DORA betrifft den EU-Finanzdienstleistungssektor, und diese Gesetzgebung ist dabei, in der Finanzindustrie Wellen zu schlagen. Hier ein Blick auf einige der DORA-Verpflichtungen, die Finanzinstitute einhalten müssen.
Der Finanzdienstleistungssektor ist seit langem ein technologischer Innovator und Vorreiter. Die Fortschritte im Bank- und Finanzwesen haben dazu geführt, dass der digitale Wandel in der Branche rasant vorangekommen ist. Doch neue Technologien und neue Arbeitsweisen locken Cyberkriminelle an. Das Ergebnis ist, dass die Angriffe auf den Finanzsektor sprunghaft ansteigen.
Im Jahr 2021 verzeichnete das Bankwesen einenAnstieg der Ransomware-Angriffeum 1.318 % , und 65 % der großen Finanzorganisationen waren 2020 von einem Cyberangriff betroffen. Die Schwere der immer komplexeren und schädlicheren Cyberangriffe im Finanzsektor hat dazu geführt, dass eine neue Gesetzgebung in das Lexikon der Finanzdienstleistungsregulierung aufgenommen wurde, die den Namen DORA (Digital Operational Resilience Act) trägt.
DORA-Grundlagen
Der erste Entwurf der DORA wurde am 24. September 2020 veröffentlicht und am 10. September 2022 vom Europäischen Parlament gebilligt. Die Gesetzgebung wird eine zentrale Rolle im "digitalen Finanzpaket" spielen, das Innovation und Wettbewerb im Bereich der digitalen Finanzen ermöglichen und gleichzeitig die Risiken, die sich aus der Digitalisierung der Branche ergeben, abfedern soll.
Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) dient daher als Rechtsgrundlage für DORA; die Gesetzgebung konzentriert sich auf die Harmonisierung von Cybersicherheitsrichtlinien im gesamten Sektor.
Die EU nutzt gerne regulatorische Mittel, um bewährte Praktiken zu konsolidieren und zu harmonisieren; die GDPR ist ein Beispiel für eine harmonisierte Datenschutzverordnung; DORA ist der Versuch der EU, das IKT-Risikomanagement im gesamten Finanzsektor zu konsolidieren und zu verbessern, wobei sich DORA auf EU-Finanzdienstleistungsunternehmen und ihre (kritischen) IKT-Anbieter auswirkt.
DORA wird Unternehmen des Finanzsektors dazu verpflichten, Maßnahmen zum Schutz vor IKT-bezogenen Risiken zu ergreifen: DORA erweitert die Anforderungen auf Dritte, wie z. B. Cloud-Anbieter.
Welche Verpflichtungen verlangt DORA vom Finanzsektor?
Ziel ist es, ein widerstandsfähiges Umfeld für das gesamte Ökosystem der Finanzdienstleistungen zu schaffen. Der DORA zugrunde liegende Rahmen basiert auf einer Reihe von Regeln, die den Finanzinstituten helfen sollen, robuste Risikomanagementverfahren zu entwickeln. Zu den Kernanforderungen und dem Geltungsbereich von DORA gehören u. a. die folgenden:
Anwendungsbereich von DORA
Nahezu alle Arten von Finanzunternehmen fallen unter die DORA. Zu den betroffenen Unternehmen gehören Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Assets, alternative Investmentfonds, Versicherungsmanager usw. Eine Ausnahme bilden Wirtschaftsprüfer, die derzeit nicht unter die DORA-Vorschriften fallen, was sich jedoch in künftigen Fassungen des Gesetzes wahrscheinlich ändern wird. Eine vollständige Liste der erfassten Einrichtungen findet sich in Artikel 2 des DORA.
IKT-Anbieter, die Dienstleistungen für unter das DORA fallende Unternehmen erbringen, müssen sich ebenfalls an das Gesetz halten. IKT-Anbieter werden als Dreh- und Angelpunkt des Finanzsektors betrachtet und unterliegen als solche strengen Regeln im Rahmen von DORA. Kritische, nicht in der EU ansässige IKT-Dienstleister für Finanzunternehmen in der EU müssen eine Tochtergesellschaft in der EU gründen.
ICT-Anbieter und DORA
Das Risikomanagement für Dritte ist ein wichtiger Bestandteil von DORA. Die Konzentration auf IKT-Anbieter ist eine Reaktion auf die Zunahme von Angriffen auf die Lieferkette, wie z. B. das SolarWinds Orion Software-Update. Die Agentur der Europäischen Union für Cybersicherheit (ENISA) meldete, dass die Angriffe auf die Lieferkette immer raffinierter und umfangreicher werden, wobei die Angreifer die Lieferkette ins Visier nehmen, um Daten und finanzielle Vermögenswerte zu stehlen. DORA koordiniert die Anforderungen mit Hilfe bestehender Rahmenwerke wie den Outsourcing-Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA). (Siehe auch DORA Artikel 14)
Im Rahmen von DORA können Finanzunternehmen einige IKT-Anbieter als "kritisch" einstufen. Ein kritischer IKT-Anbieter, der Dienstleistungen für ein von der DORA erfasstes Unternehmen erbringt, unterliegt somit strengen Vorschriften, die in direkter Zusammenarbeit mit den EU-Behörden für Finanzdienstleistungen (FS) durchgesetzt werden.
Wichtige Maßnahmen zur Cybersicherheit
Die Kernwerte der DORA-Gesetzgebung sind die Aufrechterhaltung widerstandsfähiger IKT-Systeme. Um dies zu erreichen, wurden die folgenden Leitlinien aufgestellt:
Risikomanagement und Resilienz
Das Kernstück von DORA sind Risikomanagement-Leitlinien, die dem Finanzdienstleistungssektor helfen sollen, widerstandsfähigere Infrastrukturen aufzubauen. Die daraus resultierenden Risikomanagementprogramme und -bewertungen dienen als Grundlage für die Prüfung der Widerstandsfähigkeit. Darüber hinaus erwartet der Gesetzgeber, dass Analysen der Auswirkungen auf den Geschäftsbetrieb auf der Grundlage von Szenarien für "schwere Geschäftsunterbrechungen" durchgeführt werden müssen.
Es wird erwartet, dass Ausfallsicherheits- und Schwachstellentests von unabhängigen Experten durchgeführt werden und regelmäßige bedrohungsgesteuerte Penetrationstests beinhalten. Wichtig ist, dass alle kritischen IKT-Systeme jährlich getestet werden sollten.
Schutzmaßnahmen (siehe auch Artikel 8)
Beispiele für erforderliche Schutzmaßnahmen sind:
- Verwenden Sie angemessene und umfassende Richtlinien für Patches und Updates.
- Implementierung von Richtlinien und Protokollen für starke Authentifizierungsmechanismen
- Verfolgen Sie einen risikobasierten Ansatz, um ein solides Netz- und Infrastrukturmanagement aufzubauen.
- Umsetzung von Richtlinien, die den physischen und virtuellen Zugang zu IKT-Systemressourcen und -Daten begrenzen
- Verhindern von Informationsverlusten
ICT-Störfallmanagement
Artikel 15 enthält Einzelheiten zu den Anforderungen an die Bewältigung und Kontrolle von Sicherheitsvorfällen, einschließlich Verfahren zur "Erkennung, Bewältigung und Meldung von IKT-bezogenen Vorfällen und Einrichtung von Frühwarnindikatoren als Warnhinweise".
Meldung von Cybersicherheitsvorfällen
Die betroffenen Unternehmen müssen ein Mittel zur Überwachung, Beschreibung und Meldung aller wesentlichen IKT-gestützten Vorfälle an die zuständigen Behörden bereitstellen. Für kritische IKT-Anbieter gelten strenge Meldevorschriften. Sie sehen vor, dass eine erste Meldung spätestens bis zum Ende des Geschäftstages erfolgen muss, oder, wenn der erhebliche Vorfall später als zwei Stunden vor Ende des Geschäftstages eingetreten ist, spätestens vier Stunden nach Beginn des nächsten Geschäftstages.
Spätestens eine Woche nach der ersten Meldung muss ein Zwischenbericht vorgelegt werden, gefolgt von einem Abschlussbericht, wenn die Ursachenanalyse abgeschlossen ist, spätestens einen Monat nach Übermittlung des ersten Berichts.
Management und Sicherheitsverantwortung
DORA legt die Verantwortung für IKT-Risiken und Cyber-Bedrohungen in die Hände der Führungsebene von Finanzdienstleistern. Die Durchführung von Schulungen zum Sicherheitsbewusstsein trägt dazu bei, dass die Führungsebene und das gesamte Unternehmen sicherheitsorientiert sind.
DORA deckt auch wesentliche Aspekte des Cybersicherheitsmanagements und der Reaktion darauf ab, wie etwa den Informationsaustausch (siehe Artikel 40).
Wie geht es weiter mit DORA?
Die Verordnung sieht eine 24-monatige Umsetzungsfrist für Finanzunternehmen und ihre kritischen Drittdienstleister ab dem Inkrafttreten der Gesetzgebung vor. Daher wird den betroffenen Unternehmen empfohlen, die 24 Monate zwischen dem Inkrafttreten der Verordnung und der Umsetzung der entsprechenden Maßnahmen zu nutzen, um eine Lückenanalyse durchzuführen: Maßnahmen wie bedrohungsorientierte Penetrationstests und strenge Meldevorschriften könnten andernfalls durch diese Lücke fallen.
