorschriften, sondern erleichtert auch eine schnelle Reaktion und Wiederherstellung, wodurch potenzielle Schäden für das Finanzsystem minimiert werden.
Die Durchführung regelmäßiger und fortgeschrittener IKT-Resilienztests ist entscheidend für die Aufdeckung von Schwachstellen, bevor sie ausgenutzt werden können. Dazu gehören sowohl Routinebewertungen als auch ausgefeilte Testmethoden wie bedrohungsgesteuerte Penetrationstests (TLPT), bei denen reale Cyberangriffe simuliert werden, um die Wirksamkeit bestehender Schutzmaßnahmen zu bewerten. Durch rigorose Tests ihrer Systeme können Finanzunternehmen Schwachstellen erkennen und ihre Widerstandsfähigkeit gegen potenzielle Störungen stärken.
Ein wirksames Risikomanagement von IKT-Drittanbietern ist ebenfalls ein wichtiger Bestandteil der DORA-Compliance. Finanzunternehmen müssen prinzipienbasierte Regeln für die Überwachung ausgelagerter IKT-Dienste einführen und sicherstellen, dass Drittanbieter dieselben hohen Sicherheits- und Widerstandsfähigkeitsstandards einhalten. Dazu gehört die Führung eines detaillierten Registers aller vertraglichen Vereinbarungen mit IKT-Drittanbietern. Die Verträge sollten wichtige Bestimmungen wie Zugangs-, Inspektions- und Auditrechte sowie Kündigungsklauseln enthalten, die für die Überwachung und Minderung von IKT-Risiken unerlässlich sind.
Bei einem proaktiven Ansatz für das IKT-Risikomanagement und die Einhaltung von Vorschriften geht es nicht nur um die Erfüllung gesetzlicher Anforderungen, sondern auch um den Schutz der Stabilität und Integrität des Finanzsektors. Indem sie potenziellen Bedrohungen immer einen Schritt voraus sind und ihre digitale betriebliche Widerstandsfähigkeit kontinuierlich verbessern, können Finanzunternehmen ihre Geschäfte schützen, das Vertrauen ihrer Kunden aufrechterhalten und zur allgemeinen Gesundheit des Finanzsystems beitragen. Diese proaktive Haltung stellt sicher, dass sie nicht nur das DORA-Gesetz einhalten, sondern auch gut vorbereitet sind, um die Komplexität des digitalen Zeitalters zu meistern.
