Mit dem am 16. Januar 2023 in Kraft getretenen Digital Operational Resilience Act (DORA) [pdf] soll den wachsenden Cyberrisiken begegnet werden. Das Rahmenwerk hat zum Ziel, nationale Standards zu konsolidieren und für digitale Betriebsstabilität von EU-Finanzunternehmen zu sorgen. Konkret soll DORA sie in die Lage versetzen, auf Störungen und Bedrohung angemessen zu reagieren. Die Verordnung adressiert explizit Non-Financial Risks (NFR) und trägt damit der Tatsache Rechnung, dass diese in der Risikolandkarte von Finanzinstituten gegenüber Financial Risks immer mehr an Relevanz gewinnen.
Wer ist von DORA betroffen?
DORA – ab wann müssen die Anforderungen umgesetzt werden?
Da es sich um eine Verordnung handelt, gilt DORA ohne weitere Umsetzungsakte unmittelbar in den Mitgliedsstaaten. Für die Implementierung durch die betroffenen Finanzunternehmen ist eine 24-monatige Frist bis zum 17. Januar 2025 vorgesehen.
24.09.2020: Die EU-Kommission veröffentlicht den DORA-Entwurf.
Das EU-Parlament erstellt den Bericht für das Verhandlungsmandat im Trilog (Rat, Kommission und Parlament).
24.06.2022: Kompromiss zwischen EU-Rat und EU-Parlament.
10.11.2022: Annahme des finalen Textes der Verordnung.
27.12.2022: Veröffentlichung im EU-Amtsblatt.
16.01.2023: DORA tritt in Kraft
Die Aufsichtsbehörde legt technische Regulierungs- und Durchführungsstandards fest. Sie enthalten Spezifikationen und Anleitungen für die Umsetzung der DORA-Anforderungen.
Entwürfe bis 17.01.2024:
- Einzelheiten zum IKT-Risikomanagement
- Details zur Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
Entwürfe bis 17.07.2024:
- Details zur Berichtspflicht (z.B. Termine und Formate)
- Einzelheiten zu erweiterten Tests von Tools, Systemen und Prozessen auf Basis von Threat Led Penetration Testing
- Details zum Management des IKT-Drittparteienrisikos sowie Vorgaben für ein Register
- Spezifizierungen zur Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister
17.01.2025: Anwendung der Verordnung.
Die Handlungsfelder von DORA
DORA adressiert vor allem die folgenden fünf zentralen Kernthemen:
- Vereinheitlichung und Verbesserung des IKT-Risikomanagements
- Einrichtung und Pflege belastbarer Systeme und Werkzeuge
- Identifizierung, Klassifizierung und Dokumentation kritischer Funktionen
- Erweiterte und vereinheitlichte Meldepflichten
- Test sind zu protokollieren
- Vorfälle/Störungen müssen klassifiziert und geclustert werden
- Jährliche Tests von Werkzeugen und Systemen
- Durchführung bedrohungsgesteuerter Penetrationstests
- Spezifizierung institutsindividueller Präventionsmaßnahmen
- Risikomanagement von Dienstleistungspartnern
- Kritische IKT-Drittdienstleister unterliegen zukünftig EU-Aufsichtsrahmen
- Vollständiges Auslagerungsverzeichnis
- Regelungen zum Informationsaustausch über Cyberbedrohungen zwischen Finanzunternehmen
- Aufsichtsbehörde stellt anonymisierte Erkenntnisse über Cyberbedrohung zur Verfügung
Hier ist ein erhöhter Umsetzungsaufwand zu erwarten
Viele der Vorgaben von DORA überschneiden sich mit bereits bekannten Regularien (z.B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/ZAIT und EBA-Guidelines). Allerdings beinhaltet das Rahmenwerk einige Verschärfungen – v.a. mit Blick auf die Themen „Kritische IKT-Dienstleister“ und „Belastbarkeitstests“:
1. Kritische IKT-Dienstleister
IKT-Drittdienstleister, die mit kritischen Funktionen befasst sind, rücken mit DORA deutlich in den Fokus. Sie sind zu identifizieren, in einem Auslagerungsverzeichnis bzw. Informationsregister zu erfassen und speziell zu beaufsichtigen. In diesem Kontext sind Finanzunternehmen auch explizit dazu aufgefordert, das Konzentrationsrisiko bei Drittanbietern zu berücksichtigen. Zudem wird mit DORA erstmals eine direkte Aufsicht für kritische IKT-Drittdienstleister durch eine europäische Aufsichtsbehörde eingeführt. Deren Durchgriffsrechte wachsen damit erheblich – bis hin zur Befugnis, die Kündigung von Verträgen anzuordnen.
IT-Governance, IT-Risikomanagement und IT-Compliance
2. Belastbarkeitstests
DORA bringt eine Steigerung der Frequenz bei Penetrations- und Belastungstests der digitalen Resilienz mit sich. Systeme und Werkzeuge müssen jährlich getestet werden; alle drei Jahre sind darüber hinaus bedrohungsorientierte Penetrationstests (TLPT) durchzuführen – und zwar von einer entsprechend qualifizierten und unabhängigen Stelle. Hierzu wird es ein Rahmenwerk mit Anforderungen geben. Finanzunternehmen ist es dabei sicher zu empfehlen, ihre risikobasierten Testprogramme bereits frühzeitig zu stärken und sich dabei an TIBER-DE / TIBER-EU zu orientieren.
Exkurs: TIBER-DE / TIBER-EU
Machbarer Aufwand
Mit DORA unterliegt die digitale Resilienz im Finanzsektor erstmals einheitlichen Regeln. Der individuelle Umsetzungsaufwand hängt dabei stark von der Unternehmensgröße, den Risiken des Geschäftsmodells sowie dem aktuellen Status quo der digitalen Resilienz ab. Wie bereits ausgeführt, werden vor allem die Themen „Auslagerung“ und „Belastbarkeitstests“ in den Fokus rücken, wobei Finanzinstitute, welche BAIT/VAIT/ZAIT bereits konsequent umsetzen, beim Thema „Auslagerung“ einen klaren Vorteil haben werden.
Lesen Sie mehr dazu: Die BAIT definieren die Anforderungen der Aufsicht an die Informationssicherheit in Banken – so helfen sie Cyberangriffen vorzubeugen.
Unter dem Strich wird das IT-Risikomanagement mit DORA noch komplexer und es gilt, nicht nur den Überblick zu behalten, sondern das Thema aktiv zu steuern. Hierbei kann eine Governance, Risk und Compliance Software wie z.B. PASS GRC unterstützen.
Die Anforderungen von DORA decken sich im Übrigen in weiten Teilen mit der neuen EU-Verordnung zur Cybersicherheit NIS2. Sprich: Viele Finanzunternehmen schlagen hier zwei Fliegen mit einer Klappe.
Exkurs: NIS2
Bildquelle: Shutterstock