Finanzinstitute und die sie unterstützenden IKT-Dienste sind ein wichtiger Teil der zentralen Infrastruktur der EU. IKT-Risiken können bei unsachgemäßem Management grenz- und sektorübergreifende Störungen verursachen, die sich auf die gesamte Wirtschaft auswirken. Dies ist auch eine Gelegenheit für den Austausch von Informationen über Bedrohungen und Schwachstellen.
Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554, kurz DORA) ist eine europäische Verordnung, die im September 2020 von der Europäischen Kommission verabschiedet wurde. DORA ist am 16. Januar 2023 in Kraft getreten und gilt ab dem 17. Januar 2025. Die Verordnung ist Teil der Digitalen Strategie der EU, die darauf abzielt, die digitale operationelle Resilienz von in Europa tätigen Finanzunternehmen und ihren IKT-Dienstleistern zu stärken, indem ein gemeinsames Regelwerk und gemeinsame Standards zur Risikominderung im Bereich der Informations- und Kommunikationstechnologien (IKT) festgelegt werden.
Harmonisierung des europäischen Finanzsektors
Vor der Einführung von DORA arbeitete der Finanzdienstleistungssektor in der EU ohne einen gemeinsamen Rahmen für IKT- und Cybersicherheit. Die regulatorische Landschaft war durch ein kompliziertes Flickwerk aus nicht harmonisierten europäischen und nationalen Standards gekennzeichnet. Darüber hinaus mussten sich die Finanzinstitute mit der Komplexität des Datenschutzes gemäß der EU-Datenschutzgrundverordnung (DSGVO) und der Notwendigkeit des Schutzes kritischer Infrastrukturen gemäß der Richtlinie über Netz- und Informationssysteme (NIS) auseinandersetzen. In Abwesenheit einer EU-Verordnung war es den einzelnen Mitgliedstaaten überlassen, ihre eigenen Gesetze zur Bewältigung dieser komplexen Fragen des Risikomanagements zu erlassen und durchzusetzen.
Was ist eine EU-Verordnung?
Bevor wir uns mit dem Digital Operational Resilience Act befassen, ist es wichtig zu verstehen, was der Begriff "Verordnung" bedeutet, wenn wir über EU-Politik und andere Arten von EU-Rechtsakten sprechen.
Außerhalb der EU variiert die Bedeutung von Land zu Land. In der EU gibt es fünf Arten von Gesetzgebungs- oder Rechtsakten, die es der EU ermöglicht, ihre Ziele zu erreichen. Dies sind Verordnungen, Richtlinien, Beschlüsse, Empfehlungen und Stellungnahmen.
Verordnung: ein verbindlicher Rechtsakt, der in allen Mitgliedstaaten unmittelbar und vollständig umgesetzt werden muss. Die Allgemeine Datenschutzverordnung (DSGVO) ist ein Beispiel.
Richtlinie: Ein Rechtsakt, der zu erreichende Ziele festlegt, die Art und Weise der Umsetzung jedoch jedem EU-Mitgliedstaat selbst überlässt. Die NIS-Richtlinie2 trat 2023 in Kraft und muss von jedem Mitgliedstaat in nationales Recht umgesetzt werden.
Beschlüsse: ein verbindlicher Rechtsakt, der nur für die Adressaten verbindlich ist und unmittelbar gilt. Wenn z.B. der Rat einen Beschluss über die Einführung des Euro durch einen Mitgliedstaat erlässt, gilt dieser Beschluss nur für ein bestimmtes Land.
Empfehlung: ein unverbindlicher Text, der von einer EU-Institution herausgegeben wird und in dem sie ihre Ansichten zu einem Thema darlegt und Maßnahmen vorschlägt, die zu ergreifen sind, ohne dass damit rechtliche Folgen oder Verpflichtungen in Bezug auf die in der Empfehlung genannten Maßnahmen verbunden sind.
Stellungnahme: ein unverbindlicher Text, der von einer EU-Institution herausgegeben wird, um ihre Ansichten zu einem Thema zu äußern.
Was ist der Geltungsbereich von DORA?
DORA gilt für alle Finanzinstitute in der Europäischen Union. Dies umfasst sowohl traditionelle Finanzunternehmen wie Banken, Wertpapierfirmen und Kreditinstitute als auch nicht-traditionelle Unternehmen wie Krypto-Dienstleister. Artikel 2(1) der DORA enthält eine umfassende Liste der erfassten Unternehmen des EU-Finanzsektors, wobei die Ausnahmen in Artikel 2(3) aufgeführt sind. Darüber hinaus müssen IKT-Dienstleister nicht in Europa ansässig sein, um unter die Verordnung zu fallen. Jeder Drittanbieter, der Dienstleistungen für ein europäisches Unternehmen erbringt, ist betroffen. Die spezifischen Bestimmungen für FE und Drittdienstleister werden in einem anderen Beitrag behandelt.
Die fünf Säulen von DORA
Der Text der Verordnung definiert fünf Säulen, die verschiedene Bereiche und Aspekte von IKT- und Cyber-Risiken abdecken, die von Finanzinstituten berücksichtigt werden müssen, um die Einhaltung der Vorschriften zu gewährleisten.
IKT-Risikomanagement
Finanzunternehmen müssen über einen soliden Governance- und Kontrollrahmen für ein wirksames IKT-Risikomanagement verfügen. Dazu gehören die Vorbereitung auf IKT-Risiken, die Aufrechterhaltung aktueller Systeme und die Umsetzung von Strategien zur digitalen Resilienz.
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
Finanzinstitute müssen ein Verfahren zur Erkennung und Bewältigung von IKT-Vorfällen einrichten, wobei größere Vorfälle der zuständigen Behörde zu melden sind.
Testen der digitalen operationalen Resilienz
Regelmäßiges Testen von IKT-Systemen und -Tools, um Schwachstellen oder Lücken in der digitalen operativen Resilienz zu identifizieren und zu beheben. Dazu gehören Penetrationstests durch Dritte und bedrohungsbasierte Penetrationstests.
Management des IKT-Drittparteienrisikos
Diese Säule konzentriert sich auf das solide Management von Risiken im Zusammenhang mit IKT-Drittanbietern, einschließlich Due Diligence, Vertragsbestimmungen und IKT-Konzentrationsrisiko.
Vereinbarungen über den Austausch von Informationen
Der Informationsaustausch mit Behörden und zwischen Finanzinstituten trägt zur digitalen operativen Widerstandsfähigkeit bei, insbesondere in Bezug auf Cyber-Bedrohungen und Schwachstellen.
Digital Operational Resilience - die Einhaltung gesetzlicher Vorschriften ist nur der erste Schritt
C-Risk kann Sie dabei unterstützen, die finanziellen und operativen Auswirkungen von Cyber-Risiken effektiv zu kommunizieren und eine strategische Ressourcenallokation sicherzustellen, die Ihren Geschäftszielen entspricht.
Europäische Aufsichtsbehörden und DORA
Die Europäischen Aufsichtsbehörden (European Supervisory Authorities, ESAs) arbeiten in erster Linie an der Harmonisierung der Finanzaufsicht in der EU durch eine Reihe von Aufsichtsstandards für Finanzinstitute. Die ESAs tragen dazu bei, die Einhaltung der Vorschriften zu gewährleisten und "gleiche Rahmenbedingungen" zu schaffen. Sie haben auch die Aufgabe, Risiken und Schwachstellen im Finanzsektor zu bewerten. Die ESAs sind:
· die Europäische Bankaufsichtsbehörde (EBA)
· Die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA)
· die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA)
Um die Anwendung von DORA zu operationalisieren, sind die ESAs beauftragt, unter der Leitung des Gemeinsamen Ausschusses und in Abstimmung mit der Europäischen Zentralbank (EZB) und der Europäischen Agentur für Cybersicherheit (ENISA) 13 politische Produkte in zwei Losen zu entwickeln. Diese Politikprodukte umfassen technische Regulierungsstandards (RTS), technische Durchführungsstandards (ITS) und Leitlinien (GL). Diese politischen Instrumente sind notwendig, um detaillierte technische Informationen für die Umsetzung der Gesetzgebung bereitzustellen.
Die erste Reihe von Policy-Produkten umfasst:
· RTS zum IKT-Risikomanagement-Rahmen und RTS zum vereinfachten IKT-Risikomanagement-Rahmen
· RTS zu Kriterien für die Klassifizierung von IKT- Vorfällen
· ITS zur Erstellung von Vorlagen für das Informationsregister
· RTS zur Festlegung der Richtlinien für IKT-Dienste, die von IKT-Drittanbietern erbracht werden
Die zweite Reihe von Policy-Produkten umfasst:
· RTS und ITS zu Inhalten, Zeitplänen und Vorlagen für die Meldung von Vorfällen
· GL zu den aggregierten Kosten und Verlusten aufgrund schwerwiegender Vorfälle
· RTS zur Vergabe von Unteraufträgen für kritische oder wichtige Funktionen
· RTS zur Harmonisierung der Aufsicht
· GL zur Aufsichtszusammenarbeit zwischen den ESA und den zuständigen Behörden
· RTS zu bedrohungsgesteuerten Penetrationstests (TLPT)
Der erste Teil der endgültigen Entwürfe der technischen Standards wurde von den ESAs am 17. Januar 2024 veröffentlicht. Die Europäische Kommission wird diese technischen Standards im Hinblick auf ihre Annahme prüfen. Der zweite Teil der technischen Standards wird der Europäischen Kommission vorgelegt und die Leitlinien werden bis zum 17. Juli 2024 veröffentlicht.
Auch ohne die endgültigen Texte der ESAs ist es für Organisationen notwendig, Maßnahmen zur Einhaltung der Vorschriften zu ergreifen und dabei die fünf Säulen von DORA als Fahrplan zu nutzen.
Herausforderungen im Hinblick auf die Einhaltung von DORA
Die Hauptherausforderungen bei der Einhaltung der DORA-Verordnung laufen parallel zu den fünf Säulen der Verordnung. Organisationen, die von der Verordnung betroffen sind, müssen sich auf die Umsetzung risikobasierter Richtlinien und Verfahren konzentrieren, um IKT- und Cyber-Risiken zu identifizieren, zu messen, zu überwachen, zu melden und zu mindern. Darüber hinaus ist die regelmäßige Bewertung der IKT- und Cyber-Kapazitäten und der Sicherheit im Falle eines IKT-bezogenen Zwischenfalls oder Cyber-Angriffs eine wesentliche Komponente der gesamten digitalen operativen Resilienz.
Haben Sie eine Strategie für die digitale Resilienz Ihres Unternehmens? Haben Sie eine IKT-Richtlinie für Drittanbieter? Wie werden Ihre Richtlinien dokumentiert? Wie kommunizieren die wichtigsten Stakeholder aus den verschiedenen Abteilungen Ihres Unternehmens über IKT- und Cyber-Risiken?
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.
