DATIS IT-Services informiert zu DORA: Regulierung der Resilienz in der Finanzbranche

Startseite / Aktuelles / DATIS IT-Services informiert zu DORA: Regulierung der Resilienz in der Finanzbranche

Ziel der Verordnung

Das Ziel der EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) ist, das Finanzsystem robuster gegenüber Cyberangriffen und andere Risiken der Informations- und Kommunikationstechnologie (IKT) zu machen.

DORA trat am 17. Januar 2023 mit einer Umsetzungsfrist von 24 Monaten in Kraft. Als EU-Verordnung gilt sie nach dieser Frist ab dem 17. Januar 2025 unmittelbar in allen Mitgliedsstaaten der EU. Eine Umsetzung in nationales Recht ist für die Gültigkeit nicht erforderlich.

Die Verordnung enthält umfangreiche Anforderungen an Informationssicherheits- und IT-Risikomanagement, an IT-Notfallmanagement und das Management von Services, welche von IT-Dienstleistern bezogen werden.

Im Vergleich zu NIS2 gilt DORA für Banken als sektorspezifischer Akt, womit anstelle der allgemeiner gehaltenen NIS2-Anforderungen die deutlich detaillierteren Anforderungen aus DORA umzusetzen sind.

Welche Unternehmen sind betroffen?

DORA gilt für alle Unternehmen der Finanzbranche. Hierunter fallen Banken, Versicherungsunternehmen, Zahlungsdienstleister und Forderungsmanagement, aber auch Ratingagenturen und Anbieter von Kryptodienstleistungen. Ausnahmen oder vereinfachte Regelungen gelten nur für einzelne Finanzunternehmen, beispielsweise für sehr kleine Firmen. Deutsche Banken etwa müssen die DORA-Anforderungen immer komplett umsetzen.

Die europäischen Finanzaufsichtsbehörden (European Supervisory Authorities, ESAs) konkretisieren DORA über delegierte Rechtsakte – technische Regulierungsstandards (Regulatory Technical Standard, RTS) und Implementierungsstandards (Implementing Technical Standard, ITS). RTS und ITS liegen bereits als Entwürfe vor, werden jedoch erst im Laufe des Jahres 2024 auf Ebene der EU verabschiedet.

Was ist zu tun?

Die wesentlichen Elemente der Verordnung werden im Folgenden ohne Anspruch auf Vollständigkeit kurz dargestellt.

1. Eigenes IKT-Risikomanagement (DORA Kapitel II)

Dieses Kernelement orientiert sich an gängigen internationalen Standards zur Identifizierung und dem Umgang mit Risiken, insbesondere dem NIST Cybersecurity Framework (National Institute of Standards and Technology, eine Bundesbehörde in den USA). Bisherige Anforderungen an das Risikomanagement, etwa bei MaRisk, basieren auf der ISO/IEC 270xx Normenreihe oder auf Vorgaben des BSI. Diese Anforderungen müssen gegen die Anforderungen von DORA geprüft und ggf. angepasst werden.

Besonders hervorzuheben sind einige konkrete Vorgaben aus dem RTS für das Risikomanagement:

  • Quellcode von Dritten und proprietäre Software ist auf Verwundbarkeiten und Anomalien zu überprüfen. Die Einschätzung von Open Source ist hierbei noch nicht geklärt.
  • Daten sind entsprechend ihrer Kritikalität mittels aktueller Verfahren in der gesamten Verarbeitung, also inklusive Speicherung und Übertragung, zu verschlüsseln. Falls dies nicht möglich ist, müssen besondere Schutzvorkehrungen getroffen werden.
  • Konsequente Anwendung des Change Managements bei Änderungen an allen beteiligten Informationswerten.
  • Automatisierte, wöchentliche Schwachstellenscans von für die Leistungserbringung kritischer IKT-Assets und Behebung dieser Schwachstellen.
  • Betrachtung von 9 Mindestszenarien für das Notfallmanagement
  • Vorkehrungen zur temporären Isolierung von Subnetzen, Netzwerkkomponenten und Geräten uvm.
2. Behandlung von Sicherheitsvorfällen (DORA Kapitel III)

DORA weitet die heutige Meldepflicht aus dem ZAG (Zahlungsdiensteaufsichtsgesetz) auf alle schwerwiegenden IKT-bezogenen Vorfälle aus und fordert über ein Meldeportal der Finanzaufsicht umfangreiche Angaben zu Ursachen und Auswirkungen. Die Bafin teilt solche Meldungen mit dem BSI zur Erfüllung der NIS2-Richtlinie.

Die Meldepflicht von Vorfällen erstreckt sich durch die gesamte Lieferkette der Erbringung der Dienstleistung. IKT-Dienstleister müssen die Finanzunternehmen über IKT-bezogene Vorfälle zuverlässig und zeitnah informieren. Finanzunternehmen müssen Dienstleister entsprechend verpflichten.

3. Testen der digitalen operationalen Resilienz (DORA Kapitel IV)

Es werden allgemeine Anforderungen für das Testen aufgestellt, sowie konkrete Testarten genannt, darunter Schwachstellenscans, Gap-Analysen, Quelltextanalysen, Netzwerksicherheitsbewertungen und Penetrationstests. Kritische Teile der ITK-Infrastruktur müssen häufiger getestet werden als andere.

Erweiterte Tests auf Basis von TLPT (Threat-led Penetration Testing) müssen nur von systemrelevanten Finanzunternehmen mit hohem IKT-Reifegrad durchgeführt werden. Stichwort hierbei ist das Red Team Testing (TIBER-EU). Es legt Regeln und Mindeststandards fest, nach denen Unternehmen ihre Cyberabwehrfähigkeit durch beauftragte Hacker überprüfen lassen können.

4. Risikomanagement für IT-Dienstleister (DORA Kapitel V)

Alle Dienstleister, die dauerhaft ITK-Dienstleistungen für das Unternehmen erbringen, müssen etliche vertraglich festgelegte Mindestvereinbarungen erfüllen. Der Vertragsanpassungen werden in der Praxis unvermeidbar sein. Diese Verträge werden im Rahmen des Dienstleister Risikomanagements in einem Informationsregister geführt.

IKT-Dienstleister, die kritische oder wichtige Funktionen von Finanzinstituten unterstützen, müssen vertragliche Anforderungen erfüllen, wie etwa:

  • Einhaltung angemessener Standards für Informationssicherheit
  • Verpflichtung zur Zusammenarbeit mit den zuständigen Aufsichtsbehörden
  • vollständige Beschreibung der Dienstleistungsgüte mit präzisen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte
  • Implementierung und Test von Notfallplänen
  • Recht auf fortlaufende Überwachung, beispielsweise im Rahmen von Vor-Ort-Inspektionen
  • Ausstiegsstrategien einschließlich angemessener Übergangszeiträume

Wie kann DATIS IT-Services helfen?

DATIS als Rechenzentrumsdienstleister erfüllt bereits heute etliche Anforderungen aus dem Bereich der Informationssicherheit und ist ITK-Dienstleister für verschiedene Branchen mit jeweils eigenen Anforderungen, auch dem Finanzsektor.

Auch diese neue Herausforderung wollen wir gemeinsam mit unseren Kunden meistern. Wir bieten eine gemeinsame Bewertung der Sachlage und das gemeinsame Herausarbeiten von Anforderungen im Rahmen eines Projekts an. Hierfür stellen wir unsere technische Expertise zur Verfügung und werden Lösungswege anbieten, die die Anforderungen der Verordnung erfüllen und ein Mindestmaß an Zusatzleistung beinhalten.

Auch wenn viele der endgültigen Regelungen erst Mitte des Jahres 2024 vorliegen werden und Stand heute noch keine Musterverträge von Unternehmen mit ihren ITK-Dienstleistern existieren, lohnt es sich, bereits heute Möglichkeiten zur Umsetzung der Anforderungen zu besprechen. Kontaktieren Sie uns gerne, damit wir Sie auf dem Weg der DORA-Umsetzung mit unserer Expertise begleiten.

Haben wir Ihr Interesse geweckt? Nehmen Sie Kontakt
für einen individuellen Beratungstermin auf!

KONTAKT AUFNEHMEN
Maximilian Münch

Maximilian Münch

Business Development

  • LinkedIn

  • Xing