Die DORA kommt – oder wie Finanzinstitute und IKT-Drittanbieter bis 2025 durch Regulierung digital resilienter werden sollen

1. DORA kurz und knapp

Finanzinstitute sollen durch Regulierung nicht nur digitaler, sondern auch resilienter werden

Bereits am 16.01. dieses Jahres trat der EU Digital Operational Resilience Act, kurz DORA (Verordnung über die digitale operative Resilienz im Finanzsektor), in Kraft.

Ziel der Verordnung ist die Stärkung der Resilienz des europäischen Finanzsektors gegen Risiken der Informations- und Kommunikationstechnologie (IKT), wie z.B. IT-Ausfälle und Cyberangriffe, durch einheitliche Anforderungen an die Sicherheit der Netz- und Informationssysteme.

DORA ist Teil eines bereits am 24. September 2020 vorgelegten Maßnahmenpakets zur Digitalisierung des Finanzsektors, mit dem die Europäische Kommission die Wettbewerbsfähigkeit und Innovation stärken will.

Mit einem europäischen Ansatz soll einerseits die Entwicklung und Nutzung neuer Technologien und Produkte gefördert und andererseits die Finanzstabilität sowie der Verbraucher- bzw. Anlegerschutz sichergestellt werden. Über die neue Regulierung will die Aufsicht nicht nur die IT-Sicherheit und Cyberabwehr in der europäischen Finanzwirtschaft, sondern auch die eigenen damit verbundenen Aufsichtsmöglichkeiten verbessern.

Den betroffenen Unternehmen im Finanzdienstleistungsbereich bleibt eine Frist von 24 Monaten für die Umsetzung

Etappen des Gesetzgebungsverfahrens

Erläuterung zur Grafik: European Supervisory Authorities (ESAs) = z.B. die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA)

2. Hintergründe der neuen Verordnung

Die Nutzung innovativer Technik rückt neue Arten von Risiken in den Fokus der Aufsicht

Die Digitalisierung ist, und nicht erst seit Corona, aus der Bankenbranche nicht mehr wegzudenken.

• Die Nutzung digitaler Angebote ist bereits heute für die meisten Kunden selbstverständlich – und längst vorbei die Zeiten, als die rein digitale Kontoeröffnung eine aufsehenerregende Innovation darstellte.
• Ohne die Hebung von Effizienzen aus der Nutzung neuer Technologien wie Automatisierung Cloud oder BigData und DataMining sind Anbieter von Finanzdienstleistungen nicht mehr wettbewerbsfähig oder werden es zumindest bald nicht mehr sein.
• Die durch Digitalisierung gewonnene Flexibilität in der Gestaltung der täglichen Arbeit spielt nicht zuletzt auch eine bedeutsame Rolle bei der Gewinnung und Bindung von Arbeitskräften.

Doch mit der Erschließung und Nutzung von innovativer Technik entstehen auch neue Arten von Risiken.

IT-Sicherheit als Schwerpunktthema der Bankenaufsicht

Die zunehmende Digitalisierung und Nutzung von IT-Produkten erhöht die IKT-Abhängigkeit von Finanzunternehmen und macht sie besonders anfällig für damit verbundene Störungen oder Bedrohungen. In der Folge kann es zu Beeinträchtigungen der Informationssicherheit, zu Datenverlusten oder Einschränkungen der Geschäftstätigkeit kommen.

Vor dem Hintergrund des Verbraucherschutzes sowie aufgrund möglicher Auswirkungen auf betroffene Finanzinstitute und mit Ihnen verbundene weiterer Unternehmen rückt die digitale operative Resilienz im Finanzsektor zunehmend in den Fokus der Bankenaufsicht.

Cyberrisiken standen im Jahr 2022 und „Risiken aus Cyberattacken mit gravierenden Auswirkungen“ stehen auch im Jahr 2023 als eines von sechs genannten Risikoschwerpunkten im Fokus der BaFin.

Zudem hat die BaFin die „Digitalisierung der Finanzbranche“ als einen von drei wesentlichen Zukunftstrends ausgemacht, die Risiken bergen, mit denen sich die BaFin und die von ihr beaufsichtigten Unternehmen intensiv befassen müssen.

Mit der Verordnung über die digitale operative Resilienz im Finanzsektor will die Aufsicht nun für mehr „digitale Betriebsstabilität“ im Finanzsektor sorgen.

3. Unternehmen im Geltungsbereich

Von der DORA sind neben Finanzunternehmen auch IKT-Drittanbieter betroffen

Zusätzlich zu bestehenden Regelungen will die Aufsicht mit der DORA sicherstellen, dass neue Technologien und Produkte in den Geltungsbereich der Finanzmarktregulierung und der Regelungen zur Steuerung der operationellen Risiken von in der EU tätigen Unternehmen fallen.

Um dies zu erreichen, ergänzt die DORA bisher geltende Anforderungen und Vorgaben für die regulierten Banken, Versicherungen und Zahlungs­dienstleister. Die erforderlichen Sicherheitsmaßnahmen für die Prävention und Absicherung gegen die Auswirkungen von IKT-Ausfällen sowie von Cybervorfällen werden präzisiert bzw. ergänzt.

Zusätzlich wir der Kreis der Unternehmen im Anwendungsbereich deutlich erweitert. Der in Absatz 2 Artikel (1) der Verordnung definierte Geltungsbereich umfasst u.a. auch Krypto-Dienstleister, Handelsplätze, Ratingagenturen und Datenbereitstellungsdienste sowie Versicherungsvermittler. Aufgrund der Abhängigkeit des Finanzsektors von Dritt- (Viert-, …) Anbietern und deren IT-Sicherheit wird zudem mit der Nennung von „IKT-Drittdienstleister“ der Aufsichtsrahmen auch auf im Finanzsektor tätige IKT-Drittanbieter ausgeweitet.

Von der DORA betroffen sind alle Unternehmen, die IT-Dienstleistungen an Finanzunternehmen bereitstellen. Die Definition dieser Dienstleistungen umfasst „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.

Damit sind bald Unternehmen, die digitale Dienste und Datendienste erbringen, Anbieter von Cloud-Computing-Diensten, Software, Datenanalysedienste und Rechenzentren für Finanzunternehmen zukünftig unmittelbar reguliert. Nach dem Proportionalitätsprinzip gelten dabei weniger Vorgaben für kleinere Unternehmen (so genannte Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme von weniger als 2 Mio. EUR).

Von der bis zum 17.01.2025 umzusetzenden neuen Verordnung sind damit nicht nur Finanzunternehmen betroffen, sondern auch Unternehmen, die bislang nicht unmittelbar reguliert waren. Für potenziell betroffene Unternehmen sollte aufgrund der enthaltenen Legalausnahmen sowie der Abhängigkeit bestimmter Anforderungen von der Größe und genauen Tätigkeit des Unternehmens der erste Schritt darin bestehen, zunächst zu prüfen ob und in welchem Umfang sie tatsächlich betroffen sind.

4. Operative Umsetzung der Anforderungen

Die operative Umsetzung in den betroffenen Unternehmen involviert verschiedene Einheiten

Die umzusetzenden Anforderungen betreffen verschiedene Themenbereiche und erfordern damit eine Beteiligung verschiedener Organisationseinheiten. Hauptsächlich betroffen sind IT, Informationssicherheitsmanagement, Business Continuity Management und das (zentrale) Auslagerungsmanagement.

Die Verordnung erfordert die Umsetzung in vier Themenschwerpunkten:

• IKT-Risikomanagement mit Anforderungen an IT-Sicherheit, ISM und BCM (Kapitel II);
• Vorgaben zu Incidentmanagement und Meldung IKT bezogener Vorfälle (Kapitel III);
• Anforderungen an das Testen der digitalen operationalen Resilienz (Kapitel IV);
• Management von Drittparteirisiken in der gesamten Weiterverlagerungskette (Kapitel V)

Die danach folgenden Kapitel definieren nicht obligatorische oder an die Aufsicht gerichtete Anforderungen.

Überblick über die fünf Schwerpunkte des Digital Operational Resilience Act DORA

Den Unternehmen und Instituten bleibt eine Frist von 24 Monaten für die Umsetzung

Denn betroffenen Unternehmen bleibt jetzt ein Zeitfenster von nicht ganz zwei Jahren bis zum 17.01.2025, dem Tag ab dem die Verordnung angewendet und die Umsetzung von den nationalen Aufsichtsbehörden geprüft bzw. die Einhaltung durchgesetzt wird.

Teile des DORA-Rahmenwerks befinden sich allerdings momentan noch in Ausarbeitung:

• die auf EU-Ebene delegierten Rechtsakte
• die von den zuständigen EU-Aufsichtsbehörden zu erstellenden Leitlinien (Guidelines), technischen Regulierungsstandards (Regulatory Technical Standards, RTS) und technischen Durchführungsstandards (Implementing Technical Standards, ITS)

Trotzdem sollten Unternehmen im Geltungsbereich frühzeitig ihre Umsetzungsprojekte starten und die Umsetzungsfrist von 24 Monaten ausnutzen.

Dies gilt auch für bereits regulierte Unternehmen wie Banken, Versicherungen und Zahlungs­dienstleister, obwohl viele Vorgaben der DORA deckungsgleich mit den geltenden regulatorischen Richtlinien und damit vermeintlich bereits abgedeckt sind. Denn selbst mit einem hohen Reifegrad in der Umsetzung geltender Anforderungen müssen diese Unternehmen aufgrund der Präzisierungen und Erweiterungen durch die neue Verordnung mit einem erheblichen Umsetzungsaufwand rechnen. Zudem müssen sie sicherstellen, dass auch ihre IKT-Drittanbieter die DORA angemessen umsetzen oder sich ggf. bis zum Stichtag von ihnen trennen.

Die Umsetzung sollte zunächst mit einer Scope Analyse starten, um den jeweiligen Geltungsumfang für das betroffene Unternehmen zu definieren. Durch eine Verortung der umzusetzenden Anforderungen in der bestehenden Organisation werden die verantwortlichen Einheiten identifiziert, die in ein übergreifendes Umsetzungsprojekt für die Gap-Analyse, die Umsetzungsplanung und den Rollout einzubinden und zu koordinieren sind.

Im Anschluss empfiehlt sich eine Prüfung der „Audit Readiness“ um für die anstehenden Prüfungen gewappnet zu sein.

DORA Implementierung in 6 Schritten

Unsere Autoren Stefanie Förster und Florian Eglinski freuen sich auf die DORA und Ihre Fragen.