Digitale operative resilienz
Cyberresilienz spielt eine immer bedeutendere Rolle, auch und gerade für (Finanz-)Unternehmen. In seinem Lagebericht zur IT-Sicherheit in Deutschland 2023 erläutert das BSI unter anderem die weiter steigenden Cyberbedrohungen, die auf einem bislang nicht bekannten Hoch sind [1]. Dazu trägt unter anderem die Professionalisierung der Cyberkriminalität bei.
Aber nicht nur auf deutschem Level, sondern auch europaweit sind Cyberrisiken weiter auf dem Vormarsch.
Folgerichtig steht die Cyberresilienz auch bei diversen Aufsichtsbehörden im Fokus [2].
Um die Cyberresilienz in der EU und bei den einzelnen Finanzunternehmen zu steigern, wurde die Verordnung und eine begleitende Richtlinie zur Digitalen operationalen Resilienz erarbeitet und veröffentlicht, die ab Januar 2025 in allen Mitgliedstaaten verbindlich gilt.
Digital Operational Resilience Act (DORA)
Mit dem Digital Operational Resilience Act (DORA) soll die digitale Resilienz von Unternehmen gesteigert werden, um der zunehmenden Bedeutung von IKT-Systemen Rechnung zu tragen. Darüber hinaus soll er Unternehmen dazu befähigen, schnell auf potentielle Bedrohungen zu reagieren.
Inhaltlich befasst sich der europäische Rechtsakt mit dem Management steigender Abhängigkeiten und Verflechtungen innerhalb der Finanzbranche, aber auch mit Dienstleistern und Infrastrukturen. Er soll die IKT-Sicherheit und digitale Resilienz als Bestandteile des operativen Risikos mehr in den Fokus rücken. Im Zuge dessen werden nationale Anforderungen harmonisiert und die Komplexität bestehender Anforderungen verringert.
betroffenHEITSanalyse
Um Ihnen den Einstieg in die Thematik zu vereinfachen, haben wir uns die Verordnung DORA und die begleitende Richtlinie näher angesehen.
Dabei haben wir ihre Adressaten, potenziell betroffene Bereiche eines Finanzunternehmens, den denkbaren Umsetzungsaufwand und den Umsetzungszeitraum angesehen. Daneben haben wir auch die delegierten Rechtsakte betrachtet, die DORA weiter aus detaillieren.
In der DORA-Verordnung (EU) 2022/2554 werden die inhaltlichen Regelungen getroffen, die wir im Folgenden näher betrachten.
Die Zielsetzung ist, die digitale Widerstandsfähigkeit sowohl auf Ebene der Institute als auch auf Ebene des gesamten Finanzsystems zu verbessern.
Schwerpunkte jeweils im Kontext Informations- und Kommunikationstechnologie (IKT)
- Risikomanagement
- Bedrohungs- und Vorfallmanagement
- Testmanagement
- Krisen- und Notfallmanagement
- Drittparteirisikomanagement
- Informationsaustausch
In der DORA-Richtlinie (EU) 2022/2556 werden die notwendigen Veränderungen an den bestehenden aufsichtsrechtlichen Rahmenwerken auf Ebene der EU vorgenommen. Die bestehenden Rahmenwerke greifen die digitale operationale Resilienz bislang nur unzureichend aus und werden aus diesem Grund erweitert.
Inhaltliche Erweiterung der
Adressaten
- Banken
- Finanzdienstleister
- Wertpapierinstitute
- Versicherer
- Pensionsfonds
- KVGen
- Investmentfonds
- IKT- Drittdienstleister
Betroffene Bereiche
- Risikomanagement
- Governance
- Unternehmensleitung
- Auslagerungsmanagement
- Providermanagement
- Strategie
- Meldewesen
- Informationssicherheit
- Recht & Compliance
- Prozessmanagement
- IT Strategie & Governance
- Notfallmanagement
- Kommunikation
- Interne Revision
- Testmanagement
Umsetzungsaufwand
Insgesamt mittel, sofern die Compliance mit den Mindestanforderungen an das Risikomanagement bzw. die ordnungsgemäße Geschäftsführung sowie die aufsichtlichen Anforderungen an die IT eingehalten sind.
Risikomanagement | mittel |
Bedrohungs- und Vorfallsmanagement | mittel bis hoch |
Testmanagement | mittel bis hoch |
Krisen- und Notfallmanagement | mittel bis hoch |
Drittparteirisikomanagement | hoch |
Informationsaustausch | niedrig |
Termine
Inkrafttreten: 17.01.2023
Geltungsbeginn: 17.01.2025
Als Verordnung gelten die Vorgaben unmittelbar ab Januar 2025 für Finanzunternehmen und IKT-Dienstleister auch in Deutschland. Im Zuge des Finanzmarktdigitalisierungsgesetzes [5] wird zugleich die Richtlinie in nationales Recht umgesetzt und zieht Änderungen an KWG, VAG, ZAG, KAGB und einigen weiteren Gesetzen nach sich.
DORA adressiert diverse Themengebiete und berührt daher viele Bereiche in den Finanzunternehmen. Auch der Kreis der von der Verordnung ausgenommenen Institute ist überschaubar.
Bulletproofing Your Business
Prüfen Sie anhand unserer Checkliste, ob Sie die Anforderungen des DORA bereits einhalten und identifizieren Sie so Ihren Handlungsbedarf bis 2025.
In unserer Checkliste stellen wir Ihnen die Anforderungen des DORA dar. Enthalten ist auch eine Einschätzung, welche Anforderungen so oder in ähnlicher Form bereits durch andere regulatorische Vorgaben verankert sind. Haben wir Ihr Interesse geweckt? Dann nutzen Sie die Gelegenheit und bleiben über regulatorische Änderungen rund um die IT-Sicherheit auf dem Laufenden.
Erhalten Sie Zugriff auf unsere kostenlose Checkliste.
„DORA – Viel Lärm um nichts?!“
Gemeinsam mit unseren X1F-Schwestern matrix technology und e2 Security fühlen wir dem DORA auf den Zahn:
Zum Einstieg des Webinars vom Oktober 2023 wird Adweko Sie in die regulatorische Einordung von DORA als europäische Vorgabe mit dem entsprechenden Wirkungszeitpunkt führen. Matrix technology und e2 Security gehen auf die Anforderungen zur Steuerung und das Management von Dienstleistungen sowie bedrohungsorientierten Penetrationstests (Threat Lead Penetration Test, TLPT) ein.
Quellen:
- https://bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
- EIOPA: https://www.eiopa.europa.eu/macro-markets-and-digitalisation-risks-are-insurers-top-concern-according-eiopas-insurance-risk-2023-11-06_en,
ESMA: https://esma.europa.eu/press-news/esma-news/esma-put-cyber-risk-new-union-strategic-supervisory-priority,
EBA: https://www.eba.europa.eu/eba-publishes-its-work-programme-2024,
ESAs: https://www.eba.europa.eu/esas-publish-joint-committee-work-programme-2024 - https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- https://eur-lex.europa.eu/eli/dir/2022/2556/oj
- https://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Gesetzesvorhaben/Abteilungen/Abteilung_VII/20_Legislaturperiode/2023-10-23-FinmadiG/0-Gesetz.html