Adacor - News & Trends

16. Juni 2021 von Andreas Bachmann

DORA – so wirkt der Digital Resilience Act auf die Finanzbranche

Der von der Europäischen Kommission geplante Digital Operational Resilience Act – kurz DORA – umfasst viele neue Vorschriften. Sie verfolgen das Ziel, die digitale Betriebsstabilität im Finanzsektor auf EU-Ebene zu vereinheitlichen. Der Rechtsakt betrifft Finanzunternehmen und IKT-Drittanbieter (z. B. Cloud Provider). Die Einführung wird zwar vermutlich erst in ein bis zwei Jahren konkret, die Betroffenen handeln aber am besten jetzt schon, damit sie später alle Vorgaben erfüllen können.

Cloud für Banken, Fintechs und Versicherungen

Adacor bietet sichere, performante und aufsichtskonforme Cloud-Services für agile und digitale Finanzdienstleistungen.

Informieren Sie sich jetzt, wie wir diesen Themenbereich angehen.

Am 24. September 2020 veröffentlichte die Europäische Kommission den Entwurf einer neuen Verordnung inklusive der dazugehörenden Weisungen – den Digital Operational Resilience Act (DORA). Die Initiative ist Teil eines Paketes zur Digitalisierung der Finanzbranche in der EU.

Was ist Digital Operational Resilience?

Die digitale Betriebsstabilität ist die Fähigkeit von Finanzunternehmen operative Systeme mit IT-Technologie aufzubauen, zu gewährleisten und zu überprüfen. Eine Vielfalt an IKT-Kompetenzen wird sichergestellt, indem Dienste von Drittanbietern direkt oder indirekt genutzt werden. Die Qualifikationen sind erforderlich, um die ausreichende Sicherheit der eingesetzten Netz- und Informationssysteme zu ermöglichen und die störungsfreie Erbringung von Finanzdienstleistungen zu unterstützen. Informations- und Kommunikationstechnologien (IKT) dürfen nicht durch betriebliche Störungen (z. B. Cyberangriffe oder technische Ausfälle) gefährdet werden. Deshalb sollten Finanzunternehmen auf alle denkbaren Beeinträchtigungen und Bedrohungen in der IT vorbereitet sein, um Zwischenfälle zu überstehen. (In Anlehnung an: EUR-lex)

DORA schafft die Voraussetzungen, um die digitale Betriebsstabilität in der EU zu steigern.

Warum ist DORA wichtig?

Die digitale Transformation und IKT bieten Chancen und bergen Risiken. Die möglichen Gefahren bilden die größte Herausforderung für die Betriebsstabilität von Finanzunternehmen und für die Resilienz des gesamten EU-Finanzsystems. IKT-Störungen im Finanzsektor wirken sich direkt und massiv auf die Geschäftsprozesse aus. Ob eine Bank online überfallen wird, der Geldautomat streikt oder das Onlinebanking ausfällt, kontinuierliche Meldungen über Cyberangriffe und Systemausfälle zeigen, dass bei der IKT-Sicherheit Nachholbedarf besteht. Beispielsweise wurden laut Handelsblatt 2018 mehr als 300 IT-Ausfälle gemeldet. Und in einem Faktenblatt der Europäischen Kommission zur digitalen Finanzstrategie ist zu lesen, dass Zahl der Cyberangriffe während der Corona-Pandemie um 38 Prozent gestiegen ist. Und kürzlich wurde ein schwerer DDos-Angriff im genossenschaftlichen Bankenumfeld bekannt, der zu einer großen IT-Störung führte, wie finanz-szene.de berichtete.

Solche Vorfälle passieren nicht nur in Deutschland, sondern in allen EU-Ländern. Aufgrund der engen Verflechtungen der europäischen Finanzwelt braucht es einheitliche Vorschriften zur Stärkung der IKT-Sicherheit hinsichtlich der digitalen Betriebsstabilität. Bisher gibt es nur nationale Regularien und Überwachungskonzepte. Einige Länder regeln Prozesse und Maßnahmen per Vorschrift verpflichtend, die in anderen Ländern freiwillig sind. Zudem gelten unterschiedliche Maßstäbe an Berichte und Definitionen. Das erschwert auch die länderübergreifende Zusammenarbeit. Dort kommt es zu Überschneidungen, mangelnden Übereinstimmungen oder Doppelanforderungen bei der Aufrechterhaltung der Betriebsstabilität und IKT-Sicherheit (z. B. beim Schutz vor Cyberangriffen).

Was ist DORA und welche Ziele hat der Rechtsakt?

Die nationalen Finanzaufsichtsbehörden in der EU und die europäischen Aufsichtsbehörden wollen mit dem Digital Operational Resilience Act den Schutz von Unternehmen aus der Branche erhöhen und die Regeln für die digitale Betriebsstabilität in der Europäischen Union (EU) vereinheitlichen. DORA ermöglicht das Sammelsurium verschiedener Rechtsvorschriften zur IT-Sicherheit endlich in einem Rechtsakt zu bündeln. Das verbessert das IKT-Risikomanagement der Finanzunternehmen und begrenzt die negativen Folgen von IKT-Vorfällen.

Die Prüfungspflicht für IKT-Systeme soll den Überwachungsorganen die Gefahr für Cyberrisiken und IKT-Vorfälle bewusst machen. Das Konzept sieht vor, die Finanzaufsichtsbehörden (z. B. der Europäischen Bankenaufsichtsbehörde, EBA) mit einer einheitlichen Verantwortung sowie umfassenden Befugnissen auszustatten. Sie können die Risiken, die auf die Abhängigkeit der Finanzunternehmen von IKT-Drittanbietern zurückzuführen sind, am besten überwachen. Der Rechtsentwurf schafft identische Rahmenbedingungen für den gesamten Finanzsektor. Geltende Standards und Praktiken minimieren die Risiken. Damit ermöglicht der DORA eine Erhöhung der Wettbewerbsfähigkeit und Innovation des europäischen Finanzsektors. Gleichzeitig werden potenzielle Risiken reduziert.

Die drei Kernziele von DORA:

  • 1. Ziel: Vereinheitlichung bestehender europäischer und nationaler Standards und Vorgaben, um doppelte Anforderungen und uneinheitliche Regelungen für europaweit tätige Finanzunternehmen zu beenden.
  • 2. Ziel: Sicherstellung, dass Finanzunternehmen alle notwendigen Maßnahmen zur Absicherung gegen Cyberrisiken und -angriffe treffen. Dazu formuliert DORA einheitliche Anforderungen für das IT-Risikomanagement, Meldungen von Vorfällen an die Aufsichtsbehörden, die Durchführung von Belastbarkeitstests sowie die Steuerung und Überwachung von IKT-Drittanbietern.
  • 3. Ziel: Etablierung eines Rechtsrahmens für die direkte Überwachung von IT-Drittanbietern durch die Aufsichtsbehörden, wenn diese für Finanzunternehmen tätig sind. Voraussichtlich wird DORA in den nächsten 12 bis 18 Monaten im Europäischen Parlament verhandelt, verbindlich wird der Rechtsakt sicher erst 2022 oder später.

Wen betrifft DORA?

Die Regelungen gelten für alle regulierten Finanzunternehmen in den Mitgliedsstaaten der EU gleichermaßen.

Der Geltungsbereich umfasst nach Artikel 2 (1) folgende Beteiligte:

  1. Finanzunternehmen wie Kredit- und Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Verwaltungsgesellschaften, Handelsplätze, verschiedene Register, Versicherungsunternehmen und -vermittler, Ratingagenturen, Wirtschaftsprüfungsgesellschaften etc.
  2. IKT-Drittanbieter wie Unternehmen, die digitale Dienste und Datendienste erbringen, Cloud- und Software-Anbieter, Datenanalysedienste und Rechenzentren

Welche Folgen hat DORA für Finanzunternehmen und Drittanbieter?

Die ITK-Drittanbieter (auch Third Party Provider oder kurz TPP) rücken mit DORA stärker in den Fokus. Die Lieferanten bringen wie die Finanzunternehmen im Rahmen ihrer Digitalisierungsanstrengungen die Infrastrukturen voran. Sie bauen Netzwerke und Systeme aus, um ihre Dienste zu erbringen. Das bedeutet mehr Angriffsflächen für Cyberattacken und ein steigendes Risiko für sie selbst und die Finanzunternehmen.

Mit DORA werden die Drittanbieter in die IKT-Risikobewertung integriert. Darüber hinaus werden für Finanzunternehmen und Aufsichtsbehörden neue Berechtigungen gegenüber den Providern initiiert, Strafzahlungen eingeführt sowie neue Kündigungsoptionen wegen Nichteinhaltung geschaffen. Bei kritischen Drittanbietern (alle Lieferanten, bei denen eine Betriebsstörung systemische Auswirkungen für das Finanzunternehmen hätte, z. B. Cloud-Anbieter) werden im Rahmen der Auslagerung nur noch Lieferanten mit einer Geschäftspräsenz in der EU erlaubt sein.

Als Managed Cloud Solution Provider betreffen die neuen Regelungen auch Adacor. Mit Sitz in Deutschland und dem sicheren Betrieb ausschließlich in deutschen Rechenzentren erfüllen wir die oben genannte Anforderung. Wir bieten Finanzunternehmen sichere, performante und aufsichtskonforme Cloud-Services und gewährleisten eine Nutzung gemäß eines Auslagerungsvertrages, der allen Anforderungen der BaFin und der Europäischen Bankenaufsicht (EBA) gerecht wird. Bei der Leistungserbringung erfüllen wir die Vorgaben aus MaRisk, MaComp, BAIT/VAIT, der wesentlichen Auslagerung nach KWG, der EU Deligiertenverordnung 2017/565 und DORA.

Als Drittanbieter werden wir mit dem Inkrafttreten von DORA verpflichtet, das Auslagerungsregister als Teil des Risikomanagements mit allen Auslagerungen und Weiterverlagerungen (Sub-Outsourcing) offenzulegen und kritische Auslagerungen proaktiv zu melden. Laut dem EU-Kommissionsvorschlag sollen alle bestehenden Auslagerungsvereinbarungen angemessen dokumentiert werden.

Für Finanzunternehmen bedeutet DORA ebenfalls eine Reihe neuer Vorgaben. Die meisten Banken, Fintechs, Versicherungen und Co. werden ihre Prozesse im Risikomanagement überarbeiten müssen. Um beispielsweise die Konzentration von Risiken zu vermeiden, werden viele ihre Bestandsanbieter überprüfen und kritische IKT-Drittanbieter herausfiltern müssen. Bei Drittanbietern, welche die neuen Anforderungen nicht erfüllen, ist gegebenenfalls ein Dienstleisterwechsel in Betracht zu ziehen.

Ein wichtiges Novum stellt der zu verpflichtende Ausgliederungsbeauftragte dar. Mit diesem werden zahlreiche Verantwortlichkeiten im Rahmen der IKT-Sicherheit verbindlich auf das Management (z. B. bei der Geschäftsleitung) übertragen:

  • Festlegung der Risikotoleranz
  • Definition von Verantwortlichkeiten mit IT-Bezug
  • Verabschiedung von Business-Continuity- und Desaster-Recovery-Plänen
  • Freigabe der Audit-Pläne
  • Vergabe angemessener Budgets
  • Verpflichtung, über Geschäfte mit Drittparteien und Störfälle ausreichend informiert zu sein

Um diese Aufgaben adäquat erfüllen zu können, sind Mitglieder der Geschäftsleitung künftig per Gesetz verpflichtet, sich im Hinblick auf IT-Risiken grundlegend schulen zu lassen. Das geht deutlich über die bisherigen Fortbildungspflichten für das höhere Management hinaus.

Mit DORA werden Finanzunternehmen verpflichtet, Notfallstrategien und -pläne zur Fortführung des Geschäftsbetriebs zu entwickeln. Selbst Firmen, die bereits viele der IKT-Risikomanagement-Anforderungen erfüllen, sollten überprüfen, ob die Reaktions- und Wiederherstellungsstrategien und -pläne den erweiterten Regeln entsprechen.

Die Strategien und Plänen müssen einen Krisenkommunikationsplan für Kunden und weitere von einem IKT-Vorfall Geschädigte beinhalten. Damit wird eine verantwortungsbewusste Offenlegung von IKT-Vorfällen jeglicher Art möglich. Der Rechtsakt gibt klare Kriterien vor, mit denen sich IKT-Vorfälle klassifizieren lassen. Ein kritischer IT-Vorfall muss zentral und innerhalb vorgegebener Fristen an die zuständige Behörde sowie an die Nutzenden gemeldet werden, wenn deren Interessen berührt sein könnten.
Um das Bewusstsein für IKT-Risiken zu schärfen, die Ausbreitung einzudämmen, die Abwehrmaßnahmen von Finanzunternehmen und die Technologien zu fördern, mit denen sich Bedrohungen frühzeitig erkennen lassen, können Finanzunternehmen künftig Vereinbarungen treffen, um sich über Cyberbedrohungen auszutauschen.

DORA bedeutet für Finanzunternehmen und Drittanbieter höhere Aufwände. Die Initiative bietet aber auch die Chance, die IKT-Sicherheit im Finanzsektor zu erhöhen und gleichzeitig die Gefahren für Cyberangriffe zu reduzieren.

Finanzunternehmen und Drittanbieter sollten jetzt handeln

Im Rahmen der Digitalisierungsbemühungen in der Finanzbranche kommt dem Einsatz von IKT eine große Bedeutung zu. Digitale Prozesse sind im Finanzwesen überall zu finden: zum Beispiel die bargeldlose Zahlung via Onlinebanking, das Angebot finanzspezifischer Leistungen per App, der elektronische Börsenhandel oder die Abwicklung von Darlehens- und Finanzierungsgeschäfte über das Internet. Neben der digitalen Transformation treiben die neuen Technologien die Vernetzungen und Abhängigkeiten innerhalb der Branche sowie von Infrastrukturen der Drittanbieter voran.

DORA greift die dazugehörigen Herausforderungen auf und orientiert sich an der Zielvorstellung, die Anforderungen hinsichtlich der IKT-Risiken zu konsolidieren, die bis dato in einzelnen Verordnungen und Richtlinien gesondert behandelt wurden.
Der neue Rechtsakt betrifft auch Adacor. Als erfahrener Managed Cloud Solution Provider unterstützen wir seit vielen Jahren Finanzinstitute bei wesentlichen und unwesentlichen Auslagerungen und erfüllen schon jetzt alle bekannten Maßnahmen im Hinblick auf den Digital Operational Resilience Act. Die Anforderungen an Finanzunternehmen und IKT-Drittanbieter sind nicht zu unterschätzen. Daher empfehlen wir angesichts der enormen rechtlichen Veränderungen den betroffenen Unternehmen sich möglichst jetzt schon kritisch zu prüfen und Umstellungen frühzeitig auf den Weg zu bringen.

Weitere Informationen zu den neuen Regularien DORA und dem geplanten FISG (Gesetz zur Stärkung der Finanzmarktintegrität) erhalten Sie in unserem Artikel Banking und Cloud: Adacor erfüllt alle Anforderungen an DORA und FISG.

Verwandte Artikel

Neue Impulse gefällig?
Sie erhalten unseren 4-wöchigen Newsletter zu den Themen Cloud, Hosting, IT-Security und Leadership.
Ich kann die Einwilligung jederzeit widerrufen. Ja, die Adacor Datenschutzerklärung habe ich gelesen.