DORA – digitale Betriebsstabilität im Finanzsektor im Fokus der EU

Aus der stärkeren Nutzung von Informationstechnologien resultieren neben Chancen auch Risiken für den europäischen Finanzsektor.

Co-Autoren: Michael Hübl, Marina Christ

Die immer stärker werdende Nutzung von Informations- und Kommunikationstechnologien (IKT) birgt neben Chancen auch erhebliche Risiken für den europäischen Finanzsektor, die gut verstanden und gesteuert werden müssen. Mithilfe des Pakets zur Digitalisierung des Finanzsektors sollen Innovations- und Wettbewerbspotenziale des europäischen Finanzwesens erschlossen und gefördert werden.

Durch DORA soll gewährleistet werden, dass alle Teilnehmer des europäischen Finanzwesens denselben EU-weiten Vorschriften zur Sicherstellung der digitalen Betriebsstabilität unterliegen und die Risiken der digitalen Transformation gezielt gesteuert werden können.

1. Was ist DORA?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Sicherstellung der Betriebsstabilität digitaler Systeme innerhalb des europäischen Finanzsektors. DORA ist im Hinblick auf die Anwendung als EU-Gesetz zu verstehen, das unmittelbar nach Umsetzung von allen Mitgliedsstaaten verpflichtend einzuhalten ist.

2. Für wen gilt DORA?

DORA gilt für alle Finanzinstitute (z.B. Kreditinstitute, Banken, Zahlungsdienstleister, E-Geld-Institute, Wertpapierfirmen, Ratingagenturen, Versicherer, Pensionskassen, Handelsplätze) und IT-Drittanbieter (z.B. Cloud Computing Services, SaaS-Anbieter, Rechenzentren).

3. Ab wann gilt DORA?

Der Gesetzesentwurf wurde am 10. November 2022 final verabschiedet. Eine verpflichtende Einhaltung von DORA wird mit Ende 2024/ Anfang 2025 erwartet.

Folgende Schwerpunkte stellen hier neue Herausforderungen im Vergleich zu bestehenden regulatorischen Anforderungen für den Finanzsektor dar:

• Prüfung der digitalen Betriebsstabilität:
  Es sind Testprogramme zu implementieren, welche die Kapazitäten und Funktionen eines Instituts regelmäßig hinsichtlich möglicher Schwachstellen, Mängel sowie Lücken überprüfen.
  Je nach Größe, Geschäfts- und Risikoprofil von Finanzunternehmen sind im Zuge dieser Tests verpflichtende Prüfungen auf der Grundlage bedrohungsorientierter Penetration-Tests (Threat-Led Penetration Testing-TLPT) durchzuführen.
  
• Risiko durch IT-Drittanbieter:
  Kritische IT-Drittanbieter werden einem einheitlichen Aufsichtsrahmen der Union unterworfen. Als federführende Aufsichtsinstanz wird durch die Europäische Aufsichtsbehörde (ESA) sichergestellt, dass IT-Drittanbieter, die entscheidend zum Funktionieren des Finanzsektors beitragen, auf gesamteuropäischer Ebene angemessen überwacht werden.

4. Next Steps – welche Schritte sollten Sie rasch setzen?

Es ist wesentlich, zeitnah festzustellen, ob Ihr aktueller Ist-Stand bereits die erweiterten Anforderungen aus DORA erfüllt oder Handlungsbedarf besteht.

IT-Risikomanagement
Bewertung bestehender Risikostrategien, - richtlinien, -verfahren und -instrumente in Bezug auf die IT. Berücksichtigung bestehender Rollen und Verantwortlichkeiten betreffend IT-Risiken.

Status der kritischen IT-Drittanbieter
Bewertung der bestehenden Leistungen von IT-Drittanbietern, um feststellen zu können, ob hinsichtlich bestehender IT-Drittanbieter weitere Regelungs- und Überwachungsmaßnahmen erforderlich sind.

Governance
Bewertung des bestehenden IT-Risiko-Governance-Rahmens, um feststellen zu können, ob Lücken hinsichtlich der Identifikation, Bewertung und Überwachung von IT-Risiken bestehen.

Meldung IT-bezogener Vorfälle
Überprüfung der bestehenden Maßnahmen zur Identifikation, Klassifizierung und der Meldung von IT-bezogenen Vorfällen, um feststellen zu können, ob hier Anpassungen der bestehenden Prozesse und/oder Investitionen in zusätzliche Tools erforderlich sind.

Basisprüfung der digitalen Betriebsstabilität
Feststellung des Umfangs an zu prüfenden IT-Instrumenten, -Systemen und -Prozessen im Rahmen der Prüfung der digitalen Betriebsstabilität nach DORA. So hat die Prüfung der digitalen Betriebsstabilität ein vollständiges Spektrum geeigneter Tests wie z. B. Analysen von Open-Source-Software, Bewertungen der Netzsicherheit, Überprüfungen der physischen Sicherheit, Quellcodeprüfungen sowie End-to-End-Tests oder Penetrations-Tests zu umfassen.

Erweiterte Prüfung der digitalen Betriebsstabilität
Ermittlung aller relevanten IT-Prozesse, -Systeme und -Technologien, die kritische Funktionen und Dienste des Instituts unterstützen, um feststellen zu können, welche Bereiche im Zuge der Durchführung bedrohungsorientierter Penetration-Tests (TLPT) nach DORA geprüft werden müssen.