DORA – jetzt wird´s ernst
Der „Digital Operational Resilience Act“ (DORA), also die Verordnung über die digitale operationale Resilienz im Finanzsektor, ist die europäische Antwort auf den digitalen Wandel und die damit stark gestiegenen Cyberbedrohungen. Derzeit befinden wir uns mitten in der Umsetzungsphase der Verordnung, die vor über einem Jahr in Kraft getreten ist. Doch wie ist der aktuelle Stand und was bedeutet er für Finanzunternehmen?
Neben der Erkennung, Dokumentation und Behebung von IKT-bezogenen Vorfällen und erheblichen Cyberbedrohungen steht auch der angemessene Umgang mit der zunehmenden Abhängigkeit des Finanzsektors von Drittanbietern im Fokus von DORA. Die Vorgaben der EU-Verordnung sind dazu gedacht, das Finanzsystem in der EU in die Lage zu versetzen, die Betriebsstabilität im Falle einer schwerwiegenden Störung aufrechtzuerhalten. Die Konsequenzen, die daraus zu ziehen sind, bestehen im Wesentlichen aus einem umfassend harmonisierten IKT-Risikomanagementrahmen, der Ausweitung und Vereinheitlichung der Meldepflichten von schwerwiegenden IKT-bezogener Vorfällen und die Schaffung eines europäischen Überwachungsrahmens für unternehmenskritische IKT-Drittdienstleister. So weit, so klar – zumindest theoretisch.
DORA finalisiert
Die drei ESAs (Europäische Bankenaufsichtsbehörde, Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung sowie die Europäische Wertpapier- und Marktaufsichtsbehörde) haben nun die ersten finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards zu DORA veröffentlicht. Und die sind gar nicht so ohne. Aber was hat sich im Vergleich zu vorangegangenen Fassungen geändert? Die Aktualisierungen im Überblick:
- Was genau Unternehmen bei einem IKT-bezogener Vorfall melden müssen, ist nun detaillierter dargestellt. In Deutschland wird sehr wahrscheinlich die BaFin die entsprechende Meldebehörde sein.
- Die Meldearten und Zeitvorgaben zur Meldepflicht wurden konkretisiert und orientieren sich an den Richtlinien, die bereits in NIS-2, der verbindlichen Cybersicherheits-Richtlinie der EU, implementiert sind. Erst- und Zwischenmeldung müssen innerhalb von 24 bzw. 72 Stunden nach dem Vorfall abgegeben sein, die Abschlussmeldung innerhalb eines Monats.
- Was vorher vielleicht nicht allen klar war und noch einmal geschärft wurde: Ausnahmslos alle Finanzinstitutionen sind von DORA betroffen – also auch Abwickler, Kapitalanalyse-Unternehmungen oder Kryptoverwahrer.
- Außerdem Detailveränderungen im Test der digitalen operationalen Resilienz, also weit mehr als Penetration Testing (Prüfung der Resilienz von Unternehmenssystemen mithilfe simulierter Bedrohungsszenarien): Blue Teams (diese übernehmen im Test üblicherweise die Seite der Verteidiger) und Red Teams (Angreiferseite) dürfen nunmehr gemischt und zum Purple Team werden. Als Kontrollinstanz ist ein White Team vorgesehen, das das Testing überwacht. Bestimmte Finanzinstitute sind verpflichtet, selbstständig mindestens alle drei Jahre erweiterte bedrohungsorientierte Penetrationstests durchzuführen.
Diese Anpassungen sind bereits sehr detailliert. Es gibt aber noch einen weiteren wesentlichen Punkt: Die Auseinandersetzung mit „ICT Third-parties“. Die aktuelle Fassung hat die wichtigsten Grundsätze für ein solides Risikomanagement von IKT-Drittanbietern noch einmal präzisiert und deren Rolle beim Risikomanagement hervorgehoben. Das Management des IKT-Drittparteien-risikos ist mit enormem Aufwand und Ressourceneinsatz verbunden, denn DORA nimmt die IT-Dienstleister der Finanzindustrie noch mehr in die Pflicht. Dies ist eine Folge des Lieferkettengesetzes: Unternehmen müssen die gesamte Supply Chain vom ersten Outsourcing bis zum letzten Zulieferer im Blick und im Griff haben.
Was sind die Konsequenzen für Finanzunternehmen?
Bei den Vertragsverhandlungen mit beispielsweise Cloud-Anbietern ist es wichtig, die regulatorischen Anforderungen umsetzen zu lassen – je früher, desto besser! Innerhalb des Unternehmens sollten Regulatorien und Verantwortlichkeiten selbstredend auch so schnell wie möglich umgesetzt werden, wenn noch nicht geschehen. Dabei ist es wichtig, den Aufwand nicht zu unterschätzen und die personellen Ressourcen angemessen zu planen. Denn bis Mitte Januar 2025 muss DORA jeweils auf nationaler Ebene umgesetzt sein. Das bedeutet einen großen Aufwand, für die IKT-Dienstleister, aber eben auch für ihre Kunden.
Deshalb: Sprechen Sie uns gerne an, wenn wir Sie bei der Umsetzung von DORA unterstützen können, Sie unsicher sind oder nicht ganz genau wissen, was auf Sie zukommt. Denn jetzt wird es ernst!
Für weitere Informationen rund um DORA können Sie auch unsere bisherigen Beiträge zum Thema lesen:
Risikomanagement nach DORA: Alles aus einem Guss
DORA: Neue Anforderungen an das Incident Management für IKT-Risiken