Digital Operational Resilience Act (DORA) – Sicherheit und Resilienz im Finanzsektor gewährleisten

Von
Dr. Arne Roehl und Adrian Schueller
-

Für Finanz- sowie Informations- und Kommunikations-Technologie (IKT)-Dienstleister ist die Sicherheit digitaler Systeme von entscheidender Bedeutung. Mit dem Digital Operational Resilience Act (DORA) ist im Januar 2023 ein Gesetz in Kraft getreten, das die Betriebsstabilität digitaler Systeme im Finanz- und Versicherungssektor regelt. Nun bleibt bis zum 17. Januar 2025 Zeit, die DORA-Verordnung umzusetzen. Dieser Artikel soll helfen, die Relevanz, Auswirkungen und Anforderungen von DORA zu verstehen und rechtzeitig die notwendigen Vorbereitungen zu treffen.

Kurz & knapp

  • DORA, oder Digital Operational Resilience Act, wurde eingeführt, um den Herausforderungen der zunehmenden Abhängigkeit von IKT-Systemen und Dritten im Finanzsektor zu begegnen.
  • Alle Finanzunternehmen, einschließlich Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Versicherungsunternehmen usw. sind von DORA betroffen.
  • Kritische IKT-Drittdienstleister stehen unter verschärfter Kontrolle durch EU-Finanzaufsichtsbehörden.
  • Wir bieten ein breites Spektrum an Dienstleistungen, um Sie bei der Bewältigung der Herausforderungen des Digital Operational Resilience Act (DORA) zu unterstützen.

Was ist DORA?

DORA, oder Digital Operational Resilience Act, wurde am 16.01.2023 eingeführt, um den Herausforderungen der zunehmenden Abhängigkeit von IKT-Systemen und Dritten im Finanzsektor zu begegnen. Die Ziele von DORA sind die Reduzierung von Risiken, die Stärkung der Widerstandsfähigkeit von IKT-Systemen und -Prozessen sowie die Vereinheitlichung von europäischen Gesetzen und Vorschriften im Finanzsektor. DORA wird ab dem 17. Januar 2025 operationell sein.

Betroffene Unternehmen

Alle Finanzunternehmen, einschließlich Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Versicherungsunternehmen usw. sind von DORA betroffen. Darüber hinaus müssen sogenannte “kritische IKT-Dienstleister” – Anbieter von Cloud-Diensten, Softwareentwicklung, Zahlungsdiensten und mehr – die Anforderungen von DORA erfüllen.

Regulatorische Schwerpunkte von DORA

DORA legt fünf regulatorische Schwerpunkte fest:

1. IKT-Risikomanagement:

  • Governance: Finanzunternehmen müssen einen effektiven internen Governance- und Kontrollrahmen etablieren, der von einem verantwortlichen und gut informierten Leitungsorgan überwacht wird, um IKT-Risiken zu managen und die digitale operationale Resilienz sicherzustellen.
  • IKT-Risikorahmen: Finanzunternehmen müssen einen detaillierten IKT-Risikomanagementrahmen als Teil ihres Gesamt-Risikomanagements etablieren, der alle IKT-Assets abdeckt und regelmäßig überprüft wird, wobei sie gegenüber Behörden transparent sein und Strategien für digitale Resilienz sowie die Nutzung mehrerer IKT-Dienstleister entwickeln müssen.
  • Methoden, Prozesse und Richtlinien: Finanzunternehmen müssen aktuelle, zuverlässige und angemessene IKT-Systeme, -Protokolle und -Tools einsetzen, um auch unter schwierigen Bedingungen eine präzise Datenverarbeitung und Dienstleistungserbringung sowie technologische Resilienz zu gewährleisten.

2. Business Continuity Management:

Finanzunternehmen müssen spezialisierte IKT-Leitlinien für Geschäftsfortführung (Business Continuity) entwickeln, regelmäßig testen und durch unabhängige interne Überprüfungen sicherstellen, dass Datensicherungen, redundante Systeme und die Integrität der Daten nach einer Wiederherstellung gewährleistet sind.

3. Testen der digitalen operationalen Resilienz:

Finanzunternehmen müssen ein umfassendes Testprogramm für ihre digitale operationale Resilienz etablieren, das mindestens jährliche, risikobasierte und unabhängige Tests kritischer IKT-Systeme umfasst, wobei identifizierte Probleme systematisch behoben und spezielle Tests wie Threat-Led Penetration Tests („TLPT“) alle drei Jahre durchgeführt werden müssen.

4. Management von IKT-Drittdienstleister-Risiken:

Finanzunternehmen müssen eine Strategie für das Management von IKT-Drittparteienrisiken entwickeln, da sie voll verantwortlich für die Einhaltung regulatorischer Anforderungen sind. Sie müssen sorgfältig bei der Auswahl und Bewertung von Drittanbietern vorgehen, Audit- und Kündigungsrechte in Verträgen berücksichtigen sowie Ausstiegsstrategien für externe IKT-Dienste entwickeln.

IKT-Drittdienstleister gelten als kritisch, wenn

  • ihre Ausfallrisiken einer Betriebsstörung potentiell systemische Folgen haben,
  • sie für viele Finanzunternehmen eine hohe Bedeutung haben, und
  • sie nicht leicht ersetzbar sind.

Eine federführende Überwachungsbehörde wird für jeden kritischen IKT-Drittdienstleister ernannt, die den Dienstleister über die Klassifizierung und das Datum, ab dem die Überwachung beginnt, informiert.

5. Incident Reporting:

  • Prozess zur Behandlung und Klassifizierung von IKT-Vorfällen und Cyberbedrohungen: Finanzunternehmen müssen einen umfassenden Prozess zur Handhabung, Überwachung und Meldung von IKT-bezogenen Vorfällen etablieren, der klare Verfahren, Zuständigkeiten und Reaktionsmaßnahmen einschließt und Vorfälle sowie Cyberbedrohungen basierend auf ihrer Kritikalität klassifiziert.
  • Berichterstattung von IKT-Vorfällen und Cyberbedrohungen: Finanzunternehmen müssen schwerwiegende IKT-bezogene Vorfälle an eine festgelegte Behörde melden, wobei der Meldeprozess Erst-, Zwischen- und Abschlussmeldungen umfasst. Kunden müssen über ernste Vorfälle unverzüglich informiert werden.

Folgen für kritische IKT-Drittdienstleister

Kritische IKT-Drittdienstleister stehen unter verschärfter Kontrolle durch EU-Finanzaufsichtsbehörden. Sie müssen umfangreiche Audit- und Compliance-Anforderungen erfüllen, Notfall- und Wiederherstellungspläne entwickeln, die Verantwortung für ihre Lieferkette übernehmen und strategische Partnerschaften eingehen. Die Implementierung von Standardvertragsklauseln erfordert eine genaue Kenntnis der rechtlichen Rahmenbedingungen.

  • Anwendung von DORA
    Jeder IKT-Anbieter muss überprüfen, ob seine Organisation zu der Gruppe von Anbietern der sogenannten „Kritischen Drittdienstleister“ gehört. Ist dies der Fall, müssen sie alle DORA-Anforderungen erfüllen und ihren Kunden helfen, diese einzuhalten.
  • Kontrollorgan
    Kritische IKT-Drittdienstleister werden direkt unter die Kontrolle der EU-Finanzaufsichtsbehörden gestellt. IKT-Dienstleister müssen sich dabei auf eine intensivere Überwachung und Bewertung durch die Finanzunternehmen und Regulierungsbehörden einstellen.
  • Audit- und Compliance-Anforderungen
    Die Erfüllung der erweiterten Auditrechte sowie die Einhaltung der vielfältigen und komplexen regulatorischen Anforderungen wird eine erhebliche Herausforderung darstellen. Dienstleister werden ihre internen Prozesse offener gestalten und darstellen müssen. Ebenso werden sie bei der Durchführung von TLPT-Tests mitwirken müssen.
  • Notfall- und Wiederherstellungspläne
    Die Entwicklung und regelmäßige Aktualisierung von Notfall- und Wiederherstellungsplänen wird zur Pflicht. Entsprechende Dokumentationen sowie Tests der Pläne müssen nachgewiesen werden. IKT-Drittdienstleister müssen die rechtlichen Anforderungen an die digitale operationale Resilienz erfüllen.
  • Verantwortung für die Lieferkette
    IKT-Dienstleister müssen die Sicherheit und Compliance ihrer eigenen Lieferkette sicherstellen.
  • Strategische Partnerschaften
    Die Rolle des IKT-Dienstleisters wird sich von einem reinen Anbieter zu einem strategischen Partner wandeln, der in das Risikomanagement der Finanzunternehmen integriert ist.
  • Standardvertragsklauseln
    Die Anpassung an und die Implementierung von Standard-Vertragsklauseln erfordern eine genaue Kenntnis der rechtlichen Rahmenbedingungen und möglicherweise auch Verhandlungen mit den Kunden.

Unsere Beratungsleistungen für Sie

Wir bieten ein breites Spektrum an Beratungs- und Dienstleistungen, um Sie bei der Bewältigung der Herausforderungen des Digital Operational Resilience Act (DORA) zu unterstützen. Unsere Expertise reicht von Risk Management Assessments über DORA Readiness Assessments bis hin zur Konzeption von Business Continuity Management (BCM) und Penetrationstests. Entdecken Sie, wie wir Ihre digitale operationelle Resilienz stärken können.

  • Risk Management Assessments
  • DORA Readiness Assessments
  • DORA Reporting Prozesse
  • Dashboards & KPI
  • BCM-Assessments & Konzeption
  • Penetration Tests
  • Sourcing & Vertragsreview
  • Projektleitung (hybrid, agile etc.)
  • Prozessdesign
  • ITIL 4 (Incident Management)
  • Dienstleister-Risikomanagement

Fazit

Die Implementierung von DORA ist für Finanzunternehmen und kritische IKT-Dienstleister eine Notwendigkeit und gleichzeitig eine Chance, um die digitale operative Resilienz sicherzustellen.

Mit unserer Erfahrung in Projektmanagement, Prozessdesign, ITIL 4 (Incident Management) und Service Provider Risk Management bieten wir umfassende Lösungen, um Ihre Organisation DORA-konform zu machen. Unsere Dashboards und Key Performance Indicators (KPIs) sorgen dabei für die nötige Transparenz. Verlassen Sie sich auf die Expertise der mgm consulting partners, wenn es darum geht, nicht nur die Anforderungen von DORA zu erfüllen, sondern auch Ihre digitalen Ressourcen effektiv zu schützen und Ihre Resilienz gegenüber digitalen Herausforderungen zu stärken. So sind Sie bestens gerüstet, um die Zukunft der digitalen Finanzwelt zu gestalten.

Weitere Hintergrundinformationen finden Sie auf der Website der BaFin.

Ähnliche ArtikelMehr vom Autor