Globale Verbindung

DORA – digitale Betriebsstabilität im Finanzsektor im Fokus der EU

Aus der stärkeren Nutzung von Informationstechnologien resultieren neben Chancen auch Risiken für den europäischen Finanzsektor.

Co-Autoren: Michael Hübl, Marina Christ

Die immer stärker werdende Nutzung von Informations- und Kommunikationstechnologien (IKT) birgt neben Chancen auch erhebliche Risiken für den europäischen Finanzsektor, die gut verstanden und gesteuert werden müssen. Mithilfe des Pakets zur Digitalisierung des Finanzsektors sollen Innovations- und Wettbewerbspotenziale des europäischen Finanzwesens erschlossen und gefördert werden.

Durch DORA soll gewährleistet werden, dass alle Teilnehmer des europäischen Finanzwesens denselben EU-weiten Vorschriften zur Sicherstellung der digitalen Betriebsstabilität unterliegen und die Risiken der digitalen Transformation gezielt gesteuert werden können.

1. Was ist DORA?

DORA (Digital Operational Resilience Act) ist eine EU-Verordnung zur Sicherstellung der Betriebsstabilität digitaler Systeme innerhalb des europäischen Finanzsektors. DORA ist im Hinblick auf die Anwendung als EU-Gesetz zu verstehen, das unmittelbar nach Umsetzung von allen Mitgliedsstaaten verpflichtend einzuhalten ist.

2. Für wen gilt DORA?

DORA gilt für alle Finanzinstitute (z.B. Kreditinstitute, Banken, Zahlungsdienstleister, E-Geld-Institute, Wertpapierfirmen, Ratingagenturen, Versicherer, Pensionskassen, Handelsplätze) und IT-Drittanbieter (z.B. Cloud Computing Services, SaaS-Anbieter, Rechenzentren).

3. Ab wann gilt DORA?

Der Gesetzesentwurf wurde am 10. November 2022 final verabschiedet. Eine verpflichtende Einhaltung von DORA wird mit Ende 2024/ Anfang 2025 erwartet.

Schwerpunkte graphic

Folgende Schwerpunkte stellen hier neue Herausforderungen im Vergleich zu bestehenden regulatorischen Anforderungen für den Finanzsektor dar:

  • Prüfung der digitalen Betriebsstabilität:
    Es sind Testprogramme zu implementieren, welche die Kapazitäten und Funktionen eines Instituts regelmäßig hinsichtlich möglicher Schwachstellen, Mängel sowie Lücken überprüfen.
    Je nach Größe, Geschäfts- und Risikoprofil von Finanzunternehmen sind im Zuge dieser Tests verpflichtende Prüfungen auf der Grundlage bedrohungsorientierter Penetration-Tests (Threat-Led Penetration Testing-TLPT) durchzuführen.
  • Risiko durch IT-Drittanbieter:
    Kritische IT-Drittanbieter werden einem einheitlichen Aufsichtsrahmen der Union unterworfen. Als federführende Aufsichtsinstanz wird durch die Europäische Aufsichtsbehörde (ESA) sichergestellt, dass IT-Drittanbieter, die entscheidend zum Funktionieren des Finanzsektors beitragen, auf gesamteuropäischer Ebene angemessen überwacht werden.

4. Next Steps – welche Schritte sollten Sie rasch setzen?

Es ist wesentlich, zeitnah festzustellen, ob Ihr aktueller Ist-Stand bereits die erweiterten Anforderungen aus DORA erfüllt oder Handlungsbedarf besteht.

IT-Risikomanagement
Bewertung bestehender Risikostrategien, - richtlinien, -verfahren und -instrumente in Bezug auf die IT. Berücksichtigung bestehender Rollen und Verantwortlichkeiten betreffend IT-Risiken.

Status der kritischen IT-Drittanbieter
Bewertung der bestehenden Leistungen von IT-Drittanbietern, um feststellen zu können, ob hinsichtlich bestehender IT-Drittanbieter weitere Regelungs- und Überwachungsmaßnahmen erforderlich sind.

Governance
Bewertung des bestehenden IT-Risiko-Governance-Rahmens, um feststellen zu können, ob Lücken hinsichtlich der Identifikation, Bewertung und Überwachung von IT-Risiken bestehen.

Meldung IT-bezogener Vorfälle
Überprüfung der bestehenden Maßnahmen zur Identifikation, Klassifizierung und der Meldung von IT-bezogenen Vorfällen, um feststellen zu können, ob hier Anpassungen der bestehenden Prozesse und/oder Investitionen in zusätzliche Tools erforderlich sind.

Basisprüfung der digitalen Betriebsstabilität
Feststellung des Umfangs an zu prüfenden IT-Instrumenten, -Systemen und -Prozessen im Rahmen der Prüfung der digitalen Betriebsstabilität nach DORA. So hat die Prüfung der digitalen Betriebsstabilität ein vollständiges Spektrum geeigneter Tests wie z. B. Analysen von Open-Source-Software, Bewertungen der Netzsicherheit, Überprüfungen der physischen Sicherheit, Quellcodeprüfungen sowie End-to-End-Tests oder Penetrations-Tests zu umfassen.

Erweiterte Prüfung der digitalen Betriebsstabilität
Ermittlung aller relevanten IT-Prozesse, -Systeme und -Technologien, die kritische Funktionen und Dienste des Instituts unterstützen, um feststellen zu können, welche Bereiche im Zuge der Durchführung bedrohungsorientierter Penetration-Tests (TLPT) nach DORA geprüft werden müssen.

5. Wie kann EY unterstützen?
 

Neben einem breiten Erfahrungsschatz aus unterschiedlichsten Projekten im regulatorischen Umfeld verfügt EY über Erfahrungen aus der Durchführung von DORA-Vorprojekten und -Assessments. Ergänzend sind unsere namhaften Expert:innen ein fester Bestandteil des EMEIA-weiten DORA-Netzwerks von EY und stehen in einem regelmäßigen Austausch mit relevanten Aufsichtsbehörden.


EY verfügt über ein eigenes standardisiertes EY DORA-Assessment-Tool, das den zukünftigen Herausforderungen gerecht wird und das Thema optimal in bestehende Governance- und IKT-Strukturen einbettet.


Durch die Nutzung dieses Tools können wir Sie im Rahmen eines GAP-Assessments, das folgende Schritte enthält, unterstützen:

  • Feststellung bestehender Lücken hinsichtlich der Einhaltung der Anforderungen aus DORA
  • Priorisierung festgestellter Lücken und Erstellung eines Maßnahmenplans, um diese zielgerichtet schließen zu können
  • Erarbeitung einer Implementierungsstrategie
  • Laufende Unterstützung bei der Umsetzung der Maßnahmenpläne

Fazit

Die immer stärker werdende Nutzung von Informations- und Kommunikationstechnologien (IKT) birgt neben Chancen auch erhebliche Risiken für den europäischen Finanzsektor, die gut verstanden und gesteuert werden müssen. Mithilfe des Pakets zur Digitalisierung des Finanzsektors sollen Innovations- und Wettbewerbspotenziale des europäischen Finanzwesens erschlossen und gefördert werden. Durch DORA soll gewährleistet werden, dass alle Teilnehmer des europäischen Finanzwesens denselben EU-weiten Vorschriften zur Sicherstellung der digitalen Betriebsstabilität unterliegen und die Risiken der digitalen Transformation gezielt gesteuert werden können. EY verfügt über ein standardisiertes EY-DORA Assessment Tool, welches den zukünftigen Herausforderungen gerecht wird und das Thema optimal in bestehende Governance und IKT-Strukturen einbettet.

Über diesen Artikel

Mehr zum Thema

Wir navigieren Sie effizient und zielgerichtet durch die Flut an Regularien!

Zunehmende Regularien für Banken ➜ mit diesem Tool leichter den Überblick behalten!

Vier Hypothesen für die Bank-CFOs der Zukunft

Wie wird sich die Finanzfunktion der Bank in Zukunft wandeln und was sind die Trends, die diesen Wandel treiben?

Ab in die Cloud – aber richtig!

Mit der richtigen und Compliance-konformen Cloud-Transformation wird Ihr Geschäftsmodell zukunftsfähig.