DORA | Digital Operational Resilience Act
Start am 17.01.2025
Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor („DORA“) wird ab dem 17.01.2025 EU-weit einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen von Finanzunternehmen festgelegen.
Finanzunternehmen bzw. deren Drittdienstleister müssen ab dann sicherstellen, dass sie in der Lage sind, allen Arten von Störungen und Bedrohungen im Bereich der Informations- und Kommunikationstechnologie („IKT“) standzuhalten, darauf zu reagieren und diese zu beseitigen.
Der Anwendungsbereich sowie die Anforderungen sind nicht zu unterschätzen. Regulierte Unternehmen erfüllen bereits jetzt die Vorgaben aus den BaFin-Rundschreiben BAIT, KAIT, ZAIT bzw. VAIT. Die DORA schafft einen neuen harmonisierten Rechtsrahmen und schafft gleichzeitig komplexe neue Anforderungen. Auch Unternehmen, die bislang nicht direkt reguliert sind, können als IKT-Drittdienstleister durch die DORA betroffen sein.
Das betrifft nicht nur „finanznahe“ Dienstleister, sondern grundsätzlich alle Unternehmen, die digitale Dienste und Datendienste erbringen oder Cloud-, Software-, Datenverarbeitungsdienste und ähnliches erbringen.
Genaue Kriterien für die Einstufung kritischer IKT-Drittdienstleister werden von der EU-Kommission in einer delegierten Verordnung normiert werden (Discussion Paper). Die Überwachung kritischer IKT-Drittdienstleister durch die Aufsicht entbindet Finanzunternehmen zudem nicht von ihrer Pflicht zur Überwachung des Dienstleisters.
Es gilt daher, schon jetzt die Weichen zu stellen, um auch zukünftig in Bezug auf die IT rechtskonform im Finanzsektor auftreten zu können und „DORA-ready“ zu sein.
Was ist der Zweck von DORA?
Der Zweck bzw. die Ziele von DORA sind die
- Stärkung der Sicherheit und operationalen Resilienz des gesamten europäischen Finanzsektors
- Schaffung einheitlicher und konsistenter Anforderungen für den gesamten Finanzsektor → Harmonisierung in der EU
- Berücksichtigung proportionaler Anforderungen → Prinzip der Proportionalität (z.B. gelten für Kleinstunternehmen andere Anforderungen)
Wer ist betroffen?
Adressaten von DORA
Finanzunternehmen:
- Kreditinstitute
- Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen, die der Verordnung über Märkte von Krypto-Wertenzugelassen sind, und Emittenten wertreferenzierter Token
- Zentralverwahrer
- zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
- Einrichtungen der betrieblichen Altersversorgung
- Ratingagenturen
- Administratoren kritischer Referenzwerte
- Schwarmfinanzierungsdienstleister
- Verbriefungsregister
Sonstige Unternehmen:
- IKT-Drittdienstleister
Gibt es Vereinfachungen?
Für bestimmte Adressaten gelten Vereinfachungen hinsichtlich der DORA-Anforderungen. Dies gilt für
- Kleine und nicht verflochtene Wertpapierfirmen
- Entsprechend der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute
- Entsprechend der Richtlinie 2013/36/EU ausgenommene Institute, die Deutschland nicht vom Geltungsbereich von DORA ausgenommen hat
- Nach der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute
- Kleine Einrichtungen der betrieblichen Altersversorgung
- Kleinstunternehmen
DORA findet zudem keine Anwendung auf folgende Unternehmen:
- Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU
- Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG
- Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben
- Gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt
- Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU
Welche Anforderungen sind in der DORA enthalten?
Die Adressaten der DORA treffen insbesondere folgende Pflichten bzw. erwartete Handlungen:
- Einrichtung eines IKT-Risikomanagements
- Einrichtung eines IKT-Drittparteirisikomanagements
- Einrichtung eines IKT-Vorfallmeldewesens
- Durchführung von Tests der digitalen operationellen Resilienz inklusive fortgeschrittener Threat Led Penetration Tests („TLPT“) für „systemrelevante“ Finanzunternehmen
- Informationsaustausch mit anderen Finanzunternehmen sowie Cyberübungen
Was ist ein IKT-Risikomanagement?
Das IKT-Risikomanagement besteht aus den folgenden Teilen:
Governance und Organisation
Die Geschäftsleitung hat ein wirksames und umsichtiges Management von IKT-Risiken zu gewährleisten, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen.
IKT-Risikomanagementrahmen:
Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT- Protokolle und -Tools, die erforderlich sind, um alle Informations- und IKT-Assets, einschließlich Computer-Software, Hardware und Server, ordnungsgemäß und angemessen zu schützen sowie um alle relevanten physischen Komponenten und Infrastrukturen, wie etwa Räumlichkeiten, Rechenzentren und ausgewiesene sensible Bereiche zu schützen, damit der angemessene Schutz aller Informations- und IKT-Assets vor Risiken, einschließlich der Beschädigung und des unbefugten Zugriffs oder der unbefugten Nutzung, gewährleistet ist.
Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, haben die Zuständigkeit für das Management und die Überwachung des IKT-Risikos an eine Kontrollfunktion zu übertragen und stellen ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicher, um Interessenkonflikte zu vermeiden. Finanzunternehmen müssen hierbei für eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle sorgen.
IKT-Systeme, -Protokolle und -Tools
Um IKT-Risiken zu bewältigen und zu managen, haben Finanzunternehmen stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Tools zu verwenden und unterhalten, die (a) angemessen, (b) zuverlässig, (c) mit ausreichenden Kapazitäten ausgestattet und (d) technologisch resilient sind.
Kontinuierliche Identifizierung aller Quellen für IKT-Risiken
Finanzunternehmen müssen kontinuierlich alle Quellen für IKT-Risiken ermitteln, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und müssen Cyberbedrohungen und IKT-Schwachstellen, die für ihre IKT-gestützten Geschäftsfunktionen, Informations- und IKT-Assets relevant sind, bewerten. Zudem haben Finanzunternehmen regelmäßig, mindestens jedoch einmal jährlich die sie betreffenden Risikoszenarien zu überprüfen.
Schutz und Prävention
Um einen angemessenen Schutz von IKT-Systemen zu gewährleisten und Gegenmaßnahmen zu organisieren, haben Finanzunternehmen kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Tools zu überwachen und zu kontrollieren und durch den Einsatz angemessener IKT-Sicherheitstools, -Richtlinien und -Verfahren die Auswirkungen von IKT-Risiken auf IKT-Systeme zu minimieren.
Erkennung
Finanzunternehmen haben über Mechanismen zu verfügen, um anomale Aktivitäten, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, umgehend zu erkennen und potenzielle einzelne wesentliche Schwachstellen zu ermitteln.
Reaktion und Wiedererstellung
Als Teil des IKT-Risikomanagementrahmens legen Finanzunternehmen eine umfassende IKT-Geschäftsfortführungsleitlinie fest, die als eigenständige spezielle Leitlinie, die fester Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens ist, verabschiedet werden kann.
Backup und Restoration
Um die Wiederherstellung von IKT-Systemen und Daten mit minimaler Ausfallzeit sowie begrenzten Störungen und Verlusten sicherzustellen, haben Finanzunternehmen als Teil ihres IKT-Risikomanagementrahmens zu entwickeln und zu dokumentieren:
- Richtlinien und Verfahren für die Datensicherung, in denen der Umfang der Daten, die der Sicherung unterliegen, und die Mindesthäufigkeit der Sicherung auf der Grundlage der Kritikalität der Informationen oder des Vertraulichkeitsgrads der Daten festgelegt werden;
- Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden.
Lernprozesse und Weiterentwicklung
Finanzunternehmen müssen über Kapazitäten und Personal verfügen, um Informationen über Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu sammeln und ihre wahrscheinlichen Auswirkungen auf ihre digitale operationale Resilienz zu untersuchen.
Kommunikation
Als Teil des IKT-Risikomanagementrahmens müssen Finanzunternehmen über Kommunikationspläne verfügen, die je nach Sachlage eine verantwortungsbewusste Offenlegung zumindest von schwerwiegenden IKT-bezogenen Vorfällen oder Schwachstellen gegenüber Kunden und anderen Finanzunternehmen sowie der Öffentlichkeit ermöglichen.
Was ist das IKT-Drittparteirisikomanagement?
Bzgl. des IKT-Drittparteirisikomanagements gelten folgende Prinzipien:
Verantwortung
Finanzunternehmen bleiben jederzeit im vollen Umfang für die Einhaltung und Erfüllung aller Verpflichtungen (DORA & Finanzdienstleistungsrecht) verantwortlich.
Grundsatz der Verhältnismäßigkeit
Das Management des IKT-Drittparteienrisikos orientiert sich an den IKT bezogenen Abhängigkeiten, den Risiken aus der Drittvergabe, der Kritikalität der betroffenen Funktion und den Auswirkungen auf Kontinuität und Verfügbarkeit.
Strategien
Strategie für das IKT-Drittparteienrisiko (ggf. unter Beachtung der Mehranbieter-Strategie) und eine dazugehörige Leitlinie zur Nutzung von Dienstleistungen von IKT-Drittdienstleistern zur Unterstützung kritischer oder wichtiger Funktionen.
Überprüfung der Risiken
Das Leitungsorgan prüft regelmäßig auf Grundlage des Gesamtrisikoprofils Risiken aus der Nutzung von IKT-Drittdienstleistern bezogen auf kritische oder wichtige Funktionen.
Interne Berichtspflichten
Das Leitungsorgan ist zu informieren über: Vertragsvereinbarungen, relevante geplante wesentlichen Änderungen in Bezug auf IKT-Drittdienstleister, inkl. potenzieller Auswirkungen auf kritische oder wichtige Funktionen.
Informationsregister
Führung eines Informationsregisters mit allen vertraglichen Vereinbarungen; jährliche Meldung eines Berichts an die Aufsicht; auf Verlangen Vorlage des Informationsregisters.
Meldepflicht
Zeitnahe Unterrichtung der zuständigen Behörde über jede geplante vertragliche Vereinbarung zur Unterstützung kritischer oder wichtiger Funktionen.
Überwachungsfunktion
Einrichtung einer Überwachungsfunktion zur Nutzung von IKT-Drittdienstleistern (oder Übernahme durch ein Mitglied der Geschäftsleitung).
Vertragsmanagement
Das Vertragsmanagement umfasst alle Aufgaben, die den Abschluss und die Einhaltung von der Verträgen mit IKT-Drittdienstleistern betreffen. Diese Verträge müssen wesentliche Vertragsbestimmungen enthalten, die DORA vorgibt.
Geeignetheit von IKT-Drittdienstleistern
Vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen müssen Finanzunternehmen bei potenziellen IKT-Drittdienstleistern der gebotenen Sorgfaltspflicht nachkommen und während des gesamten Auswahl- und Bewertungsprozesses sicherstellen, dass der IKT-Drittdienstleister geeignet ist.
Ausstiegsstrategien und -pläne
Diese vertraglichen Vereinbarungen müssen spezielle Ausstiegsstrategien vorsehen, die insbesondere verbindliche Übergangszeiträume ermöglichen, in denen die IKT-Drittdienstleister weiterhin die einschlägigen Dienste bereitstellen, um das Risiko von Störungen auf Ebene des Finanzunternehmens zu verringern oder es Letzterem zu ermöglichen, effektiv zu anderen IKT-Drittdienstleistern zu wechseln oder alternativ zu internen Lösungen zu wechseln, die der Komplexität der bereitgestellten IKT-Dienstleistungen entsprechen.
Was ist das IKT-Vorfallmeldewesen?
Finanzunternehmen haben alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen zu erfassen und zu dokumentieren. Finanzunternehmen sind verpflichtet schwerwiegende IKT-bezogener Vorfälle zu melden. Darüber hinaus können sie freiwillig erhebliche Cyberbedrohungen melden.
Welche Tests muss ich durchführen?
Finanzunternehmen haben ein Programm für Tests der digitalen operationalen Resilienz zu etablieren und zu pflegen. Das Testprogramm hat das Ziel IKT Systeme, Prozesse und Mitarbeitende auf die Effizienz der Fähigkeiten für Prävention, Erkennung, Reaktion und Wiederherstellung zu testen, um potenzielle Schwachstellen aufzudecken und zu beseitigen. Grundsätzlich unterscheidet DORA zwischen zwei Testarten:
- Grundlegende Tests von Schwachstellenbewertung und scans bis Penetrationstests für alle Finanzunternehmen
- Erweiterte Tests wie Threat Led Penetration Tests („TLPT“) nur für Finanzunternehmen, die aus IKT-Perspektive ausgereift genug und von gewisser systemischer Relevanz sind
Was regelt DORA noch?
DORA enthält Regelungen bzw. Anregungen zu folgenden Themen:
- Freiwilliger Austausch von Informationen und Erkenntnissen zwischen Finanzunternehmen zur Verbesserung der „Situational Awareness“
- Sektorübergreifende Krisenmanagement- und Notfallübungen mit Cyberbezug zur Verbesserung der Kommunikation und Stärkung der Resilienz im Finanzsektor – „Cyberübungen“
Wie ist der zeitliche Ablauf der Regulierung?
- 2020: Vorbereitung und Verhandlung
- 2023: Inkrafttreten von DORA und der Änderungsrichtlinie am 17. Januar 2023 sowie Erstellung von Level-2- und Level-3-Rechtstexten, öffentliche Konsultation und nationale Umsetzungsarbeiten
- 2024: Finalisierung der Level-2-und Level-3-Rechtstexte (d.h. insbesondere Leitlinien zur Erläuterung) und Annahme durch die EU-Kommission
- 2025: Anwendung von DORA ab dem 17. Januar 2025
- 2028: Überprüfung von DORA durch die EU-Kommission