IT-Security Regulatory Update | Dezember 2022

Fokus: DORA, Cloud-Outsourcings & Lieferkettensorgfaltspflicht

Highlight aus dem Dezember 2022

Digitale Operative Resilienz

Am 27. Dezember wurde der Digital Operational Resilience Act veröffentlicht, der ab Januar 2025 gelten wird. Damit kommt einiges an Aufwand auf Finanzinstitute und kritische IKT-Dienstleister zu.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Veröffentlichung des Digital Operational Resilience Act

Kurz vor Jahresende wurde der Digital Operational Resilience Act (DORA) im Europäischen Gesetzblatt veröffentlicht. Als Verordnung wird sie unmittelbar in den Mitgliedstaat gelten und ab dem 17. Januar 2025 anwendbar sein. In erster Linie befasst sich der Rechtsakt mit Informations- und Kommunikationstechnologien (IKT). DORA soll eine kohärente Vorgabe zur digitalen Betriebsstabilität darstellen und so die fragmentierte Regulierungslandschaft der Mitgliedstaaten ablösen.

Wesentliche Elemente der Verordnung sind:

  1. das IKT-Risikomanagement von Finanzinstituten,
  2. die Meldung von wesentlichen IKT-Vorfällen an die Aufsicht,
  3. eine gründliche Prüfung der IKT-Systeme, sowie
  4. eine Schärfung des Bewusstseins der Aufsichtsbehörden für Cyberrisiken und IKT-Vorfälle.

Der Anwendungsbereich des DORA ist breit und soll möglichst viele Finanzinstitute umfassen. Dabei soll aber dem Proportionalitätsgrundsatz Rechnung getragen werden. Hintergrund ist die enorme mögliche Tragweite eines Vorfalls aufgrund der hohen Vernetztheit und Abhängigkeit im Bereich der IKT. Neben Finanzinstituten sind daher auch kritische IKT-Dienstleister vom Anwendungsbereich umfasst.

Im Kontext des IKT-Risikomanagements, der Meldung IKT-bezogener Vorfälle, Tests und der Schlüsselanforderungen für eine solide Überwachung des IKT-Drittparteienrisikos sind künftig technische Regulierungsstandards durch die ESAs zu erwarten.

Den DORA finden Sie hier im Amtsblatt der EU.

© European Union, 1998-2023 / eur-lex.europa.eu

Laptop mit Schlosssymbol auf dem Bildschirm auf einer Weltkarte als Hintergrund mit Vernetzungen in verschiedene Länder

In seiner Sitzung vom 9. Juni 2022 befasste sich auch das Fachgremium IT der BaFin mit dem DORA. Zu diesem Zeitpunkt war noch die Planung für die Erarbeitung von technischen Regulierungsstandards noch nicht finalisiert. Es stand aber schon fest, dass eine Konsultation der delegierten Rechtsakte unter dem DORA erfolgen wird.

Daneben wurde über das Verhältnis zwischen DORA und die NIS2-Richtlinie informiert, die ebenfalls am 27.12.2022 veröffentlicht wurde und die Sie hier auf der Webseite des Europäischen Amtsblatts finden. Wie den Erwägungsgründen des DORA zu entnehmen ist, ist er lex specialis. Dementsprechend wird DORA vorrangig angewendet, sprich: im Fall von Widersprüchen zwischen DORA und der NIS2-Richtlinie gelten die Vorgaben des DORA.

Darüber hinaus wurde über Anpassungen der verschiedenen aufsichtlichen Anforderungen an die IT (sog. XAIT) gesprochen. Sollte nach Ermessen der BaFin eine Anpassung der XAIT nötig werden, wird diese nach der Veröffentlichung der technischen Regulierungsstandards stattfinden. Ebenfalss adressiert wurde die angekündige Überarbeitung des Merkblatts zum Cloud Outsourcing, dessen Überarbeitung sich noch etwas verzögert.

Das Protokoll des Fachgremiums IT der BaFin vom 9. Juni 2022 finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Wird das Lieferkettensorgfaltspflichtengesetz verschoben?

Aufgrund eines Antrags des Freistaats Bayern berät der Bundesrat, ob das Lieferkettensorgfaltspflichtengesetz verschoben werden soll. Das Gesetz wurde am 22. Juli 2021 im Bundesgesetzblatt verkündet und ist seit dem 1. Januar diesen Jahres in Kraft. Es definiert Sorgfaltspflichten für Unternehmen mit Sitz oder Niederlassung(en) in Deutschland, die zur Einhaltung der Menschenrechte entlang der Lieferkette beitragen sollen. Neu ist insbesondere, dass die Verantwortung der Unternehmen entlang der gesamten Lieferkette besteht.

Am 13. Dezember 2022 beantragte Bayern, das Gesetz auszusetzen. Als Grund dafür führt der Bayerische Ministerpräsident an, deutsche Unternehmen zeigen bereits ein hohes Verantwortungsbewusstsein, sodass eine Verschiebung der bindenden Anforderungen grundsätzich denkbar sei. Aufgrund der aktuellen geopolitischen Situation und den Auswirkungen der COVID 19-Pandemie seien die Unternehmen bereits stark gefordert. Die Anwendung des Lieferkettensorgfaltspflichtengesetzes sorge für eine zusätzliche, hohe Belastung. Darüber hinaus wird in dem Antrag ausgeführt, dass eine Detaillierung der Anforderungen in Form von Rechtsverordnungen und Handlungsempfehlung noch ausstehe, für die wirksame Umsetzung der Anforderungen aber nötig sei.

Inwiefern dem Antrag Erfolgschancen auszusprechen sind, ist unklar. So führt das Bundesministerium für Arbeit und Soziales auf seiner Webseite rund um das Gesetz in seinen FAQ beispielweise aus, dass „[weniger als ein Fünftel der in Deutschland ansässigen Unternehmen mit mehr als 500 Beschäftigten […] ihren Sorgfaltspflichten entlang ihrer Lieferketten ausreichend nach[kamen]„, sodass eine freiwillige Selbstverpflichtung nicht ausreiche].“

Aktuell befindet sich der Antrag in der Beratung durch die zuständigen Ausschüsse.

Den Antrag des Freistaats Bayern finden Sie hier auf der Webseite des Bundestags.
Weitere Informationen rund um das Lieferkettensorgfaltspflichtengesetz finden Sie hier auf der Webseite des Bundesministeriums für Arbeit und Soziales.

Quelle: © Deutscher Bundestag – bundestag.de

BaFin-Gremium adressiert Cloud-Weiterverlagerungen

Das Thema Weiterverlagerungen bei Cloud-Outsourcings wurde in mehreren Sitzungen des Sonderfachgremiums „Cloud/Weiterverlagerungen“ der BaFin adressiert. Die Anforderungen an diese Konstellationen ergeben sich aus den EBA Guidelines zu Auslagerungsvereinbarungen bzw. dem AT 9 MaRisk und werden von der Branche aufgrund ihrer Komplexität kritisiert.

Konkret verhält es sich laut Aussagen von Finanzinstituten so, dass Dienstleister teilweise weltweit eine Vielzahl an Subdienstleistern einsetzen, die ein breites Spektrum an Dienstleistungen und Risiken abdecken. Bei vielen dieser Einsätzen sind die Sicherstellung der Transparenz und Bewertung der Dienstleistung schwer. Die Institute lösen das Problem aktuell oftmals so, dass Sie nur die als bedeutend eingestuften Subdienstleister betrachten.

Die BaFin schlägt in diesem Kontext das folgende Vorgehen vor:

  1. Vertragliche Vereinbarung klarer Kriterien, die einen Subdienstleister potentiell bedeutsam machen. Als Beispiele werden direkte Betriebsleistungen, Unterstützungsleistungen sowie Leistungen zur Risikoreduktion genannt.
  2. Bericht des Dienstleisters zu potentiell bedeutenden Subdienstleistern auf Basis der unter 1. definierten Kriterien.
  3. Ermittlung tatsächlich bedeutender Subdienstleister durch das Institut basierend auf dem Bericht des Dienstleisters.
  4. Regelmäßige Risikoanalysen durch das Institut für neue, geänderte und potentiell bedeutende Subdienstleister.
  5. Entscheidung zur Aufnahme, Fortführung oder Anpassung der Leistung auf Basis der Ergebnisse der Risikoanalyse durch das Institut.
  6. Aufnahme bedeutender Subdienstleister in das Auslagerungsregister.
  7. Regelmäßige und uneingeschränkte Prüfung, Überwachung und Meldung der bedeutenden Subdienstleister durch das Institut.

Das Protokoll der Sitzungen des Sonderfachgremiums finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Auch wenn der DORA erst in zwei Jahren in Kraft tritt, sind die mit dem Rechtsakt verbundenen Aufwände nicht zu unterschätzen. Nicht nur auf Seiten der Finanzinstitute, sondern auch durch IKT-Dienstleister sind Umsetzungsmaßnahmen nötig. Je früher Sie damit beginnen, je besser.

Bei der Umsetzung der Vorgaben des DORA stehen wir bei ADWEKO Ihnen gerne mit unserer Expertise zur Seite.

sprechen sie mit

Pia Streicher!