DORA
Der Digital Operational Resilience Act (DORA)
Während mit der NIS-2-Richtlinie und ihrem Umsetzungsgesetz (NIS2UmsuCG) grundlegende Mindeststandards für die Cybersicherheit von besonders wichtigen und wichtigen Einrichtungen sichergestellt werden sollen, bestehen für den Finanzsektor seit letztem Jahr spezifische Vorgaben durch den DORA. Anwendung findet er ab dem 17.01.25.
DORA ist als EU-Verordnung unmittelbar in den Mitgliedstaaten anwendbar. Mit der Verordnung reagiert die EU auf die weitgehende Digitalisierung von Finanzdienstleistungen und die damit verbundenen IT-Sicherheitsrisiken.
Wir geben Ihnen hier einen Überblick über die Vorschriften der DORA:
IKT-Risikomanagement, Art. 5 – 16
DORA gibt Anforderungen an das IKT-Risikomanagement von Finanzunternehmen vor. Dies beinhaltet einen umfassenden, gut dokumentierten und regelmäßig überprüften Risikomanagementrahmen, der Maßnahmen zur Identifizierung IKT-gestützter Prozesse sowie Risikoquellen, Schutz- und Präventionsmaßnahmen, Maßnahmen zur Erkennung von IKT-bezogenen Vorfällen, Gegen- und Wiederherstellungsmaßnahmen enthält. Zu beachten: die zu ergreifenden Maßnahmen müssen/ dürfen in Anbetracht von Aufwand und Risiko verhältnismäßig sein. Ein effektives Risikomanagement soll durch einen internen Governance- und Kontrollrahmen gewährleistet werden.
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Art. 17 – 23
Finanzunternehmen haben einen Managementprozess für die Behandlung IKT-bezogener Vorfälle einzurichten, der zudem Maßnahmen zur Überwachung, Protokollierung und Meldung derartiger Vorfälle umfasst. Die Vorfälle müssen klassifiziert werden. Schwerwiegende Vorfälle unterliegen der Meldepflicht.
Testen der Resilienz einschl. Threat-led Penetration Testing, Art. 24 – 27
Die Art. 24 – 27 legen fest, dass Finanzunternehmen ein umfassendes Programm für das Testen der digitalen operationalen Resilienz zu erstellen haben. Dieses Testprogramm soll einen risikobasierten Ansatz verfolgen und u. a. Open-Source-Analysen, Gap-Analysen, Kompatibilitätstests und Penetrationstests umfassen. Bedeutsame Finanzunternehmen haben außerdem regelmäßig weitergehende bedrohungsorientierte Pen-Tests vorzunehmen.
Vereinbarungen über den Austausch von Informationen sowie Cyberrisiken- und Notfallübungen, Art. 45
DORA sieht vor, dass Finanzunternehmen ihre Informationen und Erkenntnisse über Cyberbedrohungen auf Grund von Information-Sharing-Vereinbarungen miteinander austauschen können, um die digitale operationale Resilienz der Finanzunternehmen zu stärken.
Im Besonderen adressiert der DORA die IKT-Dienstleister, die von den Finanzunternehmen beauftragt werden.
IKT-Drittdienstleister sind Unternehmen, die „IKT-Dienstleistungen“ bereitstellen. Das sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu zählt auch technische Unterstützung durch den Hardwareanbieter mittels Software-Aktualisierungen.
Management des IKT-Drittparteienrisikos, Art. 28 – 30
Finanzunternehmen tragen bei Inanspruchnahme von IKT-Dienstleistungen die Verantwortung für die Einhaltung ihrer Pflichten nach DORA. Sie haben zudem die Cyberrisiken, die ihnen aufgrund der Zusammenarbeit mit IKT-Drittdienstleistern entstehen können, zu ermitteln und zu überwachen. Finanzunternehmen müssen bei der Inanspruchnahme von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, Ausstiegsstrategien einrichten. Sie haben ein Informationsregister zu führen, das alle mit IKT-Drittdienstleistern abgeschlossenen Vertragsbeziehungen enthält. Art. 30 DORA enthält einen Katalog mit Mindestanforderungen an die vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Dienstleistern.
Überwachungsrahmen für kritische IKT-Dienstleister, Art. 31 – 44
Die nach Art. 31 als „kritisch“ eingestuften IKT-Drittdienstleister stehen im Fokus eines Überwachungsrahmens. Ob ein IKT-Dienstleister als „kritisch“ eingestuft wird, hängt u. a. davon ab, welche Auswirkungen eine Betriebsstörung beim Dienstleister auf die Erbringung von Finanzdienstleistungen hätte oder welche Bedeutung die Finanzunternehmen haben.
Die für den jeweiligen Dienstleister zuständige Aufsichtsbehörde kann die Einhaltung der Risikomanagementmaßnahmen der IKT-Dienstleister bewerten, Informationen einfordern und Untersuchungen sowie Vor-Ort-Inspektionen beim Dienstleister durchführen. Soweit der IKT-Dienstleister seinen hieraus resultierenden Pflichten nicht nachkommt, kann gegen ihn ein Zwangsgeld verhängt werden.
Aufgaben für beide Seiten, die zusammenfassend abgeleitet werden können, sind: Einerseits DORA-konforme IKT-Verträge zu vereinbaren und andererseits die Compliance-Vorgaben gemäß Artt. 28 ff. DORA umzusetzen.