Der Digital Operational Resilience Act (DORA) wurde am 16. Januar 2023 verabschiedet und soll am 17. Januar 2025 in Kraft treten. Dabei handelt es sich um eine neue EU-Verordnung, die die Widerstandsfähigkeit von Organisationen des Finanzsektors gegenüber kleineren oder katastrophalen Störungen wie Cyberangriffen sicherstellen soll Der regulatorische Rahmen verlangt von den Organisationen den Nachweis, dass sie Störungen und Bedrohungen jeglicher Art im Zusammenhang mit Daten, Kommunikation und Technologie standhalten, darauf reagieren und sich auch davon erholen können. Zu den Regeln gehören Schutz-, Erkennungs-, Eindämmungs-, Wiederherstellungs- und Reparaturfunktionen.
Das Gesetz gilt für über 20 verschiedene Arten von Finanzinstituten, etwa Banken, Versicherungen und Investmentfirmen, sowie für die mit ihnen interagierenden Drittanbieter. Die Vorschriften gelten außerdem für alle externen Service-Provider für Informations- und Kommunikationstechnologien (IKT). So wie die DSGVO die Datenschutzregulierung koordiniert, ist DORA darauf ausgelegt, die Cyber-Resilienz, das IKT-Risiko und das Management von Cyber-Risiken in Finanzdienstleistungen zu konsolidieren und zu verbessern.
Die strengen Anforderungen und der strukturierte Ansatz von DORA werden dem Finanzsektor dabei helfen, sich gegen komplexe digitale Risiken und Bedrohungen der Cybersicherheit zu wappnen und dadurch ein stabiles, widerstandsfähiges und sicheres Finanzumfeld in der gesamten EU zu gewährleisten. Durch die Integration dieser Anforderungen in die Rahmenbedingungen Ihrer Organisation bereiten Sie diese auf die aktuellen digitalen Herausforderungen vor und schaffen eine Grundlage für die Anpassung an zukünftige technologische Fortschritte.
IKT-Risikomanagement ist kein neues Konzept. Allerdings erfordern die umfassenden Vorschriften von DORA, dass Finanzinstitute ihre aktuellen Praktiken und Rahmenbedingungen gründlich und umfassend überarbeiten. Das Gesetz verlangt jedoch nicht nur umfassende Überarbeitungen der Praktiken des IKT-Risikomanagements; es verstärkt auch die Rechenschaftspflicht der internen Führungsgremien eines Finanzinstituts, denen die zentrale Aufgabe zukommt, die Strategie des Unternehmens zur digitalen betrieblichen Ausfallsicherheit auszuarbeiten und zu genehmigen. Die Strategie muss außerdem durch klar definierte Risikotoleranzen für IKT-Störungen, Key Performance Indicators (KPIs) und Risikometriken untermauert werden, die mit den erweiterten IKT-Sicherheitsstandards von DORA übereinstimmen.
Falls es zu einer schwerwiegenden Betriebsunterbrechung kommt, verlangt DORA von den Finanzinstituten, anschließend strenge Analysen der Geschäftsauswirkungen durchzuführen, um:
Dieser proaktive Ansatz sorgt dafür, dass Finanzinstitute auf Störungen vorbereitet sind und ihren Betrieb bei minimalen Unterbrechungen bzw. Ausfallzeiten fortsetzen können.
DORA schreibt Maßnahmen zum Schutz der Cybersicherheit vor, darunter Richtlinien zu den folgenden Punkten:
Best Practices zur Ausfallsicherheit, die diese und weitere Maßnahmen zum Schutz der Cybersicherheit umfassen, sollen es Organisationen ermöglichen, sich auf einen möglichen Cybervorfall vorzubereiten und dadurch sowohl Systemausfälle als auch die Folgen eines Cyberangriffs zu minimieren.
DORA betont die Notwendigkeit von Transparenz und Verantwortlichkeit noch stärker und verlangt dabei die Entwicklung einer robusten Kommunikationsstrategie innerhalb jeder Organisation. Dazu gehört auch die Benennung einer bestimmten für die Verwaltung und Weiterleitung von IKT-bezogenen Vorfällen verantwortlichen Kontaktperson. Diese klaren Kommunikationswege sind für eine zeitnahe Berichterstattung und Reaktion von entscheidender Bedeutung und mildern die potenziellen Folgen etwaiger IKT-Probleme für die Geschäftsabläufe des Unternehmens.
Darüber hinaus ist ein eingehendes Verständnis der Zusammenhänge zwischen den IKT-Assets, -Prozessen und -Systemen eines Unternehmens von entscheidender Bedeutung. DORA verlangt von Finanzinstituten und Anbietern, diese Komponenten umfassend in einer entsprechenden Übersicht darzustellen, um kritische Schwachstellen zu identifizieren und die allgemeine Betriebsstabilität im Falle eines Vorfalls oder einer Sicherheitslücke zu stärken. Die Best Practice bei der Entwicklung von Wiederherstellungs-Playbooks und Planspielen verdeutlicht den Prozess abteilungsübergreifend und baut auf der Zuordnung der Verbindungen auf, um die geschäftliche Ausfallsicherheit zu stärken.
Die Organisationen sollten zudem von ihren "kritischen" IKT-Dienstleistern verlangen, sich ebenfalls auf die Änderungen vorzubereiten und ihre Rolle bei der Unterstützung der Finanzinstitute im neuen regulatorischen Umfeld zu verstehen.
DORA gilt nicht nur für Banken und Finanzinstitute. Die Verordnung betrifft den gesamten EU-Finanzsektor, einschließlich wichtiger Zulieferer und Anbieter wie Technologiemanager und Zahlungsdienstleister.
Zu den wichtigsten Branchen und Unternehmen, die von den DORA-Vorschriften betroffen sind, gehören:
Artikel 2(3) DORA nimmt bestimmte Organisationen aufgrund ihrer geringen Größe oder Bedeutung von den Auflagen aus, darunter:
Die Mitgliedstaaten können darüber hinaus nach eigenem Ermessen bestimmte nationale Kredit- oder Investmentunternehmen von der Regelung ausnehmen.
DORA ist eine äußerst wichtige und umfassende Regulierungsinitiative, die einen präzisen Rahmen für den Umgang mit der zunehmenden Komplexität und Vernetzung digitaler Systeme innerhalb der EU-Finanzbranche vorgibt. Durch die Festlegung einer einheitlichen Norm für alle Mitgliedsstaaten wird sichergestellt, dass alle Unternehmen des Finanzsektors – darunter Banken, Versicherungsunternehmen, Investmentfirmen und Zahlungsdienstleister – angemessen gerüstet sind, um die mit ihren IKT-Systemen und -Diensten verbundenen Risiken zu verwalten und zu mindern.
Ein entscheidender Schwerpunkt von DORA ist die Verbesserung der Maßnahmen zur Cybersicherheit. Finanzinstitute müssen robuste Cybersicherheitsrichtlinien und -kontrollen implementieren, um ein breites Spektrum an Cyberbedrohungen verhindern, erkennen und darauf zu reagieren. Dazu gehören eine kontinuierliche Überwachung und Prüfung ihrer Cyberabwehr sowie schnelle Wiederherstellungs- und Reaktionsmechanismen, um die potenziellen Auswirkungen von Cybervorfällen zu minimieren.
Auch die Datensicherheit wird im Rahmen von DORA streng kontrolliert. Die Bestimmungen des Gesetzes verpflichten Finanzinstitute, umfassende Rahmenwerke für die Data Governance zu schaffen, die die Integrität, Vertraulichkeit und Verfügbarkeit der Daten gewährleisten. Hierzu gehört die Implementierung von Zero Trust-Sicherheitsmaßnahmen zum Schutz vertraulicher Kunden- und Finanzdaten vor unbefugtem Zugriff, Datenlecks und Verlust und damit zur Stärkung des Vertrauens in die digitalen Abläufe im Finanzsektor.
DORA gibt strenge Normen vor und enthält spezifische Anweisungen, Kriterien und Vorlagen zur Einhaltung der Vorschriften, genau so, wie Baupläne exakte Bauspezifikationen liefern oder Musiknoten wenig Raum für Improvisation lassen. Dieser detailorientierte Ansatz deutet darauf hin, dass die Regulierungsbehörden beabsichtigen, bei der Aufsicht und Durchsetzung der Vorschriften eine aktive Rolle zu übernehmen.
DORA geht über die Standardisierung von Verfahren zur Ausfallsicherheit im gesamten Finanzsektor hinaus. Die Verordnung stellt außerdem sicher, dass die Finanzinstitute stets auf die Herausforderungen der digitalen Landschaft vorbereitet sind, was letztlich die Stabilität des Sektors und des weiteren wirtschaftlichen Umfelds sichert. Sie lässt sich im Wesentlichen in Form von fünf zentralen "Säulen" zusammengefasst darstellen, die verschiedene Domänen oder Aspekte der IKT und Cybersicherheit in Angriff nehmen.
DORA benennt folgende fünf "Säulen der betrieblichen Ausfallsicherheit":
Im Folgenden beschreiben wir die einzelnen Säulen und ihre Funktionsweise genauer.
Säule 1: IKT-Risiko-Management:
Das IKT-Risikomanagement gemäß DORA umfasst weitreichende Grundsätze und Vorschriften, die deutlich über frühere Normen hinausgehen. Es legt einen formellen Rahmen für das IKT-Risiko-Management fest, der regelmäßige Risikoanalysen, eine sorgfältige Identifizierung, klar definierte Strategien zur Risikominderung und eine kontinuierliche Überwachung vorschreibt. DORA legt im Gegensatz zu den vorhergegangenen Verfahren, bei denen es Unterschiede in Strenge und Umfang gab, eine einheitliche Norm für die gesamte EU fest und sorgt dadurch für einen einheitlichen Ansatz bei der Bewältigung von IKT-Risiken. So müssen beispielsweise Banken jetzt regelmäßig ihre Cybersicherheitsmaßnahmen testen und ihre Strategien zur Risikominderung auf der Grundlage neu auftretender Bedrohungen aktualisieren. Sie sind zur Implementierung von Schutzmaßnahmen zur Cybersicherheit verpflichtet. Dies umfasst Richtlinien für IAM (Identitäts- und Zugriffsmanagement), Anomalieerkennung, Malware-Scanning, Reaktion auf Bedrohungen, Data Insight, SIEM, SOAR und Patch-Management. Die meisten Institutionen werden ihre Governance-Regelungen, Richtlinien, Risikoanalysen, Kontrollen und Mapping-Aktivitäten überprüfen müssen, um sicherzustellen, dass sie den spezifischen Anforderungen von DORA entsprechen.
DORA legt eindeutig fest, dass das Führungsgremium eines Unternehmens für das IKT-Management verantwortlich ist. Hierzu zählen Vorstandsmitglieder, Führungskräfte und leitende Angestellte. Sie müssen Strategien zum Risikomanagement entwickeln und umsetzen. Bei Nichtbeachtung kann eine persönliche Haftung zur Folge haben.
Säule 2: Meldung von IKT-Vorfällen:
DORA verpflichtet Organisationen dazu, einen einheitlichen Prozess zur Erkennung, Bewältigung und ordnungsgemäßer Weiterleitung schwerwiegender Cybervorfälle einzurichten. Durch die Einführung harmonisierter Meldepflichten wird die Meldung IKT-bezogener Vorfälle vereinfacht. Kurz gesagt: Organisationen sind dazu verpflichtet, einen einheitlichen Prozess für die Erkennung, Bewältigung und ordnungsgemäße Meldung schwerwiegender Cybervorfälle einzurichten. Dadurch wird sichergestellt, dass alle Finanzinstitute Vorfälle auf einheitliche Weise melden, was wiederum eine bessere Datenerfassung und behördliche Aufsicht ermöglicht. Dies ist umfassender als die DSGVO, da sowohl Datenschutzverletzungen als auch IKT-Vorfälle eingeschlossen sind.
Während in verschiedenen Rechtsgebieten früher oft unterschiedliche Normen zur Berichterstellung zur Anwendung kamen, was zu Ineffizienzen und Lücken im regulatorischen Wissen führte, müssen sich unter DORA alle Unternehmen an standardisierte Konventionen halten. Beispielsweise muss ein Zahlungsdienstleister, bei dem es zu einem Datenleck kommt, nun bestimmte Protokolle befolgen, um den Vorfall den Aufsichtsbehörden zu melden. Dadurch wird sichergestellt, dass in der gesamten Branche zeitnah und einheitlich reagiert wird.
Säule 3: Tests zur digitalen betrieblichen Ausfallsicherheit
Im Vergleich zu früheren Verpflichtungen, die oft nicht hinreichend spezifisch oder einheitlich waren, müssen Finanzinstitute nun sowohl grundlegende als auch erweiterte Tests zur Ausfallsicherheit durchführen. Zu diesen Tests gehören regelmäßige Schwachstellenanalysen und Penetrationstests, um potenzielle Schwachstellen in digitalen Systemen zu erkennen und zu beheben. Ein Beispiel hierfür wäre ein Wertpapierunternehmen, das jährlich erweiterte, szenariobasierte Tests durchführt, um einen komplexen Cyberangriff zu simulieren; das Ziel ist, die Reaktionsstrategien des Unternehmens besser zu verstehen und zu verbessern.
Säule 4: Risiken durch IKT-Drittanbieter:
Diese Säule führt prinzipienbasierte Regeln für die Überwachung und das Management von Risiken ein, die mit externen Dienstleistern verbunden sind. Dies ist umfassender als frühere Normen, die durch Drittanbieter bedingte Risiken möglicherweise nicht systematisch einbezogen. DORA verlangt von Finanzinstituten die Implementierung strenger Aufsichtsrahmen und die Aufnahme spezifischer vertraglicher Bestimmungen, um die Compliance mit den DORA-Normen durch Drittanbieter sicherzustellen. Beispielsweise muss eine Bank, die einen externen Anbieter von Cloud-Services nutzt, nun sicherstellen, dass der Anbieter die Anforderungen von DORA an die betriebliche Ausfallsicherheit erfüllt, und die entsprechenden Vereinbarungen regelmäßig überprüfen.
DORA verlangt von den Unternehmen, gründliche Bewertungen externer Service-Provider vorzunehmen, ihre Abhängigkeiten abzubilden sowie Sicherheit und Integrität einschließlich Vorkehrungen für klare Ausstiegsstrategien zu gewährleisten. Für die Übertragung von Daten, Anwendungen und Diensten aus einer Cloud-Computing-Umgebung zurück in die lokale Umgebung oder zu einem anderen Cloud-Anbieter müssen aussagekräftige Pläne vorhanden sein. Wichtig ist dabei, dass Unternehmen die Befugnis haben, Anbietern zu verbieten, Verträge mit Parteien abzuschließen, die sich nicht an DORA halten.
Säule 5: Informationsaustausch:
Diese Säule stellt eine erhebliche Abweichung von den Standardverfahren dar: Sie fördert den freiwilligen Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzinstituten. Im Gegensatz zu früheren Vorgehensweisen, die tendenziell weniger strukturiert und isolierter waren, erleichtert dieser kollaborative Ansatz den Informationsaustausch über festgelegte Kanäle und verbessert so die kollektive digitale Ausfallsicherheit. Beispielsweise können Finanzinstitute jetzt auf einer gemeinsamen Plattform zusammenkommen – DORA bezeichnet dies als "vertrauenswürdige Community von Finanzinstituten" –, auf der sie Indikatoren für Cyberbedrohungen melden und diskutieren und so der gesamten Branche dabei helfen, sich besser auf potenzielle Cybervorfälle vorzubereiten.
Die Einhalten der strengen DORA-Normen bringt die folgenden Vorteile für die Unternehmen mit sich:
DORA-Compliance demonstriert zudem das aktive Bemühen, zu einem einheitlichen Ansatz beizutragen, der flüssigere Abläufe und Interaktionen innerhalb des EU-Finanzmarktes und mit den Aufsichtsbehörden ermöglicht.
Die Auswirkungen von DORA werden zweifellos tiefgreifend sein und eine umfassende Überarbeitung der aktuellen IKT-Systeme und der Governance des betreffenden Finanzinstituts erforderlich machen. Zur Vorbereitung auf diese Umstellung müssen Institutionen strenge Maßnahmen zur Bewältigung von IKT-Risiken ergreifen. Dazu gehören die Entwicklung robuster Rahmenwerke für das Risiko-Management, detaillierte Verfahren zur Meldung von Vorfällen und strenge Tests der Ausfallsicherheit. Damit dieser tiefgreifenden Wandel die gewünschte Wirkung zeigt, sind sowohl anfängliche Veränderungen als auch ein anhaltendes Engagement der Organisation für kontinuierliche Verbesserung und Anpassung notwendig.
Durch die Stärkung ihrer Maßnahmen hinsichtlich Cybersicherheit und betrieblicher Ausfallsicherheit bewegen sich Unternehmen ganz natürlich auf die Ziele von DORA zu und fördern so ein sichereres Finanzumfeld.
Die Europäischen Aufsichtsbehörden (ESAs), d.h. die Europäische Bankenaufsichtsbehörde (EBA), die Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) und die Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA), werden bei dieser Umstellung eine zentrale Rolle spielen und dafür sorgen, dass die Finanzinstitute in der gesamten EU die DORA-Standards einheitlich anwenden. Indem sie die Umsetzung beaufsichtigen, Richtlinien bereitstellen und die Einhaltung der Vorschriften überwachen, tragen die ESAs dazu bei, die Integrität und Belastbarkeit des EU-Finanzsystems aufrechtzuerhalten. Durch ihre Aufsicht stellen sie sicher, dass der Sektor die erforderlichen Standards erfüllt und die Grundsätze der digitalen Ausfallsicherheit als grundlegend für seine Geschäftstätigkeit anerkennt.
Um die Compliance zu gewährleisten, sollten Finanzinstitute die Integration dieser neuen Anforderungen in ihre täglichen Geschäftsabläufe planen:
Durch die Förderung einer Kultur der Ausfallsicherheit und die Aufrechterhaltung einer offenen Kommunikation mit den ESAs und anderen Regulierungsbehörden können Finanzinstitute bei ihren Compliance-Bemühungen flexibel bleiben. Durch die Integration dieser Anstrengungen als fortlaufenden Prozess können Institutionen stets auf dem neuesten Stand bezüglich Vorschriften und Best Practices bleiben und sich zugleich die Vorteile sichern, die sich aus den Verbindungen zwischen von Auswirkungen, Aufsicht und Compliance im Rahmen von DORA ergeben.
Für Unternehmen besteht die größte Herausforderung bei der Einhaltung von DORA wahrscheinlich darin, dass sie ihre bestehenden IKT-Frameworks umfassend überarbeiten müssen, um den strengen neuen Gesetzesvorschriften gerecht zu werden. Dazu gehören:
Für viele Unternehmen, insbesondere kleinere, könnten sich diese Anforderungen als ressourcenintensiv erweisen und erhebliche finanzielle und betriebliche Anpassungen nach sich ziehen.
Den Unternehmen wurden 24 Monate Zeit gegeben, um diese Herausforderungen stufenweise in Angriff zu nehmen, wobei sie die kritischsten Elemente priorisierten und ihre Maßnahmen zur Ausfallsicherheit danach schrittweise ausbauen. Investitionen in Schulungen und Weiterbildungen stellen sicher, dass alle Mitarbeiter die neuen Anforderungen verstehen. Darüber hinaus kann es von Vorteil sein, sich von externen Experten beraten zu lassen und in Zusammenarbeit mit Spezialisten für Cybersicherheit und Compliance maßgeschneiderte Strategien und Lösungen zu entwickeln. Mit einem strategischen, stufenweisen Ansatz können Unternehmen die Anforderungen von DORA letztendlich erfüllen und zugleich sicherstellen, dass ihre Betriebsabläufe konform und belastbar sind.
DORA tritt am 17. Januar 2025 in Kraft. Alle betroffenen Finanzinstitute müssen bis zu diesem Datum über ein umfassendes Register ihrer vertraglichen Vereinbarungen mit externen IKT-Dienstleistern verfügen. Anhand dieser Register können:
Um Finanzorganisationen beim Verfassen und Einreichen der DORA-Register mit Informationen zu ihren IKT-Drittanbietern zu unterstützen, werden die ESAs und andere Behörden im Jahr 2024 Probeläufe auf Best-Effort-Basis durchführen:
Dank jahrelanger Erfahrungen in der Unterstützung von Datensicherheitsanforderungen im Finanzsektor ist Veritas für die neuen strengen Sicherheitsanforderungen von DORA bestens gerüstet. Wir stellen sichere, zuverlässige und skalierbare Software- und Hardwaresysteme bereit, die einen effizienten Betrieb geschäftskritischer Systeme gewährleisten und Finanzunternehmen dabei helfen, die Compliance zu sichern.
Kontaktieren Sie uns online, um mehr über DORA-Compliance und darüber zu erfahren, wie wir Ihr Unternehmen unterstützen können.