DORA: Der Countdown läuft – Vorbereitung des Finanzsektors auf neue EU-Cyberrisikoregeln
Ab Januar 2025 steht für über 3.600 Unternehmen des deutschen Finanzsektors eine bedeutende Veränderung an: die Anwendung der EU-Verordnung DORA (Digital Operational Resilience Act), die darauf abzielt, den Finanzsektor widerstandsfähiger gegenüber Cyberrisiken zu machen.
Diese regulatorische Initiative gewinnt insbesondere vor dem Hintergrund jüngerer Cyberangriffe, wie dem Vorfall im Sommer 2023, bei dem die Hackergruppe Clop eine Schwachstelle im Datentransferprogramm MoveIT ausnutzte und weltweit tausende von Unternehmen betraf, an Bedeutung. Besonders betroffen waren auch deutsche Finanzinstitute und Versicherer, was die tiefgreifenden Abhängigkeiten und potenziellen Folgen von IT-Pannen oder Cyberangriffen im Finanzsektor verdeutlicht.
Verstärkter Fokus der Aufsichtsbehörden auf Cyberrisiken
Die BaFin hat, in Kooperation mit anderen europäischen Aufsichtsbehörden, bereits eine verstärkte Aufmerksamkeit auf die IT-Sicherheit von Banken, Versicherern und anderen Finanzdienstleistern gerichtet. Mit DORA führen die europäischen Aufsichtsbehörden nun ein „single rulebook“ für das Risikomanagement in Bezug auf Informations- und Kommunikationstechnologie (IKT) ein, das sämtliche Finanzunternehmen in Europa umfasst und die bisherigen nationalen Regelungen ergänzt und teilweise verschärft.
Umsetzungsfristen und technische Standards
Die Verordnung, die im Januar 2023 in Kraft getreten ist, sieht vor, dass die betroffenen Institute und Unternehmen bis Januar 2025 die neuen Anforderungen erfüllen müssen. Die drei europäischen Aufsichtsbehörden – die EBA, ESMA und EIOPA – entwickeln dazu technische Regulierungsstandards und Leitlinien. Diese sollen den Unternehmen helfen, die Vorgaben praktisch umzusetzen und gleichzeitig ein hohes Maß an Sicherheit gewährleisten.
Kernanforderungen von DORA
Zu den zentralen Elementen von DORA gehört ein umfangreiches IKT-Risikomanagement, das von der Unternehmensleitung direkt verantwortet wird. Die Unternehmen müssen nicht nur die Risiken managen, sondern auch Strategien und Budgets für ihre digitale operationale Resilienz festlegen. Dabei ist besonders wichtig, dass alle Maßnahmen auf dem neuesten Stand der Technik und international anerkannten Best Practices basieren.
Berichtspflichten und Transparenz
Ein wesentlicher Aspekt von DORA ist die Pflicht für Finanzunternehmen, IKT-Vorfälle sorgfältig zu dokumentieren, zu überwachen und zu melden. Diese Meldepflichten werden durch DORA nicht nur erweitert, sondern auch standardisiert, wobei die BaFin eine zentrale Rolle in der Entgegennahme und Weiterleitung solcher Meldungen an das BSI und europäische Aufsichtsbehörden spielt.
Testprogramme und Penetrationstests
DORA verpflichtet Unternehmen außerdem, ihre IKT-Systeme regelmäßig durch risikobasierte und proportionale Testprogramme zu überprüfen. Für bedeutende Unternehmen sind spezielle Penetrationstests (Threat Led Penetration Tests – TLPT) vorgesehen, die darauf abzielen, IT-Schwachstellen zu identifizieren und zu schließen.
Management von IKT-Drittdienstleistern
Ein weiterer wichtiger Bereich, den DORA adressiert, ist das Risikomanagement bei der Nutzung von IKT-Drittdienstleistern. Vor Vertragsabschluss ist eine umfassende Risikoanalyse und Due-Diligence-Prüfung erforderlich. Für kritische oder wichtige Funktionen müssen die Unternehmen eine Ausstiegsstrategie vorhalten und vertraglich festlegen, dass der Dienstleister bei IKT-Vorfällen unterstützt.
Vorbereitung auf den Ernstfall
Nicht zuletzt betont DORA die Bedeutung von Krisenmanagement und Notfallübungen. Der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen wird gefördert, um die Resilienz des gesamten Sektors zu stärken. Die BaFin plant, in diesem Bereich aktiv zu sein und die Zusammenarbeit und Kommunikation in Krisensituationen zu optimieren.
Schlussfolgerung:
Zusammenfassend stellt DORA eine umfassende Initiative dar, die darauf abzielt, die digitale operationale Resilienz des europäischen Finanzsektors zu stärken. Während der Countdown läuft, müssen die Unternehmen nicht nur die technischen Anforderungen umsetzen, sondern auch eine Kultur der Cybersicherheit und kontinuierlichen Verbesserung etablieren. Die nächsten zwei Jahre werden für die betroffenen Unternehmen eine kritische Phase der Anpassung und Vorbereitung sein, um den neuen Herausforderungen effektiv begegnen zu können.