DORA soll einerseits die Widerstandsfähigkeit der Finanzunternehmen gegen IT-bezogene Risiken erhöhen und andererseits die dafür nötigen Anforderungen in der EU harmonisieren.
Bei DORA handelt es sich also um eine Verordnung nach europäischem Recht. Für die Finalisierung des Entwurfs ist noch gut ein Jahr vorgesehen, und danach dauert es noch ein weiteres Jahr, bis die Verordnung Gültigkeit erlangt. Realistisch ist also davon auszugehen, dass DORA erst 2024 scharf geschaltet wird. Als Projekt der Europäischen Kommission sind für Einführung und Überwachung von DORA die drei Europäischen Aufsichtsbehörden (Englisch: European Supervisory Authorities – kurz ESA) zuständig: die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
Gründe, die aus EU-Sicht für DORA sprechen
Finanzunternehmen haben in den letzten Jahren ihre Digitalisierung massiv vorangetrieben. Für die kommenden Jahre ist sogar noch mit einer weiteren Steigerung der Aktivitäten auf diesem Gebiet zu rechnen. Früher oder später wird nahezu jeder Aspekt im Betrieb einer Bank und anderen Finanzunternehmen auf IT basieren. Bei einigen neueren Banken ist das bereits heute der Fall. Eine immer funktionierende IT wird damit überlebenswichtig. Die EU sah vor diesem Hintergrund aus mehreren Gründen Handlungsbedarf.
- Mehr Cyberangriffe
Der Finanzsektor ist mit steigender Abhängigkeit von der IT grundsätzlich ein sehr attraktives Ziel für Cyberangriffe. Die Angriffsflächen haben sich durch die Vernetzung von Finanzdienstleistern – auch über Ländergrenzen hinweg – noch einmal massiv vergrößert. Teilweise sind hier sehr heterogene IT-Systeme aufeinandergestoßen. Hohe IT-Management-Komplexität mit der Gefahr weiterer Schwachstellen war die Folge. In der Pandemie schließlich haben sich weitere Schwächen im digitalen Raum gezeigt, insbesondere entlang der End-to-End-Lieferketten.
- Höhere Abhängigkeit von Drittanbietern
Das Ökosystem der Finanzwelt umfasst auch Lieferanten – in erster Linie aus dem IT-Sektor, die im Zuge der Digitalisierung ebenfalls ihre Netzwerke massiv ausgebaut haben. Um ihre Leistung erbringen zu können, sind damit auch sie im gesteigerten Maße vom Funktionieren ihrer IT abhängig. Finanzunternehmen müssen diesen Aspekt künftig im eigenen Interesse stärker beachten. Deshalb wird in DORA ausdrücklich gefordert, auch die Lieferantennetzwerke in die Risikobewertung der IT mit einzubeziehen. In diesem Zuge ist geplant, den ESA neue Befugnisse gegenüber IT-Drittanbietern einzuräumen. So sollen die ESA beispielsweise Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen.
- EU-weites Maß für den Reifegrad der betrieblichen Resilienz erforderlich
Bislang gibt es in der EU kein einheitliches Bewertungssystem für Cyberrisiken im Finanzsektor. Zudem deckt die aktuelle EU-Gesetzgebung nicht jeden Finanzdienstleistungssektor ab. Beide Mankos sollen durch DORA behoben werden.
- EU-weit rechtliche Klarheit erforderlich
Behörden in der EU erlassen für das IT-Risikomanagement teilweise sehr unterschiedliche Vorschriften. Bei international tätigen Unternehmen führt das zu rechtlichen Unklarheiten. Hinzu kommt, dass auch die Aufsicht im EU-Binnenmarkt derzeit noch sehr unterschiedlich läuft. Für Finanzunternehmen bedeuten diese Hürden einen beträchtlichen administrativen Mehraufwand. Hier soll DORA vor allem die Effizienz verbessern.
Was mit DORA auf Finanzunternehmen und IT-Dienstleister zukommt
Gemäß den ESA-Leitlinien kommen auf Finanzdienstleister und ihre IT-Lieferanten eine Reihe neuer Anforderungen zu: So wird die Entwicklung von Reaktions- und Wiederherstellungsplänen für Finanzdienstleister mit DORA zur Pflicht. In den Plänen muss auch die Kommunikation mit Kunden und sonstigen vom IT-Vorfall Geschädigten geregelt sein. Die Verordnung spezifiziert klare Kriterien für die Klassifizierung von IT-Vorfällen. Als kritisch eingestufte IT-Vorfälle müssen sowohl zentral an die Aufsicht, als auch an Nutzer gemeldet werden, falls deren Interessen berührt sein könnten.
DORA will auch die Konzentration von Risiken vermeiden – insbesondere bei Vereinbarungen mit einzelnen Dritten. Solche Verträge müssen etwa durch Analysen von Weiterverlagerungen gründlich geprüft werden. Schließlich wird sich mit DORA die Zahl von Finanzunternehmen deutlich erhöhen, die fortgeschrittene Tests auf der Grundlage von „Threat Led Penetration Testing“ (TLPT) durchführen müssen. Den Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen will DORA auf freiwilliger Basis fördern.
IT-Dienstleister sind vor allem durch die neuen, bereits erwähnten Befugnisse der ESA (Geldstrafen, Vertragskündigungen) von DORA betroffen. Für kritische IT-Drittanbieter und Subunternehmen schlägt DORA vor, ausschließlich Dienstleister und Anbieter aus der EU zuzulassen.
Warum Finanzunternehmen jetzt schon handeln sollten
Im Moment ist der zeitliche Rahmen um DORA noch relativ entspannt. Sich frühzeitig mit der neuen Verordnung zu beschäftigen, ist dennoch ratsam, wie unter anderem die Erfahrungen bei der Einführung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) gelehrt haben. Lange haben Unternehmen hier ihren Handlungsbedarf verdrängt und waren dann überfordert, als der Termin für die Inkraftsetzung näher rückte.
Am stärksten gefordert sind sicherlich Finanzunternehmen mit niedrigem Resilienz-Reifegrad, beziehungsweise solche, die sich bislang noch wenig mit ihrem Resilienz-Reifegrad und dem ihrer Dienstleister beschäftigt haben, oder derzeit noch nicht dazu verpflichtet sind, strengere Vorschriften umzusetzen. Sie sollten bereits jetzt beginnen herauszufinden, wo ihre Widerstandsfähigkeit noch Lücken hat und Strategien entwickeln, wie sie die kommenden Anforderungen nachhaltig umsetzen wollen. Auch sollten sie ihre Dienstleister schon einmal schärfer unter die Lupe nehmen: Wie weit sind sie in Sachen Resilienz und muss gegebenenfalls nach Alternativen gesucht werden?
Es wird in DORA ausdrücklich gefordert, auch die Lieferantennetzwerke in die Risikobewertung der IT mit einzubeziehen. In diesem Zuge ist geplant, den ESA neue Befugnisse gegenüber IT-Drittanbietern einzuräumen.
Finanzunternehmen, die schon einen hohen Resilienz-Reifegrad erlangt haben, sollten bereits auf die Vorschriften der ESA achten und entsprechende Anpassungen vornehmen. Nicht zuletzt betrifft das beispielsweise die Anforderungen an die operativen Belastbarkeitstests, mit denen die Handlungsfähigkeit des Finanzunternehmens sichergestellt werden soll.
IT-Dienstleister sind gefordert, ihre Klientel aus der Finanzwelt zu beobachten. Es gilt herauszufinden, inwieweit die DORA-Verordnung auch sie selbst trifft. Ist das der Fall, sollten sie keine Zeit verlieren und frühzeitig die erforderlichen Schritte in die Wege leiten. Dies beinhaltet etwa die Durchführung relevanter Analysen und die Verbesserung von Organisation, Prozessen und Technologie.
Mit DORA als wesentlichem Pfeiler des umfassenderen „Digital Finance Package“ macht die EU-Kommission einen großen Schritt in Richtung Harmonisierung und Digitalisierung der Finanzmärkte in der EU. Das Ziel ist eine Verbesserung der operativen Widerstandsfähigkeit von Finanzunternehmen, um allen Arten von IT-bezogenen Störungen und Bedrohungen widerstehen zu können. Durch die Harmonisierung sollen gleichzeitig „Reibungsverluste“, die derzeit durch inkonsistente Vorschriften in verschiedenen EU-Ländern noch häufig entstehen, weitgehend eliminiert werden.
Fazit
Mit steigendem Grad der Digitalisierung werden Finanzunternehmen immer abhängiger von ihrer IT. Maßnahmen zur Verminderung IT-bezogener Risiken sind zwar seit einigen Jahren im Gange, aber EU-weit sehr unterschiedlich. Zudem gibt es noch viele Lücken. Der Digital Operational Resilience Act (DORA) soll diese Lücken schließen und EU-einheitliche Vorgaben liefern.
