DORA: Der Digital Operational Resilience Act kurz erklärt

Artikel von Martin Oberberger·15. März 2024

Finanzunternehmen und deren Informations- und Kommunikationstechnologie (IKT) -Dienstleister aufgepasst: Der Digital Operational Resilience Act (DORA) ist da. Die EU-Verordnung ist seit 17.01.2023 in Kraft und ist ab 17.01.2025 anzuwenden. Viel Zeit für die Umsetzung bleibt somit nicht mehr. Wir geben Ihnen einen kurzen Überblick.

Der Inhalt im Überblick

Worum geht es beim Digital Operational Resilience Act?
Wen betrifft die neue EU-Verordnung?
Welche Ausnahmen und Vereinfachungen gibt es im DORA?
Welche Anforderungen stellt DORA an Finanzunternehmen?
Ausblick

Worum geht es beim Digital Operational Resilience Act?

Grundsätzlich ist DORA Teil des Digital Finance Package der EU KOM von 2020 und soll die operationale Resilienz und Sicherheit des gesamten europäischen Finanzsektors stärken, und zwar Finanzsektor übergreifend. Unterstützt wird der DORA durch technische Implementierungsstandards (ITS) und technische Regulierungsstandards (RTS).

Wen betrifft die neue EU-Verordnung?

Die Aufzählung veranschaulicht die von DORA betroffenen Sektoren:

a) Kreditinstitute,
b) Zahlungsinstitute,
c) E-Geld-Institute,
d) Wertpapierfirmen,
e) Anbieter von Krypto-Dienstleistungen, Emittenten von Kryptowerten, Emittenten von an Vermögenswerte geknüpften Token und Emittenten signifikanter an Vermögenswerten geknüpfter Token,
f) Zentralverwahrer,
g) zentrale Gegenparteien,
h) Handelsplätze,
i) Transaktionsregister,
j) Verwalter alternativer Investmentfonds,
k) Verwaltungsgesellschaften,
l) Datenbereitstellungsdienste,
m) Versicherungs- und Rückversicherungsunternehmen,
n) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
o) Einrichtungen der betrieblichen Altersversorgung,
p) Ratingagenturen,
q) Abschlussprüfer und Prüfungsgesellschaften,
r) Administratoren kritischer Benchmarks,
s) Crowdfunding-Dienstleister,
t) Verbriefungsregister,
u) IKT-Drittanbieter.

Welche Ausnahmen und Vereinfachungen gibt es im DORA?

Auch der DORA ist grundsätzlich bemüht, sich praxisnah an Realitäten zu orientieren und dementsprechend das Proportionalitätsprinzip zu berücksichtigen. So werden beispielsweise Ausnahmen definiert und es gibt auch Vereinfachungen. Bei genauerem Hinsehen ist dies oftmals nur für Kleinstunternehmen der Fall. Gleich wohl kommen auch Kleinunternehmen in den Genuss eines vereinfachten Risikorahmens. Aber wie werden Unternehmen differenziert? Folgende Tabelle ermöglicht einen Überblick:

Die Empfehlung der Europäischen Kommission zur Kategorisierung der Unternehmen richtet sich nach Personalbestand und wirtschaftlichem Gewicht:

Ein Kleinstunternehmen hat bis zu zehn Mitarbeiter und einen Umsatz bzw. eine Bilanzsumme von bis zu 2 Mio. EUR.
Ein kleines Unternehmen hat bis zu 50 Mitarbeiter und einen Umsatz bzw. eine Bilanzsumme von bis zu 10 Mio. EUR.
Ein mittleres Unternehmen hat bis zu 250 Mitarbeiter, einen Umsatz von bis zu 50 Mio. EUR und eine Bilanzsumme von bis zu 43 Mio. EUR.

Welche Anforderungen stellt DORA an Finanzunternehmen?

Im Wesentlichen richten sich die Anforderungen des DORA nach den folgenden Themenbereichen. Diese werden im Rahmen dieses Artikels kurz erläutert, vertiefende Informationen und Praxisbeispiele zu den einzelnen Themenbereichen werden wir im Rahmen einer Blogserie zum DORA in den kommenden Wochen veröffentlichen und auch an dieser Stelle verlinken.

IKT-Risikomanagement

Dem IKT-Risikomanagement kommt eine ganz zentrale Bedeutung zu. Finanzunternehmen haben dementsprechend eine unabhängige Kontrollfunktion einzurichten, die mit dem Management und dem Schutz vor IKT-Risiken betraut ist.

Der Risikomanagementrahmen fokussiert sich auf die eingesetzten Technologien und die Sicherheitsziele (Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit) der Daten. Dabei müssen angemessene, zuverlässige und technologisch resiliente IKT-Systeme, Protokolle und Tools verwendet werden, die mit ausreichenden Kapazitäten ausgestattet sind.

Weiterhin kommt auch beim DORA das Thema Awareness nicht zu kurz, Lernprozesse und Weiterentwicklung sind hier die Stichworte. Es müssen Programme zur Sensibilisierung für IKT-Sicherheit entwickelt werden, die für alle Mitarbeitenden und die Geschäftsleitung verpflichtend sind.

Abgerundet wird das Thema durch die Entwicklung von Kommunikationsplänen und -strategien für verschiedene interne und externe Zielgruppen. Dabei ist auch mindestens eine Person festzulegen, die die Funktion des Mediensprechers im Falle eines IKT-bezogenen Vorfalls wahrnimmt.

Management des IKT-Drittparteienrisikos

Das Management des IKT-Drittparteienrisikos ist ebenso ein wesentliches Element des DORA und unterteilt sich in 2 wichtige Kategorien: Zum einen gibt es allgemeine Prinzipien beim Drittparteienrisiko, zum anderen das EU-Überwachungsrahmenwerk.

Die Betrachtungsweise umfasst den kompletten Lebenszyklus der vertraglichen Vereinbarung: Von den Governance-Prinzipien, der Mindestvertragsinhalte, der laufenden Überwachung bis hin zu Szenarien zum Ausstieg und der Vertragsbeendigung.

Dabei ist ein Informationsregister über die Vertragsbeziehungen zu erstellen und zu pflegen. Auch werden die Mitteilungspflichten an die Behörden geregelt. Das EU-Überwachungsrahmenwerk ist essenziell bei der Überwachung von kritischen IKT-Drittdienstleistern der Branche.

Meldung von IKT-bezogenen Vorfällen

Auch die Meldungen von IKT-bezogenen Vorfällen stehen beim DORA im Vordergrund und sind standardisiert. Eine wichtige Voraussetzung hierfür ist die Festlegung von Definitionen IKT-bezogener Vorfälle. Das bedeutet, es gibt festgelegte Klassifikationskriterien der IKT-bezogenen Vorfällen.

Die Klassifizierungskriterien umfassen unter anderem betroffene Kunden, Auswirkungen auf die Reputation, Ausfallzeit, geografische Ausbreitung, Einordnung des Datenverlusts, Kritikalität der betroffenen Dienste sowie die wirtschaftlichen Auswirkungen des Vorfalls.

Der Meldeprozess zu Cyberbedrohungen beinhaltet eine freiwillige Meldung und ein eigenes Meldeformular. Die Weitergabe dieser Information an andere Behörden ist möglich und wird im DORA geregelt.

Testen der digitalen operationalen Resilienz

Das Testen ist ein Instrument für Finanzunternehmen und die Aufsichtsbehörden, ob das Ziel der digitalen operationalen Resilienz erreicht wird. Es sind dementsprechende Programm für das Testen zu etablieren und zu pflegen, das Testprogramm ist integraler Bestandteil des Risikomanagementrahmens und inkludiert auch Drittparteien.

Unterschieden wird zwischen Basistests und fortgeschrittene Tests. Während Basistests für den gesamten Finanzsektor obligatorisch sind und beispielsweise Schwachstellenscans, Quellcodetests, Performancetests, etc. beinhalten, geht es bei den fortgeschrittenen Tests um die sogenannten Threat Led Penetration Tests (TLPT).

Diese Threat Led Penetration Tests sind jedoch nur für systemrelevante Finanzunternehmen mit hohem IKT-Reifegrad vorgesehen und orientieren sich am Europäischem Rahmenwerk TIBER-EU (Threat Intelligence-based Ethical Red Teaming).

Informationsaustausch unter Finanzunternehmen

Im DORA wird weiterhin ein freiwilliger Austausch von Informationen und Erkenntnissen über Cyberbedrohungen der Finanzunternehmen geregelt. Ziel dabei ist es, die operationale Resilienz des Finanzsektors zu stärken und eine situative Aufmerksamkeit und Schärfung des Bewusstseins für alle Marktteilnehmenden zu ermöglichen. Der Austausch ist freiwillig und soll innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgen.

Zusätzlich sind sektorübergreifende Simulationsübungen und eine Zusammenarbeit im Finanzbereich zur Stärkung der Resilienz vorgesehen.

Ausblick

Sie sehen, die Anforderungen des DORA sind vielfältig und können eine gewisse Komplexität aufweisen. Auch kann die Umsetzung verschiedener Anforderungen recht zeitintensiv sein und bedürfen einer teilweise schwer kalkulierbaren Vorlaufzeit.

Exemplarisch kann hier die Erstellung eines Informationsregisters und die Erfüllung aller vertraglichen Merkmale mit IKT-Dienstleistern genannt werden. Unternehmen tun daher gut daran, sich jetzt mit dem DORA intensiv zu beschäftigen.

Wer nach den zurzeit gültigen BaFin-Anforderungen nach Bankaufsichtliche Anforderungen an die IT (BAIT), Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT), Versicherungsaufsichtliche Anforderungen an die IT (VAIT) oder Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT) gut aufgestellt ist, der wird auch bei rechtzeitiger Planung den DORA bewältigen können.

Wichtig: Handeln Sie jetzt, denn die Umsetzungsphase der Verordnung läuft bereits!

- EU-Verordnung
  KI-Gesetz im Überblick: DSGVO-Vergleich und GesetzestextFachbeitrag·23. April 2024
- Neues aus dem EU-Parlament zum AI ActFachbeitrag·19. April 2023
- European Health Data Space – Vorschlag der EU-KommissionNews·27. Oktober 2022
Mehr zum Thema
- IT-Sicherheit
  Wie funktionieren eigentlich Passwörter?Fachbeitrag·8. März 2024
- Krisenkommunikation durchführen mit Datenschutz und ITFachbeitrag·15. Februar 2024
- Alerts – Die Alarmmeldungen einer IT-InfrastrukturFachbeitrag·9. Februar 2024
Mehr zum Thema
- Penetrationstest
  i-Kfz-Zulassung und die InformationssicherheitFachbeitrag·16. Februar 2024
- Penetration Testing: Die Kunst, wie ein Hacker zu denkenFachbeitrag·2. Juni 2023
- Penetrationstest: Diese Datenschutz-Vorgaben sind zu beachtenFachbeitrag·9. Januar 2023
Mehr zum Thema
- Risikomanagement
  KI-Gesetz im Überblick: DSGVO-Vergleich und GesetzestextFachbeitrag·23. April 2024
- Informationssicherheit im All: BSI Richtlinie für WeltraumsystemeFachbeitrag·6. Oktober 2023
- IT-Sicherheit: Bedeutung für Unternehmen und den DatenschutzFachbeitrag·18. April 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.