Digitale operative resilienz

Cyberresilienz spielt eine immer bedeutendere Rolle, auch und gerade für (Finanz-)Unternehmen. In seinem Lagebericht zur IT-Sicherheit in Deutschland 2023 erläutert das BSI unter anderem die weiter steigenden Cyberbedrohungen, die auf einem bislang nicht bekannten Hoch sind [1]. Dazu trägt unter anderem die Professionalisierung der Cyberkriminalität bei.

Aber nicht nur auf deutschem Level, sondern auch europaweit sind Cyberrisiken weiter auf dem Vormarsch.
Folgerichtig steht die Cyberresilienz auch bei diversen Aufsichtsbehörden im Fokus [2].

Um die Cyberresilienz in der EU und bei den einzelnen Finanzunternehmen zu steigern, wurde die Verordnung und eine begleitende Richtlinie zur Digitalen operationalen Resilienz erarbeitet und veröffentlicht, die ab Januar 2025 in allen Mitgliedstaaten verbindlich gilt.

Digital Operational Resilience Act (DORA)

Mit dem Digital Operational Resilience Act (DORA) soll die digitale Resilienz von Unternehmen gesteigert werden, um der zunehmenden Bedeutung von IKT-Systemen Rechnung zu tragen. Darüber hinaus soll er Unternehmen dazu befähigen, schnell auf potentielle Bedrohungen zu reagieren.

Inhaltlich befasst sich der europäische Rechtsakt mit dem Management steigender Abhängigkeiten und Verflechtungen innerhalb der Finanzbranche, aber auch mit Dienstleistern und Infrastrukturen. Er soll die IKT-Sicherheit und digitale Resilienz als Bestandteile des operativen Risikos mehr in den Fokus rücken. Im Zuge dessen werden nationale Anforderungen harmonisiert und die Komplexität bestehender Anforderungen verringert.

betroffenHEITSanalyse

Um Ihnen den Einstieg in die Thematik zu vereinfachen, haben wir uns die Verordnung DORA und die begleitende Richtlinie näher angesehen.
Dabei haben wir ihre Adressaten, potenziell betroffene Bereiche eines Finanzunternehmens, den denkbaren Umsetzungsaufwand und den Umsetzungszeitraum angesehen. Daneben haben wir auch die delegierten Rechtsakte betrachtet, die DORA weiter aus detaillieren.

DORA-Verordnung [3]

In der DORA-Verordnung (EU) 2022/2554 werden die inhaltlichen Regelungen getroffen, die wir im Folgenden näher betrachten.
Die Zielsetzung ist, die digitale Widerstandsfähigkeit sowohl auf Ebene der Institute als auch auf Ebene des gesamten Finanzsystems zu verbessern.

Schwerpunkte jeweils im Kontext Informations- und Kommunikationstechnologie (IKT)

  1. Risikomanagement
  2. Bedrohungs- und Vorfallmanagement
  3. Testmanagement
  4. Krisen- und Notfallmanagement
  5. Drittparteirisikomanagement
  6. Informationsaustausch
DORA-Richtlinie [4]

In der DORA-Richtlinie (EU) 2022/2556 werden die notwendigen Veränderungen an den bestehenden aufsichtsrechtlichen Rahmenwerken auf Ebene der EU vorgenommen. Die bestehenden Rahmenwerke greifen die digitale operationale Resilienz bislang nur unzureichend aus und werden aus diesem Grund erweitert.

Inhaltliche Erweiterung der

  1. OGAW-Richtlinie 2009/65/EG
  2. Solvabilität II-Richtlinie 2009/138/EG
  3. AIFM-Richtlinie 2011/61/EU
  4. CRD IV-Richtlinie 2013/36/EU
  5. Abwicklungsrichtlinie 2014/59/EU
  6. MiFID II-Richtlinie 2014/65/EU
  7. PSD II-Richtlinie (EU) 2015/2366
  8. EbAV II-Richtlinie 2016/2341

Adressaten

  • Banken
  • Finanzdienstleister
  • Wertpapierinstitute
  • Versicherer
  • Pensionsfonds
  • KVGen
  • Investmentfonds
  • IKT-  Drittdienstleister

Betroffene Bereiche

  • Risikomanagement
  • Governance
  • Unternehmensleitung
  • Auslagerungsmanagement
  • Providermanagement
  • Strategie
  • Meldewesen
  • Informationssicherheit
  • Recht & Compliance
  • Prozessmanagement
  • IT Strategie & Governance
  • Notfallmanagement
  • Kommunikation
  • Interne Revision
  • Testmanagement

Umsetzungsaufwand

Insgesamt mittel, sofern die Compliance mit den Mindestanforderungen an das Risikomanagement bzw. die ordnungsgemäße Geschäftsführung sowie die aufsichtlichen Anforderungen an die IT eingehalten sind.

Risikomanagement mittel
Bedrohungs- und Vorfallsmanagement mittel bis hoch
Testmanagement mittel bis hoch
Krisen- und Notfallmanagement mittel bis hoch
Drittparteirisikomanagement hoch
Informationsaustausch niedrig

Termine

Inkrafttreten: 17.01.2023
Geltungsbeginn: 17.01.2025

Als Verordnung gelten die Vorgaben unmittelbar ab Januar 2025 für Finanzunternehmen und IKT-Dienstleister auch in Deutschland. Im Zuge des Finanzmarktdigitalisierungsgesetzes [5] wird zugleich die Richtlinie in nationales Recht umgesetzt und zieht Änderungen an KWG, VAG, ZAG, KAGB und einigen weiteren Gesetzen nach sich.

DORA adressiert diverse Themengebiete und berührt daher viele Bereiche in den Finanzunternehmen. Auch der Kreis der von der Verordnung ausgenommenen Institute ist überschaubar.

BACC
2023 September

Kriterien zur Einordnung kritischer IKT-Dienstleister i.S.d. Art. 31 DORA (Call for Advice an die ESAs)

2024 Januar

Veröffentlichung der ersten Welle RTS und ITS unter DORA

  • IKT-Risikomanagementrahmen und vereinfachter Risikomanagementrahmen (Art. 15, 16 Abs. 3 DORA)
  • Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3 DORA)
  • Informationsregister (Art. 28 Abs. 9 DORA)
  • Leitlinie zum Bezug von kritischen / wichtigen IKT-Dienstleistungen (Art. 28 Abs. 10 DORA)

Weitere Details zu den Rechtsakten finden Sie hier.

2024 Juli

Veröffentlichung der zweiten Welle RTS und ITS unter DORA

  • Bestimmung der aggregierten Kosten und Verluste bei IKT-bezogenen Vorfällen (Art. 11 Abs. 1 DORA)
  • Melden von bedeutenden IKT-bezogenen Vorfällen (Art. 20 lit. a), b) DORA)
  • Zentralisierung des Incident Reportings (Art. 21 DORA)
  • Spezifikation Threat Lead Penetration Testing (Art. 26 Abs.1 DORA)
  • Identifikation kritischer / wichtiger IKT-Dienstleistungen (Art. 30 Abs. 5 DORA)

Weitere Details zu den Rechtsakten finden Sie hier.

2025 Januar

Geltungsbeginn Digital Operational Resilience Act (VO (EU) 2022/2554)

Bulletproofing Your Business

Prüfen Sie anhand unserer Checkliste, ob Sie die Anforderungen des DORA bereits einhalten und identifizieren Sie so Ihren Handlungsbedarf bis 2025.

In unserer Checkliste stellen wir Ihnen die Anforderungen des DORA dar. Enthalten ist auch eine Einschätzung, welche Anforderungen so oder in ähnlicher Form bereits durch andere regulatorische Vorgaben verankert sind. Haben wir Ihr Interesse geweckt? Dann nutzen Sie die Gelegenheit und bleiben über regulatorische Änderungen rund um die IT-Sicherheit auf dem Laufenden.

Erhalten Sie Zugriff auf unsere kostenlose Checkliste.

„DORA – Viel Lärm um nichts?!“

Gemeinsam mit unseren X1F-Schwestern matrix technology und e2 Security fühlen wir dem DORA auf den Zahn:
Zum Einstieg des Webinars vom Oktober 2023 wird Adweko Sie in die regulatorische Einordung von DORA als europäische Vorgabe mit dem entsprechenden Wirkungszeitpunkt führen. Matrix technology und e2 Security gehen auf die Anforderungen zur Steuerung und das Management von Dienstleistungen sowie bedrohungsorientierten Penetrationstests (Threat Lead Penetration Test, TLPT) ein.

Quellen:

  1. https://bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
  2. EIOPA: https://www.eiopa.europa.eu/macro-markets-and-digitalisation-risks-are-insurers-top-concern-according-eiopas-insurance-risk-2023-11-06_en,
    ESMA: https://esma.europa.eu/press-news/esma-news/esma-put-cyber-risk-new-union-strategic-supervisory-priority,
    EBA: https://www.eba.europa.eu/eba-publishes-its-work-programme-2024,
    ESAs: https://www.eba.europa.eu/esas-publish-joint-committee-work-programme-2024
  3. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
  4. https://eur-lex.europa.eu/eli/dir/2022/2556/oj
  5. https://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Gesetzesvorhaben/Abteilungen/Abteilung_VII/20_Legislaturperiode/2023-10-23-FinmadiG/0-Gesetz.html 

SprEchen Sie mIT
PIA STREICHER!

Pia Streicher