Finanzunternehmen und IKT-Dienstleister müssen IT-Sicherheit ausbauen.
Die EU wird die Cybersicherheit von Finanzunternehmen auf ein einheitliches und höheres Niveau heben. Beschlossen ist: Am 17. Januar 2025 wird der Digital Operational Resilience Act (DORA) zur Anwendung kommen. Die Zeit bis dahin wird die Branche zur Vorbereitung auch brauchen. Denn das Regelwerk gilt nicht nur für Finanzdienstleister, sondern auch für IKT-Drittdienstleister.
DORA wird nationale Regeln zur IT-Sicherheit ersetzen
Sowohl die European Banking Authority (EBA) als auch die Europäische Zentralbank (EZB) haben eindringlich auf die gestiegene Gefahr durch Cyberangriffe hingewiesen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertete die Gefährdungslage als so hoch wie nie zuvor.
Die Gründe sind neben der zunehmenden Digitalisierung der Finanzbranche und dem Arbeiten im Homeoffice in der politischen Lage zu finden: Durch den andauernden Krieg in der Ukraine ist die Bedrohung durch Cyberangriffe auch hierzulande enorm gestiegen.
Für folgende Unternehmen wird die DORA-Verordnung gelten:
- Versicherungsunternehmen
- Rückversicherer
- Kreditinstitute
- Zahlungsinstitute
- E-Geld-Institute
- Kontoinformationsdienstleister
- Ratingagenturen
- Wertpapierfirmen
- Zentralverwahrer
- Anbieter von Krypto-Dienstleistungen
- Transaktionsregister & Verbriefungsregister
- Handelsplätze
- Datenbereitstellungsdienste
- IKT-Drittdienstleister
DORA gilt auch für IKT-Drittdienstleister
Die meisten dieser Unternehmen hatten bisher nichts mit der Finanzaufsicht zu tun und sahen sich auch gar nicht als wesentlichen Teil der Finanzbranche. Die neuen Anforderungen von DORA fordern diese Akteure nun dazu auf, ihre IT-Sicherheit auf ein neues Niveau zu heben und sich von der Finanzaufsicht prüfen zu lassen. Das knappe Jahr, das noch bis zur Anwendung von DORA vergehen wird, dürften die betroffenen Finanzunternehmen auch benötigen, um sich vertraglich und fachlich gemeinsam mit ihren IKT-Drittdienstleistern auf die DORA-Anforderungen vorzubereiten.
Diese Anforderungen bringt die DORA-Verordnung mit sich:
-
IKT-Risikomanagement
wesentliche Anforderungen an Systeme und Netzwerke sowie an die Notfallplanung und das BCM; angemessene Governance-Strukturen -
Klassifizierung von Cyberbedrohungen
Schwellenwerte zur Bestimmung schwerwiegender IKT-Vorfälle; Maßnahmen zu Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung im Falle von Cyberangriffen -
Berichtspflicht
Meldetermine, einheitliche Meldeformate für schwerwiegende IKT-Vorfälle etc. -
Erweiterte Testverfahren für Systeme und Prozesse
Basis ist der bedrohungsorientierte Penetrationstest/Threat Led Penetration Testing (TLPT) -
Management des Drittparteienrisikos
Vorgaben für IKT-Dienstleister, bei denen kritische (wesentliche) Funktionen ausgelagert sind -
Überwachungsrahmen für IKT-Drittdienstleister
Details zu Art und Umfang der Berichtsinhalte; erweiterte Befugnisse im Hinblick auf die Überwachung und ggf. Sanktionierung durch die Aufsichtsbehörden
Perspektive: Wozu wird die Anwendung von DORA führen?
Auf Finanzunternehmen kommen neue und auf IKT-Drittdienstleister kommen erstmals umfangreiche Melde- und Berichtspflichten zu. Einige von ihnen müssen zum ersten Mal ein Information Security Management System (ISMS) aufbauen und eine Prüfung durch die Finanzaufsicht bestehen – diese Anforderungen werden wahrscheinlich nicht alle erfüllen können. Dies vorausahnend sind vor allem Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz von weniger als 2 Millionen Euro von zahlreichen DORA Anforderungen befreit worden.