Woman holding smartphone in the air

DORA: Warum Cyber-Resilienz einen europäischen Mantel braucht

Porträtfoto von Lars Weimer
Lars Weimer

Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA

5 Minuten Lesezeit 23 Apr. 2021
Verwandte Themen
Finanzdienstleistungen
Cybersecurity
Digitalisierung
Risikomanagement

Der Digital Operational Resilience Act hilft Finanzunternehmen, ihre Widerstandsfähigkeit gegen Cyberangriffe einheitlich zu bewerten.

Überblick

  • Cyber-Resilienz wird in Europa noch unterschiedlich bewertet.
  • Digitalisierung und EU-weite Vernetzung erfordern neue Maßstäbe.
  • Auch IT-Dienstleister müssen in die Legislatur einfließen.

Bereits seit einigen Jahren arbeitet die Europäische Union (EU) intensiv daran, die Finanzwelt in ihrem Rechtsraum robuster gegen Angriffe auf IT-Systeme zu machen. So gibt es etwa seit 2017 die EU-Cybersicherheitsstrategie, 2018 trat die NIS Directive zum Schutz kritischer Infrastruktur – also auch den Finanzsektor betreffend – in Kraft, im gleichen Jahr gefolgt von einem Fintech-Aktionsplan, um der Finanzindustrie zu helfen, den rasanten technologischen Fortschritt zu nutzen und dabei gleichzeitig die Cybersicherheit zu stärken.

Im Spätsommer des vergangenen Jahres hat die Europäische Kommission nun den ersten Entwurf des „Digital Operational Resilience Act“ (DORA) veröffentlicht. Die Verordnung soll ein zentraler Treiber der ebenfalls im letzten Jahr formulierten „Digital Finance Strategie“ für Europa werden. Die beiden wichtigsten Ziele von DORA sind, einerseits die Widerstandsfähigkeit der Finanzunternehmen gegen IT-bezogene Risiken zu erhöhen und andererseits die dafür nötigen Anforderungen in der EU zu harmonisieren. Letzteres betrifft sowohl die Regeln für die Prüfung der digitalen operativen Belastbarkeit, als auch das Reporting und die Klassifizierung von IT-Vorfällen und die Regeln für das IT-Risikomanagement. DORA umfasst – im Gegensatz zu vielen anderen Verordnungen für den Finanzsektor – auch nicht-finanzielle (kritische) IT-Drittanbieter, wenn sie ihre Dienstleistungen für Finanzunternehmen erbringen.

DORA soll einerseits die Widerstandsfähigkeit der
Finanzunternehmen gegen IT-bezogene Risiken erhöhen und
andererseits die dafür nötigen Anforderungen in der EU
harmonisieren.

So unterstützen wir Sie

Bei DORA handelt es sich also um eine Verordnung nach europäischem Recht. Für die Finalisierung des Entwurfs ist noch gut ein Jahr vorgesehen, und danach dauert es noch ein weiteres Jahr, bis die Verordnung Gültigkeit erlangt. Realistisch ist also davon auszugehen, dass DORA erst 2024 scharf geschaltet wird. Als Projekt der Europäischen Kommission sind für Einführung und Überwachung von DORA die drei Europäischen Aufsichtsbehörden (Englisch: European Supervisory Authorities – kurz ESA) zuständig: die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).

 

Gründe, die aus EU-Sicht für DORA sprechen

Finanzunternehmen haben in den letzten Jahren ihre Digitalisierung massiv vorangetrieben. Für die kommenden Jahre ist sogar noch mit einer weiteren Steigerung der Aktivitäten auf diesem Gebiet zu rechnen. Früher oder später wird nahezu jeder Aspekt im Betrieb einer Bank und anderen Finanzunternehmen auf IT basieren. Bei einigen neueren Banken ist das bereits heute der Fall. Eine immer funktionierende IT wird damit überlebenswichtig. Die EU sah vor diesem Hintergrund aus mehreren Gründen Handlungsbedarf.

 

  • Mehr Cyberangriffe

 

Der Finanzsektor ist mit steigender Abhängigkeit von der IT grundsätzlich ein sehr attraktives Ziel für Cyberangriffe. Die Angriffsflächen haben sich durch die Vernetzung von Finanzdienstleistern – auch über Ländergrenzen hinweg – noch einmal massiv vergrößert. Teilweise sind hier sehr heterogene IT-Systeme aufeinandergestoßen. Hohe IT-Management-Komplexität mit der Gefahr weiterer Schwachstellen war die Folge. In der Pandemie schließlich haben sich weitere Schwächen im digitalen Raum gezeigt, insbesondere entlang der End-to-End-Lieferketten.

 

  • Höhere Abhängigkeit von Drittanbietern

 

Das Ökosystem der Finanzwelt umfasst auch Lieferanten – in erster Linie aus dem IT-Sektor, die im Zuge der Digitalisierung ebenfalls ihre Netzwerke massiv ausgebaut haben. Um ihre Leistung erbringen zu können, sind damit auch sie im gesteigerten Maße vom Funktionieren ihrer IT abhängig. Finanzunternehmen müssen diesen Aspekt künftig im eigenen Interesse stärker beachten. Deshalb wird in DORA ausdrücklich gefordert, auch die Lieferantennetzwerke in die Risikobewertung der IT mit einzubeziehen. In diesem Zuge ist geplant, den ESA neue Befugnisse gegenüber IT-Drittanbietern einzuräumen. So sollen die ESA beispielsweise Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen.

 

  • EU-weites Maß für den Reifegrad der betrieblichen Resilienz erforderlich

 

Bislang gibt es in der EU kein einheitliches Bewertungssystem für Cyberrisiken im Finanzsektor. Zudem deckt die aktuelle EU-Gesetzgebung nicht jeden Finanzdienstleistungssektor ab. Beide Mankos sollen durch DORA behoben werden.

 

  • EU-weit rechtliche Klarheit erforderlich

 

Behörden in der EU erlassen für das IT-Risikomanagement teilweise sehr unterschiedliche Vorschriften. Bei international tätigen Unternehmen führt das zu rechtlichen Unklarheiten. Hinzu kommt, dass auch die Aufsicht im EU-Binnenmarkt derzeit noch sehr unterschiedlich läuft. Für Finanzunternehmen bedeuten diese Hürden einen beträchtlichen administrativen Mehraufwand. Hier soll DORA vor allem die Effizienz verbessern.

 

Was mit DORA auf Finanzunternehmen und IT-Dienstleister zukommt

Gemäß den ESA-Leitlinien kommen auf Finanzdienstleister und ihre IT-Lieferanten eine Reihe neuer Anforderungen zu: So wird die Entwicklung von Reaktions- und Wiederherstellungsplänen für Finanzdienstleister mit DORA zur Pflicht. In den Plänen muss auch die Kommunikation mit Kunden und sonstigen vom IT-Vorfall Geschädigten geregelt sein. Die Verordnung spezifiziert klare Kriterien für die Klassifizierung von IT-Vorfällen. Als kritisch eingestufte IT-Vorfälle müssen sowohl zentral an die Aufsicht, als auch an Nutzer gemeldet werden, falls deren Interessen berührt sein könnten.

 

DORA will auch die Konzentration von Risiken vermeiden – insbesondere bei Vereinbarungen mit einzelnen Dritten. Solche Verträge müssen etwa durch Analysen von Weiterverlagerungen gründlich geprüft werden. Schließlich wird sich mit DORA die Zahl von Finanzunternehmen deutlich erhöhen, die fortgeschrittene Tests auf der Grundlage von „Threat Led Penetration Testing“ (TLPT) durchführen müssen. Den Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen will DORA auf freiwilliger Basis fördern.

 

IT-Dienstleister sind vor allem durch die neuen, bereits erwähnten Befugnisse der ESA (Geldstrafen, Vertragskündigungen) von DORA betroffen. Für kritische IT-Drittanbieter und Subunternehmen schlägt DORA vor, ausschließlich Dienstleister und Anbieter aus der EU zuzulassen.

 

Warum Finanzunternehmen jetzt schon handeln sollten

Im Moment ist der zeitliche Rahmen um DORA noch relativ entspannt. Sich frühzeitig mit der neuen Verordnung zu beschäftigen, ist dennoch ratsam, wie unter anderem die Erfahrungen bei der Einführung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) gelehrt haben. Lange haben Unternehmen hier ihren Handlungsbedarf verdrängt und waren dann überfordert, als der Termin für die Inkraftsetzung näher rückte.

 

Am stärksten gefordert sind sicherlich Finanzunternehmen mit niedrigem Resilienz-Reifegrad, beziehungsweise solche, die sich bislang noch wenig mit ihrem Resilienz-Reifegrad und dem ihrer Dienstleister beschäftigt haben, oder derzeit noch nicht dazu verpflichtet sind, strengere Vorschriften umzusetzen. Sie sollten bereits jetzt beginnen herauszufinden, wo ihre Widerstandsfähigkeit noch Lücken hat und Strategien entwickeln, wie sie die kommenden Anforderungen nachhaltig umsetzen wollen. Auch sollten sie ihre Dienstleister schon einmal schärfer unter die Lupe nehmen: Wie weit sind sie in Sachen Resilienz und muss gegebenenfalls nach Alternativen gesucht werden?

Es wird in DORA ausdrücklich gefordert, auch die Lieferantennetzwerke in die Risikobewertung der IT mit einzubeziehen. In diesem Zuge ist geplant, den ESA neue Befugnisse gegenüber IT-Drittanbietern einzuräumen.

Nebojša Janković

Finanzunternehmen, die schon einen hohen Resilienz-Reifegrad erlangt haben, sollten bereits auf die Vorschriften der ESA achten und entsprechende Anpassungen vornehmen. Nicht zuletzt betrifft das beispielsweise die Anforderungen an die operativen Belastbarkeitstests, mit denen die Handlungsfähigkeit des Finanzunternehmens sichergestellt werden soll.

IT-Dienstleister sind gefordert, ihre Klientel aus der Finanzwelt zu beobachten. Es gilt herauszufinden, inwieweit die DORA-Verordnung auch sie selbst trifft. Ist das der Fall, sollten sie keine Zeit verlieren und frühzeitig die erforderlichen Schritte in die Wege leiten. Dies beinhaltet etwa die Durchführung relevanter Analysen und die Verbesserung von Organisation, Prozessen und Technologie.

Mit DORA als wesentlichem Pfeiler des umfassenderen „Digital Finance Package“ macht die EU-Kommission einen großen Schritt in Richtung Harmonisierung und Digitalisierung der Finanzmärkte in der EU. Das Ziel ist eine Verbesserung der operativen Widerstandsfähigkeit von Finanzunternehmen, um allen Arten von IT-bezogenen Störungen und Bedrohungen widerstehen zu können. Durch die Harmonisierung sollen gleichzeitig „Reibungsverluste“, die derzeit durch inkonsistente Vorschriften in verschiedenen EU-Ländern noch häufig entstehen, weitgehend eliminiert werden.

Fazit

Mit steigendem Grad der Digitalisierung werden Finanzunternehmen immer abhängiger von ihrer IT. Maßnahmen zur Verminderung IT-bezogener Risiken sind zwar seit einigen Jahren im Gange, aber EU-weit sehr unterschiedlich. Zudem gibt es noch viele Lücken. Der Digital Operational Resilience Act (DORA) soll diese Lücken schließen und EU-einheitliche Vorgaben liefern.

Über diesen Artikel

Porträtfoto von Lars Weimer
Lars Weimer
Partner Financial Services & Advisory Services EY Consulting GmbH | EMEIA
Sorgt für Sicherheit in unserem Finanzsystem und schafft Vertrauen in die Datenverarbeitung. Nimmt sich Zeit für seine Familie, Ski und Motorrad – nur zum Tauchen kommt er momentan nicht.
Verwandte Themen
Finanzdienstleistungen
Cybersecurity
Digitalisierung
Risikomanagement

Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.