DORA: Weniger IT-Risiken, mehr Steuerung!
Mit der EU-Verordnung DORA steht Finanzunternehmen die nächste Regulierungsrunde ins Haus. Im Kern geht es um Transparenz bezüglich der IT-Risiken – insbesondere bei externen Providern. Das erinnert an die alte IT-Weisheit: „Verantwortung lässt sich nie auslagern.“
Am 24. September 2020 hat die EU-Kommission ihren Verordnungsentwurf mit dem Titel "Digital Operational Resilience Act“ (DORA) als Teil ihrer digitalen Finanzstrategie veröffentlicht. Eine endgültige Fassung der Verordnung wird voraussichtlich Ende 2022 in Kraft treten. Wir gehen von einer Umsetzungsfrist von etwa 24 Monaten aus. Dennoch sollten Unternehmen der Finanzbranche – Versicherungen und Rückversicherungen, Wertpapierfirmen sowie Kreditinstitute – DORA nicht auf die lange Bank schieben. Es gibt viel zu tun!
DORA zielt darauf ab, einen regulatorischen Rahmen für die digitale Widerstandsfähigkeit zu schaffen, damit alle Teilnehmer des Finanzsystems über die notwendigen Schutzmaßnahmen verfügen. So soll unter anderem das Risiko von Cyberangriffen reduziert werden. Zudem harmonisiert die Verordnung etwa Regelungen zur Prüfung der digitalen Betriebsstabilität, die Klassifizierung beziehungsweise das Reporting von IT-Vorfällen sowie das IT-Risikomanagement. Die Anforderungen gelten aber auch für kritische IT-Provider, die Services für Finanzunternehmen erbringen. Ein völlig neuer Aspekt ist hierbei, dass große Technologieunternehmen wie etwa Cloud-Provider nun unter direkter Kontrolle der Europäischen Aufsichtsbehörden stehen.
Wirksamere Steuerung von IT-Providern
Aus der Sicht der Finanzunternehmen bedeutet dies: Es gibt Handlungsbedarf, aber auch zusätzliche Chancen für das Management der IT-Lieferanten. So soll das Risiko externer Provider als integraler Bestandteil des Risikomanagementsystems gesteuert werden. Zu den Anforderungen, die sich auf Risikostrategie und - vorgaben für Drittanbieter beziehen, zählen Standards der Informationssicherheit, der Auditierung oder auch dokumentierte und getestete Exit-Pläne. Wir gehen davon aus, dass zusätzliche Anstrengungen vor allem bei der Umsetzung der folgenden Anforderungen bezüglich des Informationsregisters (Artikel 25 (4)) auf Finanzunternehmen zukommen:
Handlungsbedarf und Herausforderungen
Führen und aktualisieren Sie ihr Informationsregister in Bezug auf alle vertraglichen Vereinbarungen von IT-Dienstleistungen als Teil des Informationsverbunds. Wir erwarten hier komplexe Aufgaben für Unternehmen, die nun die Themen Informationsverbund, Schutzbedarfsanalyse und Auslagerungsregister miteinander verbinden müssen.
Unterscheiden Sie nachvollziehbar und gut dokumentiert zwischen vertraglichen Vereinbarungen, die kritische oder wichtige Funktionen abdecken, und solchen, die dies nicht tun.
Berichten Sie den Behörden mindestens einmal jährlich über die Anzahl der neuen Vereinbarungen und die Kategorien von IT-Anbietern, die Art der Verträge sowie die erbrachten Dienstleistungen.
Informieren Sie die zuständige Behörde über geplante Auslagerungen für kritische oder wichtigen Funktionen. Dies macht es notwendig, dass die Auslagerungsfunktion schon weit vor Vertragsabschluss von den auslagernden Fachabteilungen involviert wird.
DORA hebt die Bewertung des Provider-Konzentrationsrisikos unter Einbezug aller Sub-Lieferanten hervor. Das stellt in der Praxis die meisten Unternehmen vor große Herausforderungen, da sich die Anzahl der zu überwachenden Sublieferanten potenziert. So sollen bei der Risikobewertung unter anderem die Ersetzbarkeit von Service-Providern berücksichtigt werden, aber auch Risiken, die sich aus komplexen Ausgliederungsketten und dem möglicherweise daraus resultierenden Kontrollverlust ergeben.
Zudem werden in DORA die wichtigsten Vertragsbestimmungen festgelegt: Sie umfassen beispielsweise Bestimmungen über die Zugänglichkeit, die Verfügbarkeit, die Integrität, die Sicherheit und den Schutz personenbezogener Daten, die wichtigsten Indikatoren für Leistungen (KPIs) und Risiken (KRIs) sowie den Prozess des Incident-Managements.
Die praktische Erfahrung hat gezeigt, dass die Umsetzung der folgenden Anforderungen insbesondere bei Cloud-Anbietern zeitaufwendig ist und von den Dienstleistern die Kooperationsbereitschaft erfordert (Artikel 27 (2)):
Wichtige Vertragsbestimmungen und Herausforderungen
Erfordernis der Umsetzung und Prüfung sowie der Abstimmung des Notfallplans mit den IT-Dienstleistern – regulatorisch vorgeschrieben, aber sehr schwierig umzusetzen.
Vertragliche Festlegung der Rechte auf Zugang, Inspektion und Prüfung durch das Finanzinstitut und die Aufsichtsbehörde, einschließlich einer umfassenden Kooperation durch den Dienstleister.
Dokumentation von Ausstiegsstrategien, die eine ausreichende Übergangszeit mit fortgesetzter Leistungserbringung während des Wechsels zu einem anderen Anbieter oder zu On-Premises-Lösungen ermöglichen. Unsere Erfahrungen zeigen, dass nicht mehr nur Strategien, sondern auch detaillierte Ausstiegsprozesse erwartet werden.
Fazit: Statt neue Stellschrauben einzusetzen, konkretisiert und erweitert DORA die Grundsätze des Risikomanagements in Bezug auf IT-Dienstleister. Dies gilt für Unternehmen aus verschiedenen Finanzsektoren. Die Umsetzung dieser erweiterten Anforderungen wird zu zusätzlichen Anstrengungen führen, aber der Nutzen der direkten Aufsicht über die Anbieter kritischer Services wird unserer Meinung nach die Verhandlungs- und Steuerungsposition der auslagernden Finanzinstitute erheblich stärken.
Quelle Titelbild: AdobeStock/ lassedesignen