DORA – Neue Voraussetzungen für die IT-Sicherheit von Finanzunternehmen

Grundsätzlich regelt die Verordnung Voraussetzungen für die Netz- und Informationssicherheit von Finanzunternehmen wie Banken oder Versicherungen, um die Betriebssicherheit im Falle einer schwerwiegenden Störung aufrechterhalten zu können.[2] Die entsprechenden Anforderungen sind in allen EU-Mitgliedstaaten einheitlich und haben die Verhinderung und Minderung von Cyberbedrohungen zum Ziel. Wie die Verordnung konkreter ausgestaltet ist, soll im Folgenden erläutert werden.

2. Hintergrund

Selbst für alltägliche Tätigkeiten werden im digitalen Zeitalter Informations- und Kommunikationstechnologien (IKT) genutzt. Trotz vieler Vorteile durch die Digitalisierung, ergeben sich auch Risiken, in Form von Cyberbedrohungen oder IKT-Störungen, die die Gesellschaft insgesamt und das Finanzsystem im Besonderen betreffen. 
Konkret bedeutet das, dass sowohl einfache Zahlungen vermehrt digital stattfinden als auch komplexe Bereiche des Wertpapierhandels, des algorithmischen Handels oder dass Finanzierungsgeschäfte digitalisiert werden. Dabei ist der Finanzsektor nicht nur als solcher digitaler geworden, sondern auch von Infrastrukturen Dritter und Drittdienstleistern abhängig. Entsprechende auch zuerst lokal bestehende Cybervorfälle können sich so rasch über Grenzen hinweg auf das gesamte Finanzsystem erstrecken und zu einer Gefahr werden. Während die zunehmende Digitalisierung von Finanzunternehmen immer wichtiger wird, ist ihre Cybersicherheit dabei nur selten von Belang und soll mit der Verordnung verbessert werden.

Anwendungsbereich

Die DORA gilt für eine Vielzahl von Unternehmen, unter anderem für Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen etc.. Aufgrund der vielen Bezeichnungen für verschiedene Unternehmen im Finanzsektor, bestimmt Artikel 2 II, dass die entsprechenden Unternehmen einheitlich als „Finanzunternehmen“ bezeichnet werden. Damit ist der Anwendungsbereich sehr weit und vielfältig. 

Es wird jedoch nach der Größe des Unternehmens differenziert, beispielsweise wenn Kleinstunternehmen zum Teil von den Regelungen ausgenommen sind oder sie nur in geringerem Umfang Anwendung finden, Artikel 5 III, Artikel 6 V etc. Außerdem ermöglicht ein weiter Anwendungsbereich einen einheitlichen Schutz und bessere Voraussetzungen zur Erreichung von Finanzstabilität und Verbraucherschutz.

 3. Regelungsinhalt

Die DORA Verordnung trifft recht detaillierte Regelungen, daher sollen im Folgenden die wichtigsten Pflichten näher beleuchtet werden. Die Verordnung ist in neun Kapitel unterteilt, wobei die wichtigsten im Folgenden genannt werden sollen. Kapitel I enthält allgemeine Bestimmungen, während Kapitel II die Vorschriften zum IKT-Risikomanagement beinhaltet. Kapitel III beschreibt die Behandlung und Berichterstattung IKT-bezogener Vorfälle, zusätzlich zu den formalen Anforderungen sieht Kapitel IV die Durchführung der erforderlichen Tests im Rahmen der Betriebssicherheit vor und Kapitel V enthält Regelungen zum Management des IKT-Drittparteienrisikos.   Darüber hinaus ist Artikel 4 zu beachten, der für alle in Kapitel zwei geltenden Regelungen die Einhaltung des Grundsatzes der Verhältnismäßigkeit anordnet sowie in Teilen für die Kapitel III-V.

4. IKT-Risikomanagement

Art. 5 DORA[3] verpflichtet Finanzunternehmen dazu, über einen internen Kontrollrahmen zu verfügen, der ein hohes Niveau an digitaler Betriebsstabilität ermöglicht. Damit einher geht die Verpflichtung in Art. 6, der für jedes Finanzunternehmen einen gut dokumentierten IKT-Risikomanagementrahmen für erforderlich bestimmt. Das bedeutet, dass Strategien, sowie Leit- und Richtlinien bestehen, die die Computersoftware, Hardware und Server schützen und zusätzlich auf Anfrage auch der zuständigen Behörde vorgelegt werden können. Der IKT- Risikomanagementrahmen muss außerdem einmal jährlich sowie anlassbezogen überprüft werden, Artikel 6 V. Weitere detaillierte Regelungen beziehen sich auf den Umgang mit den IKT-Systemen des Unternehmens. Sie müssen auf dem neuesten Stand gehalten werden (Artikel 7), die IKT-Risiken müssen ermittelt werden, sowie (Artikel 8) potenzielle Schwachstellen der IKT-Systeme (Artikel 10), ihre Überwachung muss sichergestellt sein(Artikel 9), und es müssen Verfahren und Mittel zur Datensicherung und Wiederherstellung bestehen (Artikel 12), um nur einige der Voraussetzungen zu nennen.

5. Berichterstattung IKT-bezogener Vorfälle

Das folgende Kapitel sieht vor allem Transparenzpflichten vor, denn die Finanzunternehmen werden verpflichtet alle IKT-bezogenen Vorfälle und erhebliche Cyberbedrohungen zu erfassen und müssen außerdem angemessene Verfahren und Prozesse bereitstellen um diese Vorfälle weiter verfolgen zu können (Artikel 17). Laut Artikel 19 I müssen Finanzunternehmen schwerwiegende IKT-bezogene Vorfälle bei der zuständigen Behörde melden. Die Meldung von erheblichen Cyberdrohungen hingegen erfolgt auf freiwilliger Basis, wenn das Finanzunternehmen der Meinung ist, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist. 

Sicherheitstests

Im Rahmen der DORA soll es nicht bei einer theoretischen Risikobewertung bleiben, stattdessen sollen mögliche Schwachstellen der Betriebssicherheit durch Tests ermittelt werden. Artikel 24 stellt allgemeine Anforderungen in Bezug auf die Testung der Betriebssicherheit dar, beispielsweise müssen die Tests von einer unabhängigen internen oder externen Partei durchgeführt werden. Wie diese Tests aussehen bestimmen Artikel 25 und 26. Danach handelt es sich zum Beispiel um Schwachstellenbewertung, Open Source Analysen oder Lückenanalysen.  

Gemäß Artikel 26 sind außerdem alle drei Jahre erweiterte Tests anhand von Threat Led Penetration Testing durchzuführen (TLPT). Diese Tests müssen mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens einschließen. Die zuständige Behörde kann das Unternehmen unter Berücksichtigung der betrieblichen Gegebenheiten dazu auffordern die Frequenz der Tests zu erhöhen oder zu verringern.

Einstufung von IKT-Drittdienstleistern

Es ist wichtig, dass die Finanzunternehmen bei der Bewertung ihrer eigenen Betriebssicherheit auf alle möglichen Drittdienstleister achten, denn auch hier sieht die DORA spezielle Regelungen vor. Artikel bestimmt die Einstufung der IKT-Drittdienstleister für erforderlich, unter anderem auf Grundlage der systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, der Abhängigkeit des Finanzunternehmens von den Dienstleistungen sowie dem Grad der Substituierbarkeit des IKT-Dienstleisters.

6. Zusammenfassung

Die DORA hat ein wichtiges Ziel, die digitale Sicherheit des gesamten europäischen Finanzsektors. Die wichtigsten Voraussetzungen bestehen im Einrichten des Risikomanagements und der Sicherheitstests bzw. der verpflichtenden Berichterstattung für schwerwiegende Vorfälle. So bestehen zum ersten derart weite Transparenzpflichten für den digitalen Finanzsektor und ermöglichen weitere Maßnahmen um die Betriebssicherheit in einem so sensiblen Bereich gewährleisten zu können. Je nachdem wie gut die digitale Sicherheit des betreffenden Unternehmens entwickelt ist, sind einige Änderungen erforderlich. Für die Umsetzung der neuen Regelungen bleibt den Unternehmen ein nur verhältnismäßig kurzer Zeitraum. Da es sich um sehr detaillierte und spezielle Regelungen handelt, sollten Sie rechtlich abgesichert sein und nicht zögern sich bei der konkreten Umsetzung oder Verständnisfragen an uns zu wenden.