Logo der Open-V GmbH

Finanzunternehmen und IKT-Dienstleister müssen IT-Sicherheit ausbauen.

Eine Illustration zur DORA-Verordnung der europäischen Union

Die EU wird die Cybersicherheit von Finanzunternehmen auf ein einheitliches und höheres Niveau heben. Beschlossen ist: Am 17. Januar 2025 wird der Digital Operational Resilience Act (DORA) zur Anwendung kommen. Die Zeit bis dahin wird die Branche zur Vorbereitung auch brauchen. Denn das Regelwerk gilt nicht nur für Finanzdienstleister, sondern auch für IKT-Drittdienstleister.

DORA wird nationale Regeln zur IT-Sicherheit ersetzen

Sowohl die European Banking Authority (EBA) als auch die Europäische Zentralbank (EZB) haben eindringlich auf die gestiegene Gefahr durch Cyberangriffe hingewiesen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertete die Gefährdungslage als so hoch wie nie zuvor.

Die Gründe sind neben der zunehmenden Digitalisierung der Finanzbranche und dem Arbeiten im Homeoffice in der politischen Lage zu finden: Durch den andauernden Krieg in der Ukraine ist die Bedrohung durch Cyberangriffe auch hierzulande enorm gestiegen.

Die DORA-Verordnung erfüllt gewissermaßen die Funktion eines digitalen Grenzschutzes für die europäische IT-Infrastruktur. Aus diesem Grund wird sie nationale Regeln auch ersetzen und zu harmonisierten Sicherheitsanforderungen für im Finanzsektor tätige Unternehmen führen. Das neue Regelwerk ist so umfassend ausgestaltet, dass sich bereits jetzt sagen lässt: Die DORA-Verordnung wird größere Auswirkungen auf Finanzdienstleister und IKT-Dienstleister haben, als die Umsetzung der Datenschutz-Grundverordnung (DSGVO).

Für folgende Unternehmen wird die DORA-Verordnung gelten:

  • Versicherungsunternehmen
  • Rückversicherer
  • Kreditinstitute
  • Zahlungsinstitute
  • E-Geld-Institute
  • Kontoinformationsdienstleister
  • Ratingagenturen
  • Wertpapierfirmen
  • Zentralverwahrer
  • Anbieter von Krypto-Dienstleistungen
  • Transaktionsregister & Verbriefungsregister
  • Handelsplätze
  • Datenbereitstellungsdienste
  • IKT-Drittdienstleister

DORA gilt auch für IKT-Drittdienstleister

Gemäß der finalen Fassung der DORA-Verordnung sind IKT-Drittdienstleistung „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden“. Dazu zählen Cloud-Computing-Dienste, Software-Anbieter, Datenanalysedienste und Rechenzentren.

Die meisten dieser Unternehmen hatten bisher nichts mit der Finanzaufsicht zu tun und sahen sich auch gar nicht als wesentlichen Teil der Finanzbranche. Die neuen Anforderungen von DORA fordern diese Akteure nun dazu auf, ihre IT-Sicherheit auf ein neues Niveau zu heben und sich von der Finanzaufsicht prüfen zu lassen. Das knappe Jahr, das noch bis zur Anwendung von DORA vergehen wird, dürften die betroffenen Finanzunternehmen auch benötigen, um sich vertraglich und fachlich gemeinsam mit ihren IKT-Drittdienstleistern auf die DORA-Anforderungen vorzubereiten. 

Diese Anforderungen bringt die DORA-Verordnung mit sich:

Im Überblick lassen sich sechs Kernelemente von DORA benennen, die aber bis zur Anwendung Anfang 2025 noch im Detail ausgearbeitet werden.
  • IKT-Risikomanagement

Wesentliche Anforderungen an Systeme und Netzwerke sowie an die Notfallplanung und das BCM; angemessene Governance-Strukturen

  • Klassifizierung von Cyberbedrohungen

Schwellenwerte zur Bestimmung schwerwiegender IKT-Vorfälle; Maßnahmen zu Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung im Falle von Cyberangriffen

  • Berichtspflicht

Meldetermine, einheitliche Meldeformate für schwerwiegende IKT-Vorfälle etc.

  • Erweiterte Testverfahren für Systeme und Prozesse

Basis ist der bedrohungsorientierte Penetrationstest/Threat Led Penetration Testing (TLPT)

  • Management des Drittparteienrisikos

Vorgaben für IKT-Dienstleister, bei denen kritische (wesentliche) Funktionen ausgelagert sind

  • Überwachungsrahmen für IKT-Drittdienstleister

Details zu Art und Umfang der Berichtsinhalte; erweiterte Befugnisse im Hinblick auf die Überwachung und ggf. Sanktionierung durch die Aufsichtsbehörden

 

Perspektive: Wozu wird die Anwendung von DORA führen?

Auf Finanzunternehmen kommen neue und auf IKT-Drittdienstleister kommen erstmals umfangreiche Melde- und Berichtspflichten zu. Einige von ihnen müssen zum ersten Mal ein Information Security Management System (ISMS) aufbauen und eine Prüfung durch die Finanzaufsicht bestehen – diese Anforderungen werden wahrscheinlich nicht alle erfüllen können. Dies vorausahnend sind vor allem Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz von weniger als 2 Millionen Euro von zahlreichen DORA Anforderungen befreit worden.

Sie haben Fragen?

Kontaktieren Sie uns!

Kontakt