DORA: Alle wichtigen Informationen auf einen Blick

Der Digital Operational Resilience Act (DORA) soll die Cybersicherheit erhöhen und die Resilienz stärken. Diese Anforderungen kommen auf den Finanzsektor zu.

Mit dem am 16. Januar 2023 in Kraft getretenen Digital Operational Resilience Act (DORA) [pdf] soll den wachsenden Cyberrisiken begegnet werden. Das Rahmenwerk hat zum Ziel, nationale Standards zu konsolidieren und für digitale Betriebsstabilität von EU-Finanzunternehmen zu sorgen. Konkret soll DORA sie in die Lage versetzen, auf Störungen und Bedrohung angemessen zu reagieren. Die Verordnung adressiert explizit Non-Financial Risks (NFR) und trägt damit der Tatsache Rechnung, dass diese in der Risikolandkarte von Finanzinstituten gegenüber Financial Risks immer mehr an Relevanz gewinnen.

Inhaltsverzeichnis

Wer ist von DORA betroffen?

Der Digital Operational Resilience Act betrifft EU-weit über 22.000 Finanzunternehmen – darunter Banken, Versicherer, Versicherungsvermittler, Wertpapierfirmen, Dienstleister für Crypto-Assets aber auch IKT-Drittanbieter (z.B. Clouddienstleister). Ausgenommen sind gemäß Art. 2 Abs. 3 der DORA-Verordnung einzelne Unternehmensgruppen wie z.B. Verwalter alternativer Investmentfonds oder Einrichtungen der betrieblichen Altersversorgung. Teile der DORA-Vorgaben sind zudem abhängig von der Unternehmensgröße umzusetzen. Hier ist demzufolge jeweils eine individuelle Prüfung notwendig, welche Anforderungen wirklich umgesetzt werden müssen.

DORA – ab wann müssen die Anforderungen umgesetzt werden?

Da es sich um eine Verordnung handelt, gilt DORA ohne weitere Umsetzungsakte unmittelbar in den Mitgliedsstaaten. Für die Implementierung durch die betroffenen Finanzunternehmen ist eine 24-monatige Frist bis zum 17. Januar 2025 vorgesehen.

24.09.2020: Die EU-Kommission veröffentlicht den DORA-Entwurf.

2020

Das EU-Parlament erstellt den Bericht für das Verhandlungsmandat im Trilog (Rat, Kommission und Parlament).

2021

24.06.2022: Kompromiss zwischen EU-Rat und EU-Parlament.

10.11.2022: Annahme des finalen Textes der Verordnung.

27.12.2022: Veröffentlichung im EU-Amtsblatt.

2022

16.01.2023: DORA tritt in Kraft

Die Aufsichtsbehörde legt technische Regulierungs- und Durchführungsstandards fest. Sie enthalten Spezifikationen und Anleitungen für die Umsetzung der DORA-Anforderungen.

Entwürfe bis 17.01.2024:

  • Einzelheiten zum IKT-Risikomanagement
  • Details zur Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen

Entwürfe bis 17.07.2024:

  • Details zur Berichtspflicht (z.B. Termine und Formate)
  • Einzelheiten zu erweiterten Tests von Tools, Systemen und Prozessen auf Basis von Threat Led Penetration Testing
  • Details zum Management des IKT-Drittparteienrisikos sowie Vorgaben für ein Register
  • Spezifizierungen zur Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister
2023/2024

17.01.2025: Anwendung der Verordnung.

2025

Seit Oktober 2023 stellt die BaFin auf einer Plattform regelmäßig Informationen zum DORA-Regelwerk und dessen Umsetzung bereit. Darüber hinaus fand im Dezember 2023 die BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“ statt – die Vortragsunterlagen stehen hier zum Download bereit.

Die Handlungsfelder von DORA

DORA adressiert vor allem die folgenden fünf zentralen Kernthemen:

  • Vereinheitlichung und Verbesserung des IKT-Risikomanagements
  • Einrichtung und Pflege belastbarer Systeme und Werkzeuge
  • Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen
  • Erweiterte und vereinheitlichte Meldepflichten
  • Test sind zu protokollieren
  • Vorfälle/Störungen müssen klassifiziert und geclustert werden
  • Jährliche Tests von Werkzeugen und Systemen
  • Durchführung bedrohungsgesteuerter Penetrationstests
  • Spezifizierung institutsindividueller Präventionsmaßnahmen
  • Risikomanagement von Dienstleistungspartnern
  • Kritische IKT-Drittdienstleister unterliegen zukünftig EU-Aufsichtsrahmen
  • Vollständiges Auslagerungsverzeichnis
  • Regelungen zum Informationsaustausch über Cyberbedrohungen zwischen Finanzunternehmen
  • Aufsichtsbehörde stellt anonymisierte Erkenntnisse über Cyberbedrohung zur Verfügung

Aktuelle DORA-Aktivitäten in Deutschland

Das Bundesministerium der Finanzen veröffentlichte am 23. Oktober 2023 das Gesetz über die Digitalisierung des Finanzmarktes (FinmadiG). Der Referentenentwurf dient der nationalen Umsetzung gleich mehrerer europäischer Regulierungen: Neben dem DORA-Paket sind dies MiCA (Markets in Crypto Assets, Verordnung (EU) 2023/1114) sowie die Neufassung der EU-Geldtransferverordnung (Transfer of Funds Regulation, Verordnung (EU) 2023/1113).

Hinter den Kulissen bereiten sich zudem sowohl die BaFin als auch die Deutsche Bundesbank auf DORA vor. Das umfasst u.a. die Anpassung der Aufsichts- und Verwaltungspraxis sowie die Implementierung von IT-Prozessen und -Systemen. Die BaFin, die bereits heute als nationaler Melde-Hub für ITK-Vorfälle fungiert, nimmt zukünftig auch Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen. Diese wird sie mit Blick auf potenzielle Risiken für den Finanzsektor analysieren. Es ist davon auszugehen, dass dafür die bereits vorhandene Melde- und Veröffentlichungsplattform MVP-Portal entsprechend erweitert wird. 

Hier ist ein erhöhter Umsetzungsaufwand zu erwarten

Viele der Vorgaben von DORA überschneiden sich mit bereits bekannten Regularien (z.B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/ZAIT und EBA-Guidelines). Allerdings beinhaltet das Rahmenwerk einige Verschärfungen – v.a. mit Blick auf die Themen „Kritische IKT-Dienstleister“ und „Belastbarkeitstests“:

1. Kritische IKT-Dienstleister

IKT-Drittdienstleister, die im Sinne der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) kritische Infrastrukturleistungen erbringen, rücken mit DORA deutlich in den Fokus. Ziel sind sektorübergreifend harmonisierte Anforderungen an das ITK-Drittparteienrisikomanagement. Als kritisch oder wichtig werden dabei Funktionen definiert, deren Ausfall eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit, der Geschäftsfortführung oder regulatorischer Art darstellen würde. Sie sind zu identifizieren, in einem Auslagerungsverzeichnis bzw. Informationsregister zu erfassen und speziell zu beaufsichtigen. In diesem Kontext sind Finanzunternehmen auch explizit dazu aufgefordert, das Konzentrationsrisiko bei Drittanbietern zu berücksichtigen. Zudem wird mit DORA erstmals eine direkte Aufsicht für kritische IKT-Drittdienstleister durch eine europäische Aufsichtsbehörde eingeführt. Deren Durchgriffsrechte wachsen damit erheblich – bis hin zur Befugnis, die Kündigung von Verträgen anzuordnen.

IT-Governance, IT-Risikomanagement und IT-Compliance

Mit seiner GRC Suite hat PASS eine gute Grundlage für das integrierte Management von Steuerungsvorgaben, Risiken, internen wie externen Prüfungen sowie die Überwachung von KPIs geschaffen. Dabei können die Module der GRC Suite an jede Institutsgröße angepasst werden und sind erweiterbar, beispielsweise um ein Auslagerungs- und ein Vertragsregister.
Tipp!

2. Belastbarkeitstests

DORA bringt eine Steigerung der Frequenz bei Penetrations- und Belastungstests der digitalen Resilienz mit sich. Systeme und Werkzeuge müssen jährlich getestet werden. Finanzunternehmen, die von gewisser systemischer Relevanz sind, müssen zudem alle drei Jahre durch eine entsprechend qualifizierte und unabhängige Stelle bedrohungsorientierte Penetrationstests (TLPT) durchführen lassen. Hierzu wird es ein Rahmenwerk mit Anforderungen geben – geplant ist die Konsultation des technischen Regulierungsstandard zu TLPT (Art. 26 (11) DORA) ab Dezember 2023.

Finanzunternehmen ist es dabei sicher zu empfehlen, ihre risikobasierten Testprogramme bereits frühzeitig zu stärken und sich dabei an TIBER-DE / TIBER-EU zu orientieren. Zu den TLPT verpflichtete Finanzunternehmen werden von den zuständigen Behörden unter Berücksichtigung des Proportionalitätsprinzips identifiziert und entsprechend informiert. 

Wie setzt PASS die Anforderungen von DORA um?

Mit DORA wurden viele Anforderungen übernommen, die auch in Informationssicherheitsstandards wie der ISO/IEC 27001 festgelegt sind. Die Erfüllung dieser Anforderungen durch PASS wird seit über zehn Jahren im Rahmen jährlicher Rezertifizierungsaudits überprüft. Um der technischen Entwicklung Rechnung zu tragen, haben wir unser Information Security Management System (ISMS) bereits Mitte 2023 auf die aktuelle Version der Norm ISO/IEC 27001:2022 umgestellt.

Angesichts der Bedrohungslage liegt die Verbesserung der digitalen operationalen Resilienz vollständig in unserem Interesse. Dabei gehören risikoorientierte Penetrationstests bereits längere Zeit zu unseren Standardprozessen. Wir sehen jedoch Handlungsbedarf beim künftigen Vorgehen zu bedrohungsorientierten Penetrationstests (TLPT), wie sie von DORA gefordert werden. Unser Ziel ist es, auf der Grundlage von Artikel 26 (4), der die Durchführung eines gebündelten TLPT für mehrere Finanzunternehmen durch einen externen, vom ITK-Dienstleister beauftragten Tester ermöglicht (Pooled Testing), ein rechtskonformes und praktikables Szenario für uns und unsere Kunden zu implementieren.

Insgesamt sehen wir uns beim Thema DORA gut aufgestellt und wir erwarten mit Spannung die Ergebnisse der Konsultationen und Präzisierungen der Leitlinien insbesondere zu den TLPT in der zweiten Jahreshälfte. Lesen Sie hierzu auch meinen Beitrag "DORA – das zweite Paket technischer Regulierungsstandards" vom 27.02.2024, der die neuen Standards zur Vergabe von Unteraufträgen für IKT-Dienstleistungen sowie für bedrohungsorientierte Penetrationstests (TLPT) beleuchtet.

Stefan Luckhaus, Leiter der PASS Innenrevision

Machbarer Aufwand von DORA

Mit DORA unterliegt die digitale Resilienz im Finanzsektor erstmals einheitlichen Regeln. Der individuelle Umsetzungsaufwand hängt dabei stark von der Unternehmensgröße, den Risiken des Geschäftsmodells sowie dem aktuellen Status quo der digitalen Resilienz ab. Wie bereits ausgeführt, werden vor allem die Themen „Auslagerung“ und „Belastbarkeitstests“ in den Fokus rücken, wobei Finanzinstitute, welche BAIT/VAIT/ZAIT bereits konsequent umsetzen, beim Thema „Auslagerung“ einen klaren Vorteil haben werden. 

Lesen Sie mehr dazu: Die BAIT definieren die Anforderungen der Aufsicht an die Informationssicherheit in Banken – so helfen sie Cyberangriffen vorzubeugen.

Unter dem Strich wird das IT-Risikomanagement mit DORA noch komplexer und es gilt, nicht nur den Überblick zu behalten, sondern das Thema aktiv zu steuern. Hierbei kann eine Governance, Risk und Compliance Software wie z.B. PASS GRC unterstützen.

Die Anforderungen von DORA decken sich im Übrigen in weiten Teilen mit der neuen EU-Verordnung zur Cybersicherheit NIS2. Sprich: Viele Finanzunternehmen schlagen hier zwei Fliegen mit einer Klappe.  

Exkurs: NIS2

NIS2 (Network and Information Security 2) trat am 16. Januar 2023 in Kraft und wird die seit 2016 geltende Richtlinie zur Netz- und Informationssicherheit (NIS) ersetzen. Sie definiert einheitliche Mindeststandards für die Cybersicherheit kritischer Infrastrukturen in der EU und hat zum Ziel, sie besser vor Cyberbedrohungen zu schützen. Um Rechtsklarheit und Kohärenz zu gewährleisten, wurde NIS2 an sektorspezifische Rechtsvorschriften angepasst – so auch an DORA. EU-Staaten müssen NIS2 bis Oktober 2024 in nationales Recht überführen.

Dieser Artikel zum Thema DORA wurde am 3. April 2023 erstmalig veröffentlicht und am 29. Januar 2024 aktualisiert.

Bildquelle: Shutterstock

Schreibe einen Kommentar