DORA betrifft den EU-Finanzdienstleistungssektor, und diese Gesetzgebung ist dabei, in der Finanzindustrie Wellen zu schlagen. Hier ist ein Blick auf einige der DORA-Verpflichtungen, die Finanzinstitute einhalten müssen.

Der Finanzdienstleistungssektor ist seit langem ein technologischer Innovator und Vorreiter. Die Fortschritte im Bank- und Finanzwesen haben dazu geführt, dass die digitale Transformation in der Branche einen rasanten Aufschwung genommen hat. Aber neue Technologien und neue Arbeitsweisen locken Cyberkriminelle an. Das Ergebnis ist, dass die Angriffe auf den Finanzsektor in die Höhe schnellen.

Im Jahr 2021 erlebten Banken einenAnstiegvon 1.318% bei Ransomware-Angriffen und 65% der großen Finanzunternehmen waren im Jahr 2020 von einem Cyberangriff betroffen. Die Schwere der zunehmend komplexen und schädlichen Cyberangriffe im Finanzsektor hat dazu geführt, dass eine neue Gesetzgebung in das Lexikon der Finanzdienstleistungsregulierung aufgenommen wurde, die den Namen  DORA (Digital Operational Resilience Act).

DORA-Grundlagen

Der erste Entwurf der DORA wurde am 24. September 2020 veröffentlicht und am 10. September 2022 vom Europäischen Parlament gebilligt. Die Gesetzgebung wird eine zentrale Rolle im „digitalen Finanzpaket“ spielen, das dazu dient, Innovationen und Wettbewerb im Bereich der digitalen Finanzen zu ermöglichen und gleichzeitig die Risiken zu mindern, die sich aus der Digitalisierung der Branche ergeben.

Daher dient Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) als Rechtsgrundlage für DORA; die Gesetzgebung konzentriert sich auf die Harmonisierung von Cybersicherheitsrichtlinien im gesamten Sektor. 

Die EU nutzt gerne regulatorische Mittel, um bewährte Praktiken zu konsolidieren und zu harmonisieren; die GDPR ist ein Beispiel für eine harmonisierte Datenschutzverordnung; DORA ist der Versuch der EU, das IKT-Risikomanagement im gesamten Finanzsektor zu konsolidieren und zu verbessern, wobei sich DORA auf EU-Finanzdienstleistungsunternehmen und ihre (kritischen) IKT-Anbieter auswirkt.

DORA wird Unternehmen des Finanzsektors dazu verpflichten, Maßnahmen zu ergreifen, die sie vor IKT-bezogenen Risiken schützen: DORA erweitert die Anforderungen auf Dritte, wie z.B. Cloud-Anbieter.

Welche Verpflichtungen verlangt DORA vom Finanzsektor?

Ziel ist es, ein widerstandsfähiges Umfeld für das gesamte Ökosystem der Finanzdienstleistungen zu schaffen. Der DORA zugrunde liegende Rahmen basiert auf einer Reihe von Regeln, die den Finanzinstituten helfen sollen, robuste Risikomanagementprozesse zu entwickeln. Einige der Kernanforderungen und der Geltungsbereich von DORA umfassen Folgendes:

Umfang von DORA

Fast alle Arten von Finanzunternehmen fallen unter DORA. Zu den betroffenen Unternehmen gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Assets, alternative Investmentfonds, Versicherungsmanager usw. Eine Ausnahme bilden Wirtschaftsprüfer, die derzeit nicht unter die DORA-Bestimmungen fallen, aber das wird sich wahrscheinlich in zukünftigen Versionen des Gesetzes ändern. Eine vollständige Liste der betroffenen Unternehmen finden Sie in Artikel 2 von DORA.

IKT-Anbieter, die unter DORA fallende Unternehmen bedienen, müssen sich ebenfalls an das Gesetz halten. IKT-Anbieter werden als Dreh- und Angelpunkt des Finanzsektors betrachtet und unterliegen als solche strengen Regeln unter DORA. Kritische, nicht in der EU ansässige IKT-Dienstleister für Finanzunternehmen in der EU müssen eine Tochtergesellschaft in der EU gründen.

ICT-Anbieter und DORA

Das Risikomanagement von Drittanbietern ist ein wichtiger Bestandteil von DORA. Der Fokus auf IKT-Anbieter ist eine Reaktion auf die Zunahme von Angriffen auf die Lieferkette, wie z.B. das SolarWinds Orion Software-Update. Die Europäische Agentur für Cybersicherheit (ENISA) berichtet, dass die Angriffe auf die Lieferkette immer ausgefeilter und umfangreicher werden und dass Angreifer es auf die Lieferkette abgesehen haben, um Daten und finanzielle Vermögenswerte zu stehlen. DORA koordiniert die Anforderungen mit Hilfe bestehender Rahmenwerke wie den Outsourcing-Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA). (Siehe auch DORA Artikel 14)

Unter DORA können Finanzunternehmen einige IKT-Anbieter als „kritisch“ definieren. Ein kritischer IKT-Anbieter, der Dienstleistungen für ein von DORA erfasstes Unternehmen erbringt, unterliegt somit strengen Regeln, die durch eine direkte Zusammenarbeit mit den EU-Behörden für Finanzdienstleistungen (FS) durchgesetzt werden.

Wichtige Maßnahmen zur Cybersicherheit

Die Kernwerte der DORA-Gesetzgebung sind die Aufrechterhaltung widerstandsfähiger IKT-Systeme. Um dies zu erreichen, wurden die folgenden Richtlinien aufgestellt:

Risikomanagement und Resilienz

Das Kernstück von DORA sind Risikomanagement-Richtlinien, die dem Finanzdienstleistungssektor helfen sollen, widerstandsfähigere Infrastrukturen aufzubauen. Die daraus resultierenden Risikomanagement-Programme und -Bewertungen werden als Grundlage für die Prüfung der Widerstandsfähigkeit verwendet. Darüber hinaus erwartet die Gesetzgebung, dass Analysen der Auswirkungen auf den Geschäftsbetrieb auf der Grundlage von Szenarien für „schwere Geschäftsunterbrechungen“ durchgeführt werden müssen.

Es wird erwartet, dass Ausfallsicherheits- und Schwachstellentests von unabhängigen Experten durchgeführt werden und regelmäßige bedrohungsgesteuerte Penetrationstests beinhalten. Wichtig ist, dass alle kritischen IKT-Systeme jährlich getestet werden sollten.

Schutzmaßnahmen (siehe auch Artikel 8)

Beispiele für erforderliche Schutzmaßnahmen sind:

  • Verwenden Sie angemessene und umfassende Richtlinien für Patches und Updates.
  • Implementierung von Richtlinien und Protokollen für starke Authentifizierungsmechanismen
  • Verfolgen Sie einen risikobasierten Ansatz, um ein solides Netzwerk- und Infrastrukturmanagement aufzubauen.
  • Implementieren Sie Richtlinien, die den physischen und virtuellen Zugang zu IKT-Systemressourcen und Daten beschränken.
  • Verhindern Sie das Durchsickern von Informationen

ICT-Incident Management

Artikel 15 enthält Einzelheiten zu den Anforderungen an die Bewältigung und Kontrolle von Sicherheitsvorfällen, einschließlich Verfahren zur „Erkennung, Bewältigung und Meldung von IKT-bezogenen Vorfällen und zur Einrichtung von Frühwarnindikatoren als Warnhinweise“.

Meldung von Cybersicherheitsvorfällen

Abgedeckte Unternehmen müssen ein Mittel zur Überwachung, Beschreibung und Meldung signifikanter IKT-basierter Vorfälle an die zuständigen Behörden bereitstellen. Die Meldevorschriften sind für kritische IKT-Anbieter sehr streng. Sie sehen vor, dass eine erste Meldung spätestens bis zum Ende des Geschäftstages erfolgen muss, oder, wenn der erhebliche Vorfall später als 2 Stunden vor dem Ende des Geschäftstages eingetreten ist, spätestens 4 Stunden nach Beginn des nächsten Geschäftstages.

Danach ist spätestens eine Woche nach der ersten Meldung ein Zwischenbericht erforderlich, gefolgt von einem Abschlussbericht, wenn die Ursachenanalyse abgeschlossen ist, spätestens einen Monat nach der Übermittlung des ersten Berichts.

Verantwortlichkeit für Management und Sicherheit

DORA legt die Verantwortung für IKT-Risiken und Cyber-Bedrohungen in die Hände der Führungsebene von Finanzdienstleistern. Die Durchführung von Schulungen zum Sicherheitsbewusstsein wird dazu beitragen, dass die Führungsebene und das gesamte Unternehmen auf Sicherheit bedacht sind.

DORA deckt auch wesentliche Aspekte des Cybersicherheitsmanagements und der Reaktion darauf ab, wie etwa den Informationsaustausch (siehe Artikel 40).

Was kommt als nächstes für DORA?

Die Verordnung sieht eine 24-monatige Umsetzungsfrist für Finanzunternehmen und ihre kritischen Drittdienstleister ab Inkrafttreten der Gesetzgebung vor. Daher wird den betroffenen Unternehmen empfohlen, die 24 Monate zwischen dem Inkrafttreten der Gesetzgebung und der Umsetzung der entsprechenden Maßnahmen zu nutzen, um eine Lückenanalyse durchzuführen: Maßnahmen wie bedrohungsorientierte Penetrationstests und strenge Meldevorschriften könnten sonst durch diese Lücke fallen.

Schulungen zum Sicherheitsbewusstsein für Drittanbieter