IT-Security Regulatory Update | Dezember 2022
Fokus: DORA, Cloud-Outsourcings & Lieferkettensorgfaltspflicht
Highlight aus dem Dezember 2022
Digitale Operative Resilienz
Am 27. Dezember wurde der Digital Operational Resilience Act veröffentlicht, der ab Januar 2025 gelten wird. Damit kommt einiges an Aufwand auf Finanzinstitute und kritische IKT-Dienstleister zu.
Veröffentlichung des Digital Operational Resilience Act
Kurz vor Jahresende wurde der Digital Operational Resilience Act (DORA) im Europäischen Gesetzblatt veröffentlicht. Als Verordnung wird sie unmittelbar in den Mitgliedstaat gelten und ab dem 17. Januar 2025 anwendbar sein. In erster Linie befasst sich der Rechtsakt mit Informations- und Kommunikationstechnologien (IKT). DORA soll eine kohärente Vorgabe zur digitalen Betriebsstabilität darstellen und so die fragmentierte Regulierungslandschaft der Mitgliedstaaten ablösen.
Wesentliche Elemente der Verordnung sind:
- das IKT-Risikomanagement von Finanzinstituten,
- die Meldung von wesentlichen IKT-Vorfällen an die Aufsicht,
- eine gründliche Prüfung der IKT-Systeme, sowie
- eine Schärfung des Bewusstseins der Aufsichtsbehörden für Cyberrisiken und IKT-Vorfälle.
Der Anwendungsbereich des DORA ist breit und soll möglichst viele Finanzinstitute umfassen. Dabei soll aber dem Proportionalitätsgrundsatz Rechnung getragen werden. Hintergrund ist die enorme mögliche Tragweite eines Vorfalls aufgrund der hohen Vernetztheit und Abhängigkeit im Bereich der IKT. Neben Finanzinstituten sind daher auch kritische IKT-Dienstleister vom Anwendungsbereich umfasst.
Im Kontext des IKT-Risikomanagements, der Meldung IKT-bezogener Vorfälle, Tests und der Schlüsselanforderungen für eine solide Überwachung des IKT-Drittparteienrisikos sind künftig technische Regulierungsstandards durch die ESAs zu erwarten.
Den DORA finden Sie hier im Amtsblatt der EU.
© European Union, 1998-2023 / eur-lex.europa.eu
In seiner Sitzung vom 9. Juni 2022 befasste sich auch das Fachgremium IT der BaFin mit dem DORA. Zu diesem Zeitpunkt war noch die Planung für die Erarbeitung von technischen Regulierungsstandards noch nicht finalisiert. Es stand aber schon fest, dass eine Konsultation der delegierten Rechtsakte unter dem DORA erfolgen wird.
Daneben wurde über das Verhältnis zwischen DORA und die NIS2-Richtlinie informiert, die ebenfalls am 27.12.2022 veröffentlicht wurde und die Sie hier auf der Webseite des Europäischen Amtsblatts finden. Wie den Erwägungsgründen des DORA zu entnehmen ist, ist er lex specialis. Dementsprechend wird DORA vorrangig angewendet, sprich: im Fall von Widersprüchen zwischen DORA und der NIS2-Richtlinie gelten die Vorgaben des DORA.
Darüber hinaus wurde über Anpassungen der verschiedenen aufsichtlichen Anforderungen an die IT (sog. XAIT) gesprochen. Sollte nach Ermessen der BaFin eine Anpassung der XAIT nötig werden, wird diese nach der Veröffentlichung der technischen Regulierungsstandards stattfinden. Ebenfalss adressiert wurde die angekündige Überarbeitung des Merkblatts zum Cloud Outsourcing, dessen Überarbeitung sich noch etwas verzögert.
Das Protokoll des Fachgremiums IT der BaFin vom 9. Juni 2022 finden Sie hier auf der Webseite der BaFin.
Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Wird das Lieferkettensorgfaltspflichtengesetz verschoben?
Aufgrund eines Antrags des Freistaats Bayern berät der Bundesrat, ob das Lieferkettensorgfaltspflichtengesetz verschoben werden soll. Das Gesetz wurde am 22. Juli 2021 im Bundesgesetzblatt verkündet und ist seit dem 1. Januar diesen Jahres in Kraft. Es definiert Sorgfaltspflichten für Unternehmen mit Sitz oder Niederlassung(en) in Deutschland, die zur Einhaltung der Menschenrechte entlang der Lieferkette beitragen sollen. Neu ist insbesondere, dass die Verantwortung der Unternehmen entlang der gesamten Lieferkette besteht.
Am 13. Dezember 2022 beantragte Bayern, das Gesetz auszusetzen. Als Grund dafür führt der Bayerische Ministerpräsident an, deutsche Unternehmen zeigen bereits ein hohes Verantwortungsbewusstsein, sodass eine Verschiebung der bindenden Anforderungen grundsätzich denkbar sei. Aufgrund der aktuellen geopolitischen Situation und den Auswirkungen der COVID 19-Pandemie seien die Unternehmen bereits stark gefordert. Die Anwendung des Lieferkettensorgfaltspflichtengesetzes sorge für eine zusätzliche, hohe Belastung. Darüber hinaus wird in dem Antrag ausgeführt, dass eine Detaillierung der Anforderungen in Form von Rechtsverordnungen und Handlungsempfehlung noch ausstehe, für die wirksame Umsetzung der Anforderungen aber nötig sei.
Inwiefern dem Antrag Erfolgschancen auszusprechen sind, ist unklar. So führt das Bundesministerium für Arbeit und Soziales auf seiner Webseite rund um das Gesetz in seinen FAQ beispielweise aus, dass „[weniger als ein Fünftel der in Deutschland ansässigen Unternehmen mit mehr als 500 Beschäftigten […] ihren Sorgfaltspflichten entlang ihrer Lieferketten ausreichend nach[kamen]„, sodass eine freiwillige Selbstverpflichtung nicht ausreiche].“
Aktuell befindet sich der Antrag in der Beratung durch die zuständigen Ausschüsse.
Den Antrag des Freistaats Bayern finden Sie hier auf der Webseite des Bundestags.
Weitere Informationen rund um das Lieferkettensorgfaltspflichtengesetz finden Sie hier auf der Webseite des Bundesministeriums für Arbeit und Soziales.
Quelle: © Deutscher Bundestag – bundestag.de
BaFin-Gremium adressiert Cloud-Weiterverlagerungen
Das Thema Weiterverlagerungen bei Cloud-Outsourcings wurde in mehreren Sitzungen des Sonderfachgremiums „Cloud/Weiterverlagerungen“ der BaFin adressiert. Die Anforderungen an diese Konstellationen ergeben sich aus den EBA Guidelines zu Auslagerungsvereinbarungen bzw. dem AT 9 MaRisk und werden von der Branche aufgrund ihrer Komplexität kritisiert.
Konkret verhält es sich laut Aussagen von Finanzinstituten so, dass Dienstleister teilweise weltweit eine Vielzahl an Subdienstleistern einsetzen, die ein breites Spektrum an Dienstleistungen und Risiken abdecken. Bei vielen dieser Einsätzen sind die Sicherstellung der Transparenz und Bewertung der Dienstleistung schwer. Die Institute lösen das Problem aktuell oftmals so, dass Sie nur die als bedeutend eingestuften Subdienstleister betrachten.
Die BaFin schlägt in diesem Kontext das folgende Vorgehen vor:
- Vertragliche Vereinbarung klarer Kriterien, die einen Subdienstleister potentiell bedeutsam machen. Als Beispiele werden direkte Betriebsleistungen, Unterstützungsleistungen sowie Leistungen zur Risikoreduktion genannt.
- Bericht des Dienstleisters zu potentiell bedeutenden Subdienstleistern auf Basis der unter 1. definierten Kriterien.
- Ermittlung tatsächlich bedeutender Subdienstleister durch das Institut basierend auf dem Bericht des Dienstleisters.
- Regelmäßige Risikoanalysen durch das Institut für neue, geänderte und potentiell bedeutende Subdienstleister.
- Entscheidung zur Aufnahme, Fortführung oder Anpassung der Leistung auf Basis der Ergebnisse der Risikoanalyse durch das Institut.
- Aufnahme bedeutender Subdienstleister in das Auslagerungsregister.
- Regelmäßige und uneingeschränkte Prüfung, Überwachung und Meldung der bedeutenden Subdienstleister durch das Institut.
Das Protokoll der Sitzungen des Sonderfachgremiums finden Sie hier auf der Webseite der BaFin.
Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de
Auch wenn der DORA erst in zwei Jahren in Kraft tritt, sind die mit dem Rechtsakt verbundenen Aufwände nicht zu unterschätzen. Nicht nur auf Seiten der Finanzinstitute, sondern auch durch IKT-Dienstleister sind Umsetzungsmaßnahmen nötig. Je früher Sie damit beginnen, je besser.
Bei der Umsetzung der Vorgaben des DORA stehen wir bei ADWEKO Ihnen gerne mit unserer Expertise zur Seite.
Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick
Finanzstabilitätsbericht der EIOPA betrachtet Cyberrisiken für Versicherer
ENISA veröffentlicht Bericht zur Informationsmanipulation und Cybersicherheit
BSI veröffentlicht aktuellen Stand zum Standard 200-4 sowie zugehöriges Glossar
BSI veröffentlicht Hilfestellung zum BSI-Standard 200-4 in Form eines Anforderungskatalogs
BSI veröffentlicht Baustein CON.2 Datenschutz in der Edition 2023: zum Baustein, der Kreuzreferenztabelle, der Änderungsübersicht und der Word-Version
BSI veröffentlicht Baustein OPS.3.2 Anbieten von Outsourcing in der Edition 2023: zum Baustein, der Kreuzreferenztabelle und der Word-Version
Europäisches Parlament veröffentlicht ein Impact Assessment zur Cyberresilienz
EU-Parlament veröffentlicht Briefing zum Rechtsakt für Cyberresilienz
Kommission veröffentlicht Entwurf zur Methode zur Berechnung der Aufsichtsgebühren gem. Digital Services Act