Digital Operational Resilience Act: Steigende Anforderungen an die Cyber-Sicherheit im Finanzsektor

06.02.2024
Lesezeit 3 Minuten

Der 2023 in Kraft getretene Digital Operational Resilience Act (DORA) definiert neue, einheitliche Regelungen für die Finanzmärkte der gesamten EU. Ziel der Verordnung soll eine verbesserte Absicherung gegen zunehmende Gefahren von Cyberbedrohungen im Finanzsektor sein. Im Fokus stehen Regelungen zum Umgang der betroffenen Unternehmen mit der Abhängigkeit von Drittanbietern sowie die Aufrechterhaltung der Betriebsstabilität bei Vorfällen der Informations- und Kommunikationstechnologie (IKT). DORA betrifft grundsätzlich alle regulierten Finanzunternehmen in der EU, dazu zählen Kreditinstitute, Versicherer, Wertpapierfirmen oder Kapitalverwaltungsgesellschaften, sowie Unternehmen, für die bisher keine Sicherheitsvorgaben seitens der Aufsicht galten. Der Stichtag zur Umsetzung der Anforderungen ist der 17. Januar 2025.

Die Anforderungen lassen sich in vier zentrale Schwerpunkte unterteilen:

Risikomanagement
Die Verordnung sieht für betroffene Finanzunternehmen die Etablierung eines Risikomanagements zur Bewältigung von IKT-Risiken vor. Sie betont die Verantwortung der Geschäftsleitung für die Definition, Genehmigung und Umsetzung des Risikomanagementrahmens, was die unternehmensbezogenen Informations- und Kommunikationstechnologien direkt in die Unternehmensstrategie einbettet. Zusätzlich ist ein umfassendes Business-Continuity-Management einzuführen. Diese Anforderungen sind bereits aus MaRisk und BAIT bekannt –werden jedoch durch DORA konkretisiert.

IKT-Vorfallmeldewesen
IKT-bezogene Vorfälle sind künftig anhand eines Überwachungsprozesses zu protokollieren und im Falle von schwerwiegenden Ereignissen an die Aufsichtsbehörde zu melden. Der Prozess soll der frühzeitigen Identifikation, Behandlung und Beobachtung von Sicherheitslücken dienen. DORA vereinheitlicht bereits geltende Berichtspflichten für Finanzdienstleister.

Tests der digitalen operationalen Resilienz
Die operationale Resilienz und insbesondere die digitale Betriebsstabilität ist durch geeignete Verfahren jährlich auf ihre Funktionsfähigkeit zu prüfen sowie bei Mängeln umgehend wiederherzustellen. Abhängig von Risikoprofil und Unternehmensgröße kommen unterschiedliche Anforderungen an die Testverfahren zum Tragen, beispielsweise Penetrationstests, Kompatibilitäts- oder Leistungstests. Mit der Umsetzung von DORA kommt eine Erweiterung der Frequenz und Intensität solcher Resilienztests auf die Finanzdienstleister der EU zu.

Outsourcing und IKT-Drittparteirisikomanagement
Unter DORA werden auch die mit Outsourcing einhergehenden Risiken aufgegriffen. Für Auslagerungsverträge werden beispielsweise wesentliche Vorgaben hinsichtlich einer Vertragsbeendigung gemacht. IKT-Drittanbieter, die von den European Supervisory Authorities (ESAs) als kritisch eingestuft werden, unterliegen mit der neuen Verordnung bestimmten Dokumentations- und Prüfungspflichten, die bei Verstößen zu Zwangsgeldern führen können.

Die Fülle an neuen Anforderungen, welche durch DORA auf den Finanzsektor zukommen, machen eine umgehende Planung konkreter Maßnahmen und deren zeitnahe Umsetzung unabdingbar. Stetig zunehmende Cyberrisiken, insbesondere in kritischen Sektoren, machen eine Einbettung von IKT-Risiken und -Plänen in die gesamte Unternehmensstrategie notwendig. Dies erfordert eine ganzheitliche Analyse unter Berücksichtigung technischer, finanzieller und juristischer Perspektiven.

Baker Tilly steht Ihnen bei der Bewertung und Umsetzung der DORA-Vorschriften mit einem auf Ihre Unternehmenssituation zugeschnittenen Assessment zur Seite. Je nach Reifegrad Ihrer digitalen und betrieblichen Widerstandsfähigkeit bieten wir Ihnen ein DORA Readiness Assessment oder ein umfangreiches Audit, zum Beispiel auch im Rahmen der Jahresabschlussprüfung.