Die VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über die digitale operationale Resilienz ist lange diskutiert und immer wieder angepasst worden. Seit dem 16. Januar 2023 ist sie nun durch Unternehmen im Finanzsektor und deren IT-Dienstleister zu berücksichtigen bzw. entsprechend umzusetzen - und die Uhr tickt. Es sind nur noch 18 Monate Zeit, bis Anfang 2025 die Umsetzungsfrist endet und die Anforderungen vollumfänglich umzusetzen sind.
Die Zielsetzung der Europäischen Kommission besteht darin, einen gesetzlichen Rahmen für das Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. Schwerpunkt dabei ist die Sicherstellung der Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung. Somit soll eine Gefährdung der Sicherheit des Netzes und der Informationssysteme verhindert werden.
DORA strebt dabei nach einem einheitlichen aufsichtsrechtlichen Ansatz und setzt auf die Harmonisierung der Sicherheitspraktiken in der EU. Für die Einführung und Überwachung sind drei europäische Aufsichtsbehörden (European Supervisory Authorities – kurz ESA) verantwortlich. Im Einzelnen sind dies die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), die Europäische Bankenaufsichtsbehörde (EBA) sowie die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA).
DORA ist nicht nur für Finanzinstitute selbst, sondern gleichwohl, vielleicht sogar besonders, auch für die IT-Dienstleister für den Finanzsektor von gehobenem Interesse - insbesondere durch die neuen Befugnisse der ESA (Vertragskündigungsforderungen /-durchsetzung und Geldstrafen). Für kritische IT-Drittanbieter und Subunternehmen geht aus der DORA beispielsweise hervor, ausschließlich Dienstleister und Anbieter aus der EU zuzulassen.
Als Fahrplan für die Umsetzung sind nachfolgenden Schritte vorgesehen:
1. Halbjahr 2024: Veröffentlichung der ersten Reihe von RTS / ITS u.a. zum ICT Risk Management Framework, Operative Sicherheit, Klassifizierung von ICT-Vorfällen und ICT-Drittparteirisikomanagement.
2. Halbjahr 2024: Veröffentlichung der zweiten Reihe von RTS / ITS u.a. zur Meldung von ICT-Vorfällen, Kriterien, Methodologien und Anforderungen an das Testen der Digital Operational Resilience und Vorgaben zu der Gestaltung von Sub-outsourcing Arrangements.
Was aber kann passieren, wenn DORA-Anforderungen nicht durch die Gesellschaften bzw. IT-Dienstleister in diesem Zeitraum umgesetzt sind und Prüfungen ab 2025 durch die Aufsichtsbehörden zu diesem Ergebnis kommen?
In diesen Fällen ist beispielsweise vorgesehen, dass die ESA Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen, was bedeutet, dass immer Ersatzlieferanten vorzuhalten sind.
DORA sieht inhaltlich seine Themenaufbereitung über die gesamte Wertschöpfungskette im Fokus und konzentriert sich in diesem Zusammenhang auf die folgenden fünf Kernthemen:
-
Operational Resilience und Risikomanagement
Finanzunternehmen sind verpflichtet, ein umfassendes IKT-Risikomanagement einzurichten, einschließlich
-
Einrichtung von IKT-Systeme und -Werkzeuge, die die Auswirkungen von IKT-Risiken reduzieren
-
Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen,
-
kontinuierliche Überwachung von IKT-Risiken,
-
Erkennung von anomalen Aktivitäten,
-
Einführung spezieller und umfassender Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne, einschließlich jährlicher Tests der Pläne,
-
Einrichtung von Mechanismen, um sowohl aus externen Ereignissen als auch aus eigenen IKT-Vorfällen zu lernen und sich weiterzuentwickeln.
-
-
Management von IKT-Vorfällen und Cyber Security
Finanzunternehmen sind verpflichtet:
-
ein bewährtes Verfahren zu entwickeln, um alle IKT-Vorfälle zu protokollieren und klassifizieren und schwerwiegende Vorfälle gemäß den in der Verordnung aufgeführten und von den europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) weiter spezifizierten Kriterien zu bestimmen,
-
einen Anfangs-, Zwischen- und Abschlussbericht über IKT-bezogene Vorfälle vorzulegen,
-
die Berichterstattung über IKT-bezogene Vorfälle anhand der von den ESAs entwickelten Standardvorlagen zu harmonisieren.
-
-
Digital Operational Resilience Testing
Die Verordnung verpflichtet alle Einrichtungen, dass sie:
-
jährlich grundlegende Tests von IKT-Werkzeugen und -Systemen durchführen,
-
Schwachstellen, Mängel oder Lücken identifizieren und Gegenmaßnahmen einleiten,
-
regelmäßig fortgeschrittene bedrohungsgesteuerte Penetrationstests (TLPT) für IKT-Dienste durchführen, die sich auf kritische Funktionen auswirken. Drittanbieter von IKT-Dienstleistungen sind verpflichtet, an den Tests teilzunehmen und vollständig zu kooperieren.
-
-
Governance und Management von Drittparteien
Die Finanzunternehmen sind verpflichtet:
-
Überwachung der Risiken zu gewährleisten, die sich aus der Inanspruchnahme von IKT-Drittanbietern ergeben,
-
ein vollständiges Verzeichnis aller ausgelagerten Tätigkeiten zu melden,
-
-
Informationsaustausch
Das ist ein umfangreicher Katalog an Anforderungen, der zwar durch die bereits in der Umsetzung von aufsichtsrechtlichen Maßgaben nach MaRisk in Verbindung mit den jeweils zutreffenden BAIT, KAIT, VAIT oder ZAIT – Anforderungskatalogen gekürzt werden kann; je nachdem, wie weit die Gesellschaften bereits mit deren Umsetzung gekommen sind, sollte er dennoch hinsichtlich Umsetzungsdauer und -volumen nicht unterschätzt werden.
Darüber hinaus kommen beispielsweise notwendige Vertragsverhandlungen mit IT-Dienstleistern zum Tragen, die erfahrungsgemäß mehrere Monate in Anspruch nehmen könnten. Andere relevante, "kleinere" Arbeiten in dem Zuge wären u.a. der Aufbau und die Implementierung von neuen Prozessen bzw. IKS-Managementsystemen sowie Arbeitsabläufen mit Dokumentationsnachweisen und -management, Anpassung der „schriftlich fixierten Ordnung“, um nur ein paar zu benennen.
Die compliance-net GmbH kann Ihr Unternehmen bei der Einrichtung und Umsetzung der DORA-Vorschriften unterstützen. Wir helfen Ihnen mittels eines Workshops oder projektbasiert mit einer aktuellen IST-Analyse und unterstützen Sie auf dem Weg der Verfahrensimplementierung zum SOLL-Zustand. Durch unsere Tätigkeiten für Jahresabschlussprüfer im Finanzsektor sind wir hierbei entsprechend erfahren.
Autoren und Kontakt: Sebastian Fassbinder / Dr. Klaus-D. Krause, compliance-net GmbH
Quellen:
https://blog.adacor.com/dora-so-wirkt-der-digital-resilience-act-auf-die-finanzbranche_10710.html
https://www.pwc.de/de/im-fokus/cyber-security/digital-operational-resilience-act.html
https://cdn.pixabay.com/photo/2022/08/07/20/44/resilience-7371387_960_720.jpg