Die EU-Kommission hat am 24. September 2020 einen Gesetzentwurf zum Digital Operational Resilience Act (DORA) veröffentlicht. DORA soll die operative Resilienz im Finanzdienstleistungssektor stärken und für eine erhöhte Betriebssicherheit sorgen. Die neue Verordnung wird voraussichtlich 2022 in Kraft treten.
Hintergründe und Ziele von DORA
Der bestehende EU-Rechtsrahmen für IKT-Risiken und operationelle Resilienz im Finanzsektor ist fragmentiert und uneinheitlich. Jedes EU-Land hat eigene Vorschriften, Standards und Vorgaben, die IKT-Risiken oftmals nicht ausreichend berücksichtigen. Uneinheitliche Regelungen führen zu einem hohen finanziellen und administrativen Aufwand für grenzübergreifend agierende Unternehmen. Der Finanzsektor ist in hohem Maße von Informations- und Kommunikationstechnologien abhängig. Diese Abhängigkeit macht Finanzunternehmen besonders anfällig für Cyberangriffe.
Des Weiteren soll DORA sicherstellen, dass alle Akteure des Finanzsektors über die notwendigen Sicherheitsmaßnahmen verfügen, um IKT-bezogene Cyberangriffe und andere Vorfälle zu verhindern oder abzumildern.
Die Kernziele von DORA sind:
- Vereinheitlichung
Durch die Vereinheitlichung von Vorschriften und Standards für IKT-Risiken und Betriebsstabilität wird der Aufwand für Finanzunternehmen und Dienstleister erheblich reduziert. Ferner sind eine Harmonisierung von Meldeprozessen und eine Klassifizierung von IKT-Vorfällen vorgesehen, die für eine frühzeitige Erkennung von Bedrohungen sorgen sollen. - Sicherstellung
DORA soll dafür sorgen, dass Finanzunternehmen und Dienstleister für alle notwendigen Maßnahmen für die Absicherung gegen Cyberbedrohungen sorgen. Der Fokus liegt hierbei auf dem IKT-Risikomanagement und der Durchführung von Penetrationstest sowie die Steuerung und Überwachung von IKT-Drittanbietern. - Etablierung
Die direkte Überwachung durch Aufsichtsbehörden von IKT-Dienstleistern, die für Finanzinstitutionen tätig sind, soll durch DORA ermöglich werde.
Betroffene Institute und Unternehmen
Dem Vorschlag zufolge würden die DORA-Verpflichtungen für alle Finanzunternehmen gelten, die auf EU-Ebene reguliert werden, nämlich Finanzunternehmen wie Kredit- und Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Krypto-Asset-Dienstleister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Versicherungsunternehmen und -vermittler, Ratingagenturen, Wirtschaftsprüfungsgesellschaften, Einrichtungen der betrieblichen Altersversorgung, Wertpapier-, Transaktions- und Verbriefungsregister sowie Crowdfunding-Dienstleister.
DORA ist nicht auf regulierte Unternehmen des Finanzsektors beschränkt. Der zweite Teil von DORA würde sich auf Unternehmen auswirken, die IKT-Dienstleistungen für diese Finanzunternehmen erbringen und gleiche Wettbewerbsbedingungen für sie schaffen. IKT-Drittdienstleister wie Anbieter von Cloud-Computing-Diensten, Software, Datenanalyse und Rechenzentren sind vom Gesetzesentwurf betroffen.
Schwerpunkte von DORA
ICT risk management framework and governance
Die Finanzunternehmen müssen einen soliden, umfassenden und gut dokumentierten Rahmen für das IKT-Risikomanagement schaffen und aufrechterhalten. Dieser muss eine spezielle und umfassende business continuity management (BCM), Notfallpläne und eine Kommunikationsrichtlinie beinhalten. Neben diesem Rahmen müssen die Finanzinstitute IKT-Systeme verwenden und pflegen, die bestimmte Anforderungen erfüllen und es ihnen ermöglichen, anormale Aktivitäten sofort zu erkennen, alle Quellen von IKT-Risiken kontinuierlich zu identifizieren, Sicherheits- und Bedrohungspräventionsmaßnahmen zu konzipieren und zu implementieren sowie Reaktions- und Wiederherstellungsmaßnahmen unverzüglich zu aktivieren.
Incident reporting and information sharing
Die Meldung von IKT-bezogenen Vorfällen wird auf Sektoren ausgedehnt, die derzeit nicht erfasst sind. Berichterstattung sollen mit gemeinsamen Vorlagen, Zeitrahmen und einer einzigen Meldestelle vereinfacht werden. Die Finanzinstitute müssen IKT-Vorfälle klassifizieren und “signifikante” IKT-Vorfälle an eine Zentrale der EU melden. Darüber hinaus fördern die Leitlinien die Zusammenarbeit zwischen anderen Finanzunternehmen in Bezug auf Informationen und Erkenntnisse über Cyber-Bedrohungen.
Management of ICT third party risk
Baut auf den bestehenden EBA-Outsourcing-Anforderungen auf und verlangt von den Unternehmen ihr Register von Anbietern zu erweitern, um alle vertraglichen Vereinbarungen zu erfassen. DORA schreibt inhaltliche Anforderungen für Verträge zwischen Finanzunternehmen und IKT-Drittanbietern vor, einschließlich der Orte an denen Daten verarbeitet werden, Beschreibungen des Leistungsniveaus, Berichtspflichten, Zugangsrechte sowie die Umstände, unter denen solche Verträge gekündigt werden müssen.
Operational resilience testing
Die Finanzinstitute werden verpflichtet sein, regelmäßige Tests der digitalen operativen Resilienz durch unabhängige interne oder externe Parteien durchzuführen. Der IKT-Risikomanagementrahmen muss auch ein umfassendes Programm für die Prüfung der digitalen operativen Belastbarkeit unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit umfassen. Dieses Programm sollte eine Reihe von Bewertungen, Tests, Methoden, Praktiken und Werkzeugen, Verfahren und Richtlinien umfassen, um Mängel zu priorisieren, zu klassifizieren, zu beheben und um sicherzustellen, dass alle Mängel vollständig behoben werden. Die Europäische Bankenvereinigung (EBF) empfiehlt, den Unternehmen zu erlauben, die wichtigsten kritischen Systeme und Anwendungen nach einem risikobasierten Ansatz zu testen.
Information exchange
DORA ermöglicht Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander auszutauschen, um die digitale Betriebsstabilität zu stärken. Das umfasst Indikatoren für Beeinträchtigungen, Taktiken, Techniken, Verfahren, Cybersicherheitswarnungen und Konfigurationstools.
Potentielle Handlungsfelder
ICT risk framework
Bewertung der bestehenden IKT-Risikostrategie, Richtlinien, Verfahren und Instrumente. Berücksichtigung von Rollen und Verantwortlichkeiten.
Testing – ‘basic’
Überprüfung des Umfangs und der Abdeckung der “digitale operationelle Belastbarkeitsprüfung‘ gegen DORA-Artikel.
Testing – ‘advanced‘
Weitere Bewertung des Umfangs von bedrohungsgesteuerten Penetrationstests (ähnlich wie CBEST und TIBER) anhand DORA Vorgaben.
‘Critical’ ICT third party status
Nutzung der laufenden Arbeiten zur Konsolidierung des Informationsregisters für alle IKT-Drittanbieter, die derzeit durch die EBA-Leitlinien zum Outsourcing vorgeschrieben sind.
Governance
Durchführung eines Assessments in Bezug auf die DORA-Anforderungen mit zugehöriger Gap-Analyse und einem Mitigationsplan zur Erfüllung der Anforderungen.