Die Nutzung von Informations- und Kommunikationstechnologien (IKT) hat in den letzten Jahrzehnten einen zentralen Stellenwert im Finanzwesen erlangt und trägt heute entscheidend zur Ausführung alltäglicher Aufgaben aller Finanzunternehmen bei.
Der EU-Finanzsektor wird durch ein harmonisiertes, einheitliches Regelwerk reguliert und unterliegt einem europäischen Finanzaufsichtssystem. Obwohl die digitale Betriebsstabilität für die Gewährleistung von Finanzstabilität und Marktintegrität im digitalen Zeitalter von entscheidender Bedeutung ist, wurden die Bestimmungen über die digitale Betriebsstabilität und IKT-Sicherheit noch nicht vollständig und konsequent harmonisiert. Daher sollten das einheitliche Regelwerk und das Aufsichtssystem so weiterentwickelt werden, dass sie auch die Betriebsstabilität und IKT-Sicherheit abdecken, indem die Mandate von Finanzaufsichtsbehörden, die mit der Überwachung und dem Schutz der Finanzstabilität und der Marktintegrität betraut sind, erweitert werden.
Rechtliche Unterschiede und ungleiche nationale Regulierungs- oder Aufsichtskonzepte in Bezug auf IKT-Risiken schaffen Hindernisse für den Binnenmarkt für Finanzdienstleistungen und erschweren grenzüberschreitend tätigen Finanzunternehmen die reibungslose Erbringung von Dienstleistungen.
DORA zielt auf einen sehr großen Anwenderkreis und soll für Banken, Versicherungen, Zahlungsdienstleister und weitere Stakeholder des Finanzsektors ein einheitliches Rahmenwerk schaffen. Lediglich „Kleinstunternehmen“ mit weniger als 10 Beschäftigten und 2 Mio. € Jahresumsatz werden größtenteils von der Anwendung ausgenommen.
Im Entwurf von DORA sind Anforderungen in sechs Bereichen beschrieben, die weitgehend das gesamte Spektrum eines IKT-Risikomanagements abdecken und die entsprechend mit den implementierten Prozessen und Verfahren der Finanzdienstleister in Einklang zu bringen sind.
Anforderungen an die Governance
Die Geschäftsstrategien von Finanzunternehmen und das IKT-Risikomanagement sollen besser aufeinander abgestimmt werden. Zu diesem Zweck wird das Leitungsorgan eine entscheidende und aktive Rolle bei der Steuerung des Rahmens für das IKT-Risikomanagement übernehmen und für die Einhaltung einer strikten Cyberhygiene sorgen müssen.
Anforderungen an das IKT-Risikomanagement
Um mit einer sich schnell ändernden Bedrohungslage Schritt zu halten, müssen Finanzunternehmen stabile IKT-Systeme und -Instrumente einrichten und aufrechterhalten. Diese Systeme erfüllen folgende Funktionen: Auswirkungen von IKT-Risiken minimieren, kontinuierlich alle Ursachen von IKT-Risiken ermitteln, Schutz- und Präventionsmaßnahmen ergreifen, anormale Aktivitäten umgehend aufdecken, dedizierte und umfassende Strategien für die Fortführung des Geschäftsbetriebs sowie Notfall- und Wiederherstellungspläne als integralen Bestandteil der operativen Strategie für die Fortführung des Geschäftsbetriebs einrichten.
Meldung IKT-bezogener Vorfälle
Finanzunternehmen sollen generell verpflichtet werden, einen Managementprozess zur Überwachung und Protokollierung IKT-bezogener Vorfälle einzurichten und umzusetzen. Im Anschluss sind diese Vorfälle nach Kriterien zu klassifizieren, um Wesentlichkeitsschwellen festlegen zu können. Es müssen den zuständigen Behörden nur IKT-bezogene Vorfälle gemeldet werden, die als schwerwiegend gelten.
Prüfung der digitalen Betriebsstabilität
Die im Rahmen des IKT-Risikomanagements zur Verfügung gestellten Kapazitäten und Funktionen müssen regelmäßig auf ihre Eignung zur Ermittlung und Behebung von Schwachstellen, Mängeln oder Lücken sowie auf ihre Bereitschaft zur umgehenden Umsetzung von Korrekturmaßnahmen hin geprüft werden. Diese Verordnung ermöglicht eine verhältnismäßige Anwendung der Anforderungen an die Prüfung der digitalen Betriebsstabilität in Abhängigkeit von der Größe sowie der Geschäfts- und Risikoprofile von Finanzunternehmen.
Risiko durch IKT-Drittanbieter
Mit der Verordnung soll Finanzunternehmen eine solide Überwachung des Risikos durch IKT-Drittanbieter ermöglicht werden. Dieses Ziel wird zunächst durch die Einhaltung grundsatzbasierter Regeln erreicht, die für die Überwachung des Risikos durch IKT-Drittanbieter gelten. Die Verträge, mit denen diese Beziehung geregelt wird, müssen insbesondere eine vollständige Beschreibung berücksichtigen.
Schließlich zielt die Verordnung darauf ab, die Konvergenz der Aufsichtskonzepte für das Risiko durch IKT-Drittanbieter im Finanzsektor zu fördern, indem kritische IKT-Drittanbieter einem Aufsichtsrahmen der Union unterworfen werden.
Die drei Europäischen Aufsichtsbehörden (ESAs), die als federführende Aufsichtsinstanz für jeden, der als kritischer IKT-Drittanbieter gilt, benannt wurden, erhalten Befugnisse, um sicherzustellen, dass Technologiedienstleister, die entscheidend zum Funktionieren des Finanzsektors beitragen, auf gesamteuropäischer Ebene angemessen überwacht werden.
Informationsaustausch
Um das Bewusstsein für IKT-Risiken zu schärfen, ihre Ausbreitung zu minimieren, die Abwehrkapazitäten von Finanzunternehmen und die Techniken zur Erkennung von Bedrohungen zu unterstützen, ermöglicht die Verordnung Finanzunternehmen, untereinander Vereinbarungen für den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zu treffen.
In den Bankaufsichtlichen Anforderungen an die IT (BAIT), den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) und den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) konkretisiert die BaFin, was sie von den Banken bzw. Versicherern auf ausgewählten Gebieten der IT-Sicherheit erwartet. Ebenso spezifiziert die internationale Norm ISO/IEC 27001 Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits- und Managementsystems. Grundsätzlich lassen sich bei der Betrachtung der Zielrichtung dieser Regularien und Normen Gemeinsamkeiten vermuten. Im Rahmen einer Analyse sind wir den Gemeinsamkeiten und Unterschieden von DORA in Bezug auf BAIT, KAIT, VAIT und der ISO-27xxx-Reihe auf den Grund gegangen.
DORA versus VAIT
Unsere Analysen haben ergeben, dass die VAIT ein breiteres Spektrum der Anforderungen abdecken, während DORA einen größeren Detaillierungsgrad aufweist. Als Ergänzung zu den Vorgaben von VAIT, BAIT und KAIT sieht DORA insbesondere die Implementierung von Maßnahmen bezüglich der Steuerung des Risikos durch IKT-Drittanbieter, der Meldung von IKT-Änderungen an die Finanzbehörden sowie Vorgaben zu durchzuführenden Prüfungen und Inspektionen bei IKT-Drittanbietern vor.
Die Steuerung des IKT-Risikos verpflichtet Versicherungsunternehmen dazu, einen Risikomanagementrahmen zu entwickeln, der jährlich zu prüfen ist. Weitere erforderliche Maßnahmen sind u. a. die regelmäßige Pflege von IKT-Systemen, die Einrichtung eines Frühwarnsystems für IKT-Vorfälle sowie die Bewertung des IKT-Konzentrationsrisikos und Vorgaben über weiteres Outsourcing.
Die durch DORA erforderliche Meldung von IKT-Änderungen an die Finanzbehörden beinhaltet Berichterstattungspflichten über neue IKT-Vereinbarungen. Bei der Berichterstattung ist insbesondere die geplante Vergabe von Aufträgen in kritischen Funktionen zu berücksichtigen.
DORA sieht neben Prüfungs- und Inspektionsrechten bei den Finanzunternehmen zusätzlich die verpflichtende Durchführung von Penetrationstests vor.
Insgesamt empfehlen wir zur Sicherstellung der Anforderungen von DORA eine Bestandsaufnahme der Regelungen nach den VAIT und eine GAP-Analyse, um Lücken zwischen den verschiedenen Anforderungen zu identifizieren und zu adressieren.
Am 28. Juni 2021 hat die BaFin veröffentlicht, dass sie die Aspekte der „EIOPA-Leitlinien zur Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie“ bei der anstehenden Novelle der VAIT berücksichtigen wird. Aufgrund der Schnittmenge der genannten EIOPA-Leitlinien und der DORA-Anforderungen ist mit der Novellierung eine weitere Konvergenz der VAIT zu erwarten.
DORA versus ISO 27xxx/ISO 22301
Im Rahmen unserer grundsätzlichen Analyse konnten wir fast alle fachlichen Anforderungen an die Informationssicherheit und die durch DORA bewertete Resilienz der IT in einem der bekanntesten und am weitesten verbreiteten internationalen Standard der ISO-27xxx-er Familie oder im ISO 22301 in der einen oder anderen Ausprägung und Detailtiefe identifizieren. Schaut man sich insbesondere nicht nur die grundlegenden Anforderungen der Norm ISO 27001 an, sondern zieht die konkreteren Umsetzungsempfehlungen und Vorschläge aus den Normen ISO 27002 und ISO 27003 hinzu, kann man sogar in den meisten Fällen erkennen, dass diese einen tieferen Detaillierungsgrad aufweisen als bei DORA. Das Risikomanagement, auf das bei DORA ein besonderer Schwerpunkt gelegt wird, wird durch die Norm ISO 27005 im Spezifischen und durch die ISO 31000 im Allgemeinen vollständig abgedeckt. Der Resilienz-Schwerpunkt der DORA findet sich nicht in der ISO 27xxx-er Familie, sondern in der damit verwandten Norm ISO 22301 „Business Continuity Management System (BCMS)“ wieder. Dabei werden in den oben genannten Standards darüber hinaus einige weitere wichtige und angrenzende Themen der Informationssicherheit und der Business Continuity angesprochen.
DORA definiert jedoch für spezielle Themen der Kommunikation mit Behörden eigene Vorschriften für Meldewege, Fristen (Art. 17) und Berichte, beispielsweise zur Meldung aller Kosten und Verluste durch IKT-Störungen (Art. 10). Sie definiert die für IKT-Vorfälle haftenden Akteure (Art. 25) und fordert die Betrachtung von sog. Konzentrationsrisiken (Art. 26). Der letztere Aspekt ist nach unserer Meinung in der Tat sinnvoll, jedoch so detailliert nicht explizit in den einschlägigen ISO-Normen enthalten.
Schlussfolgernd lässt sich der Vergleich zwischen den relevanten ISO-Normen und der DORA in einem Satz wie folgt zusammenfassen: Falls Ihr Information Security Management System (ISMS) und Ihr Business Continuity Management System (BCMS) sich an den internationalen Normen der ISO 27xxx-er Familie und an ISO 22301 ausrichten und mit einem mindestens mittleren Reifegrad bewertet werden können, haben Sie gute Chancen, dass Sie zum Zeitpunkt des Inkrafttretens der DORA so gut wie keine aufwendigen Aktivitäten und/oder Projekte einplanen müssen, um Ihre Compliance sicherstellen zu können.
Wie bereits dargestellt, sind einzelne DORA-Anforderungen nicht über nationale regulatorische Anforderungen wie insbesondere die VAIT, BAIT und KAIT der BaFin abgedeckt. Der Vergleich von DORA mit Anforderungen der VAIT zeigt, dass DORA neue bzw. zusätzliche Anforderungen ausweist und einzelne konkretisiert. Der DORA-Anwendungskreis umfasst zudem Unternehmen, die bislang bezüglich der IT-Governance nicht im Regulationsfokus standen, wie z. B. Versicherungsvermittler oder -makler.
Dies hat Auswirkungen auf die Rollen und Abläufe der Funktionen der First und Second Line of Defence im Bereich Risikomanagement, Informationssicherheit, Business Continuity Management sowie Ausgliederungsmanagement. Bestehende Funktionen und Prozesse müssen auf ihren Anpassungsbedarf hin untersucht werden. Es ist davon auszugehen, dass eine weitere Vernetzung der entsprechenden Fakultäten notwendig wird.
Unsere Empfehlung – auf Basis des aktuellen Stands von DORA – ist, sich frühzeitig mit dem kommenden DORA-Spektrum vertraut zu machen, um sich iterativ und vorzugshalber evolutionär den Anforderungen von DORA zu nähern.
Es bleibt festzuhalten: Wenn Sie einen hohen Reifegrad hinsichtlich der aufsichtsrechtlichen Anforderungen an die IT (vgl. VAIT, BAIT und KAIT) nachweisen können oder Ihr ISMS und BCMS sich an den internationalen Normen wie der ISO 27xxx-er Familie ausrichtet, verfügen Sie über die ideale Basis für eine weitgehende DORA-Kompatibilität.
Wir unterstützen Sie bei von der Evaluierung der Anforderungen bis hin zur Umsetzung von Handlungsoptionen, die sich aus den Vorgaben rund um DORA ergeben.
Lassen Sie Ihre bestehenden Managementsysteme wie ISMS, DSMS und BCMS nach einem wohldefinierten Modell, z. B. Capability Maturity Model Integration (CMMI), durch unsere erfahrenen Expert*innen bewerten. Wir unterstützen Sie mit den Erfahrungen von Prüfer*innen einerseits sowie andererseits mit dem Know-how von Berater*innen.
Wir entwickeln zusammen mit Ihnen an die Anforderungen für Finanzunternehmen und Ihre Unternehmensgröße angepasste und adäquate Umsetzungspläne mit Maßnahmen, die Ihr Unternehmen effizient an das Compliance-Ziel bringen.
Durch automatisierte Prozesse werden Ressourcen für neue Aufgaben freigesetzt. Somit verändert die Digitalisierung auch die Zusammenarbeit im Unternehmen. Wir unterstützen Sie bei der Entwicklung und Umsetzung Ihrer Digitalstrategie.
This website uses cookies.
Some of these cookies are necessary, while others help us analyse our traffic, serve advertising and deliver customised experiences for you.
For more information on the cookies we use, please refer to our Privacy Policy.
This website cannot function properly without these cookies.
Analytical cookies help us enhance our website by collecting information on its usage.