Im Finanzsektor fehlte es bisher an EU-weiten Vorschriften für die digitale Betriebsstabilität, sodass die Verantwortung zur Regulierung bei den einzelnen Mitgliedsstaaten verblieb.
Im Resultat gibt es einen Flickenteppich aus zahlreichen nationalen Regelungen zur digitalen Sicherheit im Finanzwesen, mit sich unterscheidenden Regelungen. Im Juni 2020 traten zwar die „EBA Guidelines on ICT and security risk management “, Leitlinien zu IKT und Sicherheitsrisikomanagement der European Banking Authority (EBA) in Kraft – insgesamt blieb die Behandlung von Risiken in Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) auf europäischer Ebene bisher jedoch unzureichend.
Aus dem neunten Bericht an den Deutschen Bundestag zur Finanzstabilität in Deutschland (Juni 2022):
Im Berichtszeitraum erhöhten sich Cyberrisiken im Finanzsystem weiter. Die Digitalisierung und Vernetzung, die pandemiebedingte Arbeit im Homeoffice sowie die Nutzung digitaler Dienstleistungen einiger weniger Drittanbieter – zum Beispiel im Bereich Cloud Computing – nahm im Berichtszeitraum zu. Infolgedessen ist das Finanzsystem steigenden Cyberrisiken ausgesetzt. Zu einer Verschärfung der Risikolage trug auch der russische Angriff auf die Ukraine bei. Der Krieg könnte zunehmend im digitalen Raum ausgetragen werden und auch nicht unmittelbare Kriegsparteien einschließen. So wurden am Ende des Berichtszeitraums vermehrt auffällige Aktivitäten im Cybernetzwerk beobachtet. Allerdings kam es dabei zu keinen Beeinträchtigungen des deutschen Finanzsystems. Es könnten auch deutsche Finanzintermediäre zukünftig verstärkt in den Fokus von Cyberangriffen geraten.
Um die Gefahr systemischer Cybervorfälle zu verringern, veröffentlichte der ESRB eine Empfehlung zur Entwicklung eines europäischen Kommunikationsprotokolls bei Cybervorfällen und beschäftigte sich unter anderem mit Maßnahmen zur Stärkung der Cyber-Resilienz des Finanzsystems.
In einem immer mehr vernetzten Europa, in dem internationale Kooperationen zwischen Finanzunternehmen weit verbreitet sind und digitalisierungsbezogene Risiken potenziell grenzüberschreitende Auswirkungen haben, soll die neue DORA (Digital Operational Resilience Act) nun diese Lücke schließen und auf EU-Ebene einen ergänzenden gemeinsamen Rechtsrahmen bieten.
Die DORA-Verordnung hat das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen.
Ein EU-weit einheitlicher Aufsichtsrahmen für die digitale operationale Resilienz soll sicherstellen, dass Unternehmen auf Störungen und Bedrohungen in Verbindung mit IKT angemessen reagieren können. Die Verordnung sieht einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen vor.
Um diesen EU-weit einheitlichen Aufsichtsrahmen zu schaffen, hat die Europäische Kommission die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) erlassen. Diese Verordnung gilt für nahezu alle Finanzunternehmen und ihre IKT-Drittdienstleister in der EU und legt verbindliche Anforderungen für die oben genannten Bereiche fest. Ausnahmen gibt es gemäß Art. 2 Abs. 3 der DORA-Verordnung nur für einzelne Unternehmensgruppen wie z.B. Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung vom Anwendungskreis.
Die bisher speziell für Deutschland gültigen Richtlinien wie BAIT, VAIT, ZAIT und die jeweiligen MaRisk werden damit um ein Regelwerk auf der Ebene von EU-Recht ergänzt. Ergänzt ist hier ein wichtiger Begriff, denn klar ist, die „alten“ Richtlinien (BAIT, VAIT, ZAIT etc.) werden nicht ersetzt. Vielmehr kann man sogar davor ausgehen. dass die Inhalte der DORA kontinuierlich in MaRisk & Co einfließen werden.
Wenn man sich den aktuellen Zeitplan zur Einführung von DORA anschaut, ist die Verordnung am 16.01.2023 in Kraft getreten. Ab dem 17.01.2025 wird die Verordnung (auch in Prüfungen) angewendet.
Federführend im Projekt der Europäischen Kommission zur Einführung und Überwachung von DORA sind die drei Europäischen Aufsichtsbehörden (Englisch: European Supervisory Authorities – kurz ESA):
- Die Europäische Bankenaufsichtsbehörde (EBA)
- Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die
- Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA)
In der Zeit bis zur Anwendung der Verordnung gibt es für die Aufsichtsbehörden noch viel zu tun.
Zum einen gilt es nun, die weitere Detaillierung der diversen technischen Standards voranzutreiben und im Rahmen der Umsetzung zusätzlich zu berücksichtigen (Entwürfe bis zum 17.01.24). Insbesondere geht es hier um
- Weitere Einzelheiten zum IKT-Risikomanagement wie z.B. die wesentlichen Elemente, Anforderungen an Systeme und Netzwerke und an die Notfallplanung bestimmt werden.
- Weitere Details zur Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen (z.B. Schwellenwerte zur Bestimmung schwerwiegender IKT-Vorfälle und Cyberbedrohungen).
- Detaillierung von Berichtspflicht, Meldeterminen, einheitlichen Meldeformaten für schwerwiegende IKT-Vorfälle sowie Mitteilung wesentlicher Cyberbedrohungen.
- Einzelheiten zu erweiterten Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT (Threat Led Penetration Testing, bedrohungsorientierte Penetrationstests).
- Weitere Details zum Management des IKT-Drittparteienrisikos wie Vorgaben für ein Register i.S.d. Abs. 3 und für dessen Befüllung, zu internen Richtlinien sowie zur Weiterverlagerungen von kritischen oder wichtigen Funktionen.
- Spezifizierung zur Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister, zu Art und Umfang der Informationen sowie Berichtsinhalten.
Zum anderen müssen bis zur Anwendung der Verordnung diverse weitere Verordnungen und Richtlinien angepasst werden. Dies gleicht einer „Schnitzeljagd“, denn jede Änderung zieht weitere Änderungen in anderen Verordnungen oder Richtlinien nach sich.
Bild 2: Anzupassende Verordnungen (Auszug)
Bild 3: Anzupassende Richtlinien (Auszug)
tomoro Taskforce Ansprechpartner: