DORA – eine europäische Lösung für das digitale Finanzwesen in guten wie in schlechten Zeiten?

Die Europäischen Union („EU“) stellt mit dem Digital Operational Resilience Act („DORA“) europaweite Sicherheitsanforderungen auf, um den Einsatz von Informations- und Kommunikationstechnologien im Finanzsektor zu regulieren. Der DORA verpflichtet nicht nur Finanzunternehmen, sondern auch alle IT-Dienstleister, die im Finanzsektor tätig sind. Die Verordnung soll die Digitalisierung fördern und gleichzeitig die Stabilität und Resilienz der Finanzmärkte sichern. Der am 27. Dezember 2022 im Amtsblatt der EU veröffentlichte DORA tritt Mitte Januar 2023 in Kraft. Uneingeschränkte Geltung entfaltet die Verordnung ab dem 17. Januar 2025 und gibt klar zu erkennen: Die EU meint es ernst mit ihrer Strategie für ein digitales Finanzwesen. Finanzunternehmen und deren IT-Dienstleister sollten sich daher ab jetzt mit dem neuen Regelwerk vertraut machen.
Dr. Anne-Sophie Landwers
Mittwoch, der 4. Januar 2023

Das Leitbild eines digitalen Finanzwesens …

Mit ihrer „Verordnung (EU) 2022/2554 vom 14. Dezember 2022 über die digitale Resilienz im Finanzsektor“ hat die EU erstmals einen branchenspezifischen Rechtsakt zur Cybersicherheit im Finanzsektor erlassen. Die EU geht damit einen weiteren Schritt in Richtung ihres Ziels „Europa für das digitale Zeitalter zu rüsten und eine zukunftsfähige Wirtschaft im Dienste der Menschen aufzubauen“, so die einleitenden Worte der Europäischen Kommission in ihrem Verordnungsvorschlag vom 24. September 2020. Angestrebt werde, dass „die EU die digitale Revolution als Chance nutzt, mit innovativen europäischen Unternehmen als Vorreiter vorantreibt und so dafür sorgt, dass Verbraucher und Unternehmen in Europa von den Vorteilen eines digitalen Finanzwesens profitieren können.“

… bringt neue Herausforderungen mit sich, …

Allerdings ist die Kehrseite der Medaille eines digitalen Finanzwesens das hiermit einhergehende Risiko für die Betriebsstabilität der europäischen Finanzbranche: Aus der wachsenden Abhängigkeit von Finanzunternehmen von Informations- und Kommunikationstechnologien („IKT“) folgen erhebliche Herausforderungen für die Betriebsstabilität und Leistungsfähigkeit der einzelnen Akteure sowie des Finanzsystems der EU insgesamt („IKT-Risiken“). Der Finanzsektor und die Gesellschaft sind hierdurch anfälliger für Cyberbedrohungen oder IKT-Störungen. Der russische Angriffskrieg hat die Tagesaktualität von IT-Sicherheit und Cyberrisiken – auch und gerade im Finanzsektor – erneut verdeutlicht.

Während infolge der Finanzkrise 2008 primär die finanzielle Resilienz des europäischen Bankensektors gestärkt wurde, wurde die digitale Resilienz der Finanzbranche nur bedingt und – wenn überhaupt – in nicht EU-einheitlicher Weise geregelt. Zwar existieren bereits Regelungen für Finanzunternehmen zum Thema IT-Sicherheit – allerdings gleichen diese eher einem Flickenteppich. So gelten neben ESA-Guidelines (EBA/GL/2019/04; EIOPA-BoS-20/600) für deutsche Finanzunternehmen teilweise die BaFin-Rundschreiben BAIT (für Banken), VAIT (für Versicherungen), KAIT (für Kapitalverwaltungsgesellschaften) oder ZAIT (für Zahlungsdienstleister); gewisse Finanzunternehmen unterliegen bislang gar keinen branchenspezifischen Pflichten zur Cybersecurity. Branchenübergreifende Vorschriften zum Thema IT-Sicherheit ergaben sich bisher z.B. aus der Richtlinie zur Netz- und Informationssicherheit („NIS-Richtlinie“, RL (EU) 2016/1148)) sowie der Verordnung (EU) 2019/881 der European Union Agency for Cybersecurity („ENISA“). Dies sieht der europäische Gesetzgeber insbesondere vor dem Hintergrund des grenzüberschreitenden Charakters von IKT-Risiken als problematisch an. Hierdurch würden IKT-Risiken nicht erkannt und daher nicht angegangen.

…denen durch einen einheitlichen Regelungsrahmen begegnet werden soll:

Der DORA soll als erstes europäisches Regelwerk diesen Gefahren entgegenwirken und einen detaillierten, einheitlichen und umfassenden Regelungsrahmen für alle Finanzunternehmen für die digitale Betriebsstabilität und Resilienz von EU-Finanzunternehmen schaffen. Die Verordnung gilt dementsprechend für sämtliche Akteure des Finanzsektors: Neben Banken, Zahlungsdienstleistern, Wertpapierfirmen, E-Geld-Instituten sowie Erst- und Rückversicherungsunternehmen werden auch Finanzakteure, die bisher keiner umfassenden Regulierung zur IKT-Sicherheit unterlagen, in die Pflicht genommen, z. B. Dienstleister für den Handel oder die Verwahrung von Krypto-Werten, Verwalter alternativer Investmentfonds sowie Crowdfunding-Dienstleister und IKT-Drittdienstleister. Je nach Größe des Unternehmens gelten unterschiedliche Anforderungen.

Vorgaben zur Governance, Organisation und zum IKT-Risikomanagement von Finanzunternehmen

Die Verordnung zielt zunächst auf eine Verbesserung des IKT-Risikomanagements von Finanzunternehmen ab und stellt zahlreiche Vorkehrungen in personeller, technischer sowie physischer Hinsicht sowie gründliche interne und externe Prüfmechanismen auf: Neben internen Governance- und Kontrollmechanismen, die eine umsichtige Steuerung von IKT-Risiken ermöglichen, bedarf es eines umfassenden Risikomanagementrahmens, also Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokolle und IKT-Tools, die die digitale Resilienz sicherstellen und laufend überwachen. Die Gesamtverantwortung für die Cybersicherheit wird ausdrücklich der Geschäftsleitung auferlegt. Das Personal muss IKT-Risiken erkennen und mit diesen umgehen können. Hierfür sind Programme und Schulungen vorzusehen. Ferner müssen Finanzunternehmen Programme entwickeln zum regelmäßigen Prüfen der Abwehrbereitschaft, Schwachstellen und Mängel und der Umsetzung von Korrekturmaßnahmen einschließlich Verfahren zur Behebung, Priorisierung und Klassifizierung etwaiger erkannter Fehler. Systemrelevante Institute müssen darüber hinaus mindestens alle drei Jahre bedrohungsorientierte Penetrationstests an Live-Produktionssystemen durchführen.

Behandlung, Klassifizierung und Meldepflichten bei Cyberangriffen und anderen IKT-bezogenen Vorfällen

Finanzunternehmen trifft nach der Verordnung zudem die Pflicht, Verfahren und Prozess einzurichten, um alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen zu überwachen, zu erfassen und weiterzuverfolgen, um sicherzustellen, dass die Ursachen ermittelt, dokumentiert und angegangen werden. Hierfür sind Verfahren einzurichten, um IKT-Vorfälle und deren Auswirkungen zu klassifizieren. Maßgebliche Kriterien sind hierbei u.a. Anzahl der Kunden bzw. Gegenparteien, Dauer, Umfang und Schwere der (geografischen sowie wirtschaftlichen) Auswirkungen sowie Kritikalität der betroffenen Dienste. Eine bedeutende Neuerung ist zudem die Schaffung eines kohärenten Mechanismus für die Meldung von schwerwiegenden IKT-Vorfällen, der dazu beitragen soll, den Verwaltungsaufwand für Finanzunternehmen zu verringern und deren Beaufsichtigung durch die zuständigen nationalen Behörden wirksamer zu machen. Die bislang nur lückenhaft (z.B. in § 54 ZAG für Zahlungsdienstleister oder § 24 Abs. 1 Nr. 19 KWG für Banken) geltende Meldepflicht wird damit auf die gesamte Finanzbranche ausgeweitet. Die Meldepflicht gegenüber der zuständigen Behörde ist dreistufig und besteht in dem Vorlegen einer Erstmeldung des IKT-Vorfalls, einer bzw. mehrerer Zwischenmeldung(en) bei Statusänderung und einer Abschlussmeldung, wenn die Ursachenanalyse abgeschlossen ist. Die konkreten Fristen sollen noch in technischen Regulierungsstandards erarbeitet werden. Ob hierfür eine einheitliche EU-Plattform für die Meldung schwerwiegender IKT-Vorfälle zur Verfügung stehen soll, wird noch geprüft. Die zuständige Behörde ist sodann mit der Weiterleitung der Meldung an die weiteren jeweils zuständigen nationalen und europäischen Behörden betraut. Soweit aus dem IKT-Vorfall zudem negative Folgen für die finanziellen Interessen von Kunden erwachsen könnten, sind auch diese hierüber sowie über Eindämmungsmaßnahmen zu unterrichten.

Regelungen zum Umgang mit externen IKT-Dienstleistern

Der DORA adressiert schließlich das spezifische Risiko, das sich aus der Inanspruchnahme von IKT-Diensten von externen Drittunternehmen („IKT-Drittdienstleister“) ergibt („IKT-Drittparteienrisiko“). Hierfür sieht die Verordnung Pflichten der Finanzunternehmen vor bei Abschluss, Erfüllung und Beendigung von Verträgen mit IKT-Drittdienstleistern. Im Vorfeld bedarf es einer genauen Überprüfung der Eignung des externen Dienstleisters für die übertragene Funktion. Verträge mit IKT-Drittdienstleistern müssen u.a. Regelungen zu Datensicherheit, -zugänglichkeit und -verfügbarkeit, Garantien und Vorkehrungen im Falle des Ausfalls des IKT-Drittdienstleisters enthalten und Kündigungsregelungen sowie weitere Ausstiegsstrategien und Regelungen zur Sicherung von Zugangs-, Kontroll- und Prüfungsrechten der Finanzunternehmen vorsehen. Ein sog. Informationsregister muss sämtliche Verträge aufführen.

Ein Novum ist das Überwachungs- und Aufsichtsregime für solche IKT-Drittdienstleister, die aufgrund ihrer Größe und Systemrelevanz von den ESAs (bestehend aus der Europäischen Bankenaufsichtsbehörde („EBA“), der Europäischen Wertpapier- und Marktaufsichtsbehörde („ESMA“) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung („EIOPA“)) als „kritische IKT-Drittdienstleister“ eingestuft werden. Hintergrund sind die Finanzstabilitätsrisiken, die von der Nutzung von Big Techs durch eine Vielzahl von Finanzunternehmen ausgehen können. Der DORA schafft erstmalig eigenständige Überwachungs- und Prüfungsbefugnisse der ESAs unmittelbar gegenüber externen IT-Dienstleistern. So kann die jeweils zuständige ESA (EIOPA, EBA oder ESMA) beim kritischen IKT-Drittdienstleister etwa Informationen, Unterlagen und Berichte anfordern, Untersuchungen und Inspektionen vornehmen – im Falle fehlender Befolgung notfalls durch Verhängung eines Zwangsgeldes – und im Anschluss Empfehlungen zur Anwendung von IKT-Sicherheits- und Qualitätsanforderungen oder -verfahren abgeben. Der kritische IKT-Drittdienstleister muss dann binnen 60 Tagen nach Eingang dieser Empfehlungen gegenüber der jeweils zuständigen ESA mitteilen, ob er diese umsetzen wird und ggf. seine Nichtbefolgung begründen. Für sämtliche Anschlussmaßnahmen sind die nationalen Aufsichtsbehörden zuständig. Leistet der kritische IKT-Drittdienstleister den Empfehlungen keine Folge kann die nationale Aufsichtsbehörde das Finanzunternehmen z.B. zur Kündigung des Dienstebezugs von diesem IKT-Drittdienstleister verpflichten.

Und nun?

Die DORA-Verordnung stellt umfangreiche neue Anforderungen an das IT-Risikomanagement und das Auslagerungsmanagement von Finanzunternehmen, sodass Finanzunternehmen sich, auch wenn die Verordnung erst ab 17. Januar 2025 gilt, früh mit dem Regelwerk auseinandersetzen sollten. Finanzunternehmen müssen sich auf Abstimmungs-, Schulungs- und Implementierungsaufwände einstellen. Jedenfalls werden Finanzunternehmen den gegenwärtigen Zustand im Hinblick auf die digitale Resilienz ihrer – sowohl selbst betriebenen als auch durch externe Dienstleister beanspruchten – IKT-Systeme bewerten, ein etwaiges Zurückbleiben hinter den Vorgaben des DORA feststellen und gegebenenfalls die gesteigerten Anforderungen umsetzen müssen. Auch dürfte die Einrichtung von Verfahren zur Befolgung der Meldepflichten für zahlreiche Finanzunternehmen ein Novum darstellen. Zudem könnte sich ein Anpassungsbedarf in personeller Hinsicht ergeben, namentlich eine klarere Definition von Zuständigkeiten, eine Veränderung von bestehenden Aufgabenbereichen und ein Vorsehen neuer Tätigkeiten. Schließlich ist auch IT-Dienstleistern, die in der Finanzbranche tätig sind, insbesondere wenn diese aufgrund ihrer Systemrelevanz mit hoher Wahrscheinlichkeit auf die ESA-Liste der kritischen IKT-Drittdienstleister gesetzt werden, zu empfehlen, ihre Prozesse, Systeme und Verfahren darauf zu überprüfen, ob sie den Anforderungen zur Steuerung von IKT-Risiken, die sie für Finanzunternehmen mit sich bringen müssen, entsprechen.

Neuigkeiten