Angesichts der zunehmenden Abhängigkeiten der Finanzbranche von der IT ist es von entscheidender Bedeutung, hier Betriebssicherheit zu gewährleisten. In diesem Zusammenhang hat die Europäische Union den ‚Regulation Digital Operational Resilience Act‘, kurz DORA ins Leben gerufen. Mit diesem Gesetzesvorhaben sollen die bisherigen nationalen Regelungen konsolidiert werden. Ziel ist es, bis zum Stichtag 17. Januar 2025 ein EU-weites, effektives und harmonisiertes Rahmenwerk zu schaffen.
DORA – so heißt die Initiative der EU zur kollektiven Harmonisierung und Absicherung der IT-Strukturen in der Branche der Finanzdienstleistungen. Traditionelle Marktakteure wie Banken, Versicherungen und Investmentgesellschaften werden von den Regelungen erfasst. Ebenso wie Fin- und BigTechs, die digitale Finanzdienstleistungen anbieten. Darüber hinaus sind IKT-Drittdienstleister dergestalt betroffen, so dass DORA im Vergleich zu den EBA-Leitlinien zu Auslagerungen und dem Management von IKT- und Sicherheitsrisiken einen größeren Anwendungsbereich schafft. Die DORA-Regulation legt klare Grundsätze für die digitale Betriebssicherheit fest und soll sicherstellen, dass Finanzinstitute den sich ändernden Bedrohungen und Risiken gewachsen sind.
Digital Operational Resilience Act – Resilienz als strategische Kernaufgabe
Für eine besseres Verständnis der DORA ist für betroffene Unternehmen unabdingbar die eigene digitale Resilienz ganzheitlich einzuordnen. Diese ist klar als strategische Aufgabe zu betrachten und nimmt somit direkten Einfluss auf die Leitlinien zu Governance, IT, Risikomanagement, BCM und Auslagerungsmanagement. Übergreifend ist es sinnvoll, eine dedizierte Position als ‚Chief Resilience Officer/Head of Resilience‘ als umfassende Organisationsfunktion zu etablieren. So werden die notwendigen Umsetzungspflichten der DORA bestmöglich strategisch mit der Managementebene aber auch operativ mit der 1st Line vereinbart.
Die fünf Säulen der DORA-Regulation und deren Handlungsfelder
Die DORA-Umsetzungspflichten sind in fünf Kernbereiche zu unterteilen. Diese ergänzen und erweitern bisher bekannte aufsichtsrechtliche Anforderungen.
(1) IKT-Risikomanagement
Im Zentrum von DORA steht die Schaffung eines umfassenden IKT-Risikomanagementrahmens. Dieser erlegt Unternehmen auf, IKT-Risiken frühzeitig zu identifizieren und effektiv darauf zu reagieren. Die Umsetzungspflichten dieses Kapitels umfassen verschiedene Aspekte wie die kontinuierliche Überwachung der Betriebsstabilität. Sowie auch die Implementierung von Mechanismen zur IKT-Prävention, -Erkennung und -Bewältigung. Und die Entwicklung von Kommunikationsstrategien für IKT-bezogene Vorfälle. Unternehmen sind ebenfalls dazu verpflichtet, präventive Tests der digitalen operativen Resilienz durchzuführen und Leitlinien für die Geschäftsfortführung zu erstellen. Hierbei müssen auch Sicherheitsziele, Risikotoleranzschwellen und Auswirkungstoleranzen festgelegt werden. Dabei müssen Finanzinstitute ihre aktuellen Betriebsprozesse überprüfen und eine gründliche Risikobewertung durchführen, um potenzielle Sicherheitsrisiken oder Datenschutzverletzungen zu identifizieren, was durch eine Compliance und Risikobewertung erfolgen kann. Ziel ist es, die IKT-Strategie eng mit den Unternehmenszielen zu verknüpfen und regelmäßig Berichte über die IKT-Risikomanagementprüfungen zu erstellen.
Durch kontinuierliche Überwachung der Betriebsstabilität, die Implementierung von IKT-Präventions- und -Bewältigungsmechanismen sowie die Durchführung präventiver Tests soll ein hohes Niveau an digitaler operativer Resilienz gewährleistet werden (zum Beispiel durch Erweiterung des bestehenden SIEM/SOC). Final wird die Geschäftsleitung bei der Steuerung und Verantwortung des IKT-Risikomanagements wesentlich stärker in die Pflicht genommen. Durch die verschärften Sanktionsmöglichkeiten der Aufsicht ist eine Delegation der Verantwortung folgenschwer.
(2) Handling IKT-bezogener Vorfälle
Mit einem weltweiten Allzeithoch an Cyberangriffen glänzte das Jahr 2022. Die Aufwendungen zur Bewältigung IKT-bezogener Vorfälle stiegen parallel signifikant an. Hinzu kamen umfangreiche Meldepflichten bei Eintreten und während der Behebungsphase derartiger Vorfälle. Unternehmen werden daher künftig im DORA Rahmen dazu verpflichtet, strukturiert und effektiv auf solche Vorfälle zu reagieren. Durch die kontinuierliche Überwachung der digitalen Betriebs-Stabilität, die Bewertung und Klassifizierung von Vorfällen sowie die Meldung an Behörden können angemessene Sicherheitsmaßnahmen ergriffen und potenzielle Schäden minimiert werden.
(3) Regelmäßige operationale Resilienz-Tests
Ein wichtiger Aspekt der DORA-Regulation ist die Durchführung von Belastbarkeitstests für IT-Systeme und Prozesse in Finanzunternehmen. Diese Tests sollen die Robustheit der Systeme und die Fähigkeit zur Bewältigung potenzieller IT-Schwachstellen überprüfen. Die Tests müssen regelmäßig stattfinden und verschiedene Aspekte wie Prävention, Erkennung, Reaktion und Wiederherstellungsfähigkeiten abdecken. Besonders bedeutende Finanzinstitute müssen auch bedrohungsgesteuerte Penetrationstests durchführen. Im Sinne der Datenintegrität und Geschäftskontinuität ist es unerlässlich, Verschlüsselungs- und Sicherheitsstandards zu überprüfen sowie die Effektivität des Berechtigungsmanagements zu gewährleisten.
Es ist absehbar, dass der Fokus auf TLPT*, die Abhängigkeit einer Validierung durch die zuständigen Behörden sowie die vertragliche Verpflichtung und Einbindung der IKT-Drittdienstleister zur Durchsetzung der Penetrationstests, zu deutlichen Mehraufwendungen führt.
(4) Management des IKT-Drittparteienrisikos
Die Auslagerung von IT-Dienstleistungen an Drittanbieter spielt eine wichtige Rolle in der Finanzbranche. DORA zielt darauf ab, Regeln für die Überwachung und Kontrolle des IT-Drittrisikos festzulegen. Finanzinstitute müssen sicherstellen, dass Verträge mit IT-Drittanbietern angemessene Schutzmaßnahmen enthalten und die Risiken wirksam kontrolliert werden können. Unternehmen sollen sicherstellen, dass Verträge mit IKT-Dienstleistern den notwendigen Standards entsprechen.
Es werden Mindestinhalte für vertragliche Vereinbarungen gefordert, die über die bereits bestehenden Richtlinien hinausgehen und besonders den sonstigen IT-Fremdbezug betreffen werden. Dementsprechend muss auch die Abhängigkeiten von IKT-bezogenen Dienstleistern und Drittanbietern ermittelt und bewertet werden. Partnerschaften und ausgelagerte Prozesse sollten auf die Waagschale gelegt sowie mit den Aufsichtsanforderungen überprüft und sichergestellt werden. Um Abhängigkeitsrisiken zu minimieren, müssen zudem umfassende Ausstiegsstrategien, Notfallmaßnahmen und Informationssicherheitsstandards für IKT-Drittparteien eruiert werden.
(5) Vereinbarungen über Informationsaustausch
Als erweiterte Sicherheitsmaßnahme ist es Finanzunternehmen erlaubt ihre Erkenntnisse im Umgang mit IKT-bezogenen Vorfällen zu teilen. Sofern das Ziel der Stärkung der digitalen operationalen Resilienz besteht, können Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren ausgetauscht werden.
Der Aufbau dieses Informationsnetzwerks soll dazu beitragen aus externen Vorfällen zu lernen und angemessene Maßnahmen abzuleiten. Dies wird im Sinne von kontinuierlicher Verbesserung und Weiterentwicklung der Resilienz genutzt. Der Informationsaustausch ist geschützt und unterliegen Verhaltensregeln zu Geschäftsgeheimnissen und Datenschutz. In diesem Sinne wird festgelegt, was die Voraussetzungen für die Teilnahme des Informationsaustauschs sind und wie staatliche Behörden gegebenenfalls einzubinden sind. Prinzipiell werden folgende DORA-Voraussetzungen als zentral erachtet:
- Das Gesamtrisikomanagementsystem muss um IKT-Risiken eindeutig und nachvollziehbar ergänzt werden.
- Endgültige Vernetzung und Einbindung aller relevanten 1st und 2nd Line Funktionen (u.a. IT, Risk, BCM, ISO, AM, Legal).
- Neben der Anpassung von Strategien, Leit- und Richtlinien wird die Umsetzung von qualitativen Maßnahmen spezifische Kenntnisse und Fähigkeiten erfordern.
- Auslagernde Fachbereiche benötigen fachliches und technisches Verständnis zur Anpassung von IT-Drittanbieterverträgen ergänzt um regulatorisches Knowhow.
- Die Zusammenarbeit mit IKT-Drittanbietern für regulatorische Konformität wird Zeit in Anspruch nehmen.
Grundsätzlich gilt: Ihr Haus ist bereits recht gut aufgestellt, wenn aufsichtsrechtliche Anforderungen wie MaRisk i.V.m. BAIT, Leitlinien der EBA und internationale ISO-Standards erfüllt sind. Wie ihr mit DORA verbundener Aufwand in Ihrem Haus optimiert bzw. minimiert werden kann, hängt auch vom regulatorischen Reifegrad des Instituts ab. Sprechen Sie im Bedarfsfall mit einem Berater Ihres Vertrauens. Gerne stellen wir seitens Hybridbanker die einschlägig besten Kontakte her.
Digital Operational Resilience Act – Quellen:
EU Verordnung 2022/2554 zu DORABafin zu DORA
Definition DORA
IT Business – DORA
Digital Business Cloud zu DORA
Haufe – OPerationale Resilienz
——
*Definition Threat-Led-Penetration-Test TLPT
Threat-Led-Penetration-Tests, auch ‚Ethical Red Teaming‘ genannt, tragen als fortschrittlichste Form von Penetrationstests dazu bei, dass Unternehmen ihre Cyber-Resilienz umfassender beurteilen und verbessern können. Die GZ Fundamental Elements for Threat-Led Penetration Testing definieren TLPT als den kontrollierten Versuch, die Cyber-Resilienz eines Unternehmens durch einen simulierten Angriff eines ethischen Hackers zu kompromittieren. Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2019/fa_bj_1904_Cyber-Resilienz.html