DORA – der EU Digital Operational Resilience Act
Maßnahmen zur Stärkung der Cyber-Resilienz des Finanzsystems
Cyberbedrohungen stellen ein erhebliches Risiko für das Finanzsystem dar. Durch die DORA-Verordnung wird ein ganzheitliches europäisches Regelwerk geschaffen, welche Schutzmaßnahmen zu treffen sind, um eine digitale und operationelle Widerstandsfähigkeit zu schaffen. Am 16.1.2023 ist DORA in Kraft getreten.
Ausgangspunkt
In der Finanzbranche bestanden in der Vergangenheit je nach Größe und Kritikalität schon verschiedene Anforderungen, die in diese Richtung gingen. Exemplarisch zu nennen sind die MaRisk/BAIT-Anforderungen der BaFin und die EBA Outsourcing Guidelines. Aufgrund der Bedeutung der Cyber-Security und des IT-Risikomanagements für das Finanzsystem werden die Anforderungen nun auf eine neue Stufe gehoben und die gesamte Branche in den Blick genommen – von der Bank über den Versicherungsvermittler bis hin zum IT-Dienstleister, der beispielsweise für eine Versicherung oder einen Krypto-Handelsplatz tätig ist.
Kernelement
Das Kernelement der DORA-Verordnung ist die Schaffung einheitlicher Anforderungen für die Sicherheit der Netz- und Informationssysteme von den im Finanzsektor tätigen Unternehmen und ihren IT-Dienstleistern. Die Verordnung enthält fünf Kernbereiche:
- IKT-Risikomanagement, also in der Informations- und Kommunikationstechnik
- Management von IKT-Vorfällen und Cyber-Security
- Digital Operational Resilience Testing
- Governance und Management von Drittparteien
- Informationsaustausch
Teilweise existieren Erleichterungen, z.B. für Kleinstunternehmen.
Die jüngsten Cyberangriffe und die zunehmende Digitalisierung haben gezeigt, dass es „zu sicher“ nicht gibt. Insofern fordert DORA IT-Security immer auf dem aktuellen Stand der Technik und mit einem ganzheitlichen Ansatz. Dies bedeutet, dass in einem Risikomanagementsystem für IKT Risiken identifiziert, quantifiziert und mitigiert werden müssen. Weiter muss das Ganze dokumentiert, überprüft und kontinuierlich verbessert werden. Folglich sind gegebenenfalls schon bestehende Einzelelemente aus dem IT-Risikomanagement wie Verschlüsselungen und Zugangskontrollen, das Existieren eines Notfallplans (Business-Continuity-Management – BCM) und Penetrationstests ein guter Anfang, aber nicht ausreichend. DORA fordert zudem u.a. Überwachung (Anomalieerkennung) und insbesondere ein ganzheitliches IT-Risikomanagement unter Einbeziehung der IT-Dienstleister auf einem hohen Reifegrad.
Betroffene Unternehmen
Die DORA-Verordnung umfasst sämtliche Finanzunternehmen. Der Begriff „Finanzunternehmen“ ist hierbei weit gefasst: Darunter fallen u.a. Kreditinstitute, E-Geld-Institute, Anbieter von Krypto-Dienstleistungen, aber auch Versicherungs- und Rückversicherungsunternehmen sowie Versicherungs- und Rückversicherungsvermittler.
Umsetzungstipps
Nach dem Inkrafttreten am 16.1.2023 hat die Finanzbranche zwei Jahre Umsetzungszeit. Zu Beginn des Jahres 2024 sollen technische Regulierungsstandards zwecks Klärung von Detailfragen veröffentlicht werden. Wir empfehlen, die Zeit zu nutzen und bereits jetzt eine Gap-Analyse durchzuführen und konkrete Handlungsfelder zu ermitteln sowie schrittweise den Reifegrad des IT-Risikomanagements zu erhöhen.
Wir helfen Ihnen u.a. wie folgt:
- Durchführung Gap-Analyse
- Würdigung juristischer Detailfragen
- Aufbau/Fortentwicklung IT-Risikomanagement
- Erstellung eines Notfallplans
- Durchführung von Penetrationstests
- Überprüfung bzw. Anpassung der IT-Verträge mit Dienstleistern
- Überwachung IT-Systeme (SOC as a Service)