Vom OpRisk zur ganzheitlichen operativen Resilienz
Die zunehmende Bedeutung der IT-Sicherheit und von Cyberrisiken im Finanzsektor verbindet in diesem Kontext insbesondere zudem das Thema Business Continuity Management, bzw. Notfallmanagement. Und das nicht nur durch die zunehmende Digitalisierung des Bankgeschäfts und die pandemiebedingte Arbeit in Heimarbeit, sondern auch die derzeitige politische Lage und die damit verbundene zunehmende Bedrohung durch Cyberangriffe gehören in diesen Kontext.
Der veröffentlichte Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit sieht dort ein zunehmendes Risiko durch Cyberattacken.
Die Verordnung DORA soll Lücken schließen, um die operative Widerstandsfähigkeit und Solidität des gesamten Finanzsystems gegen ungewünschte Vorfälle zu erreichen,
Das „klassische“ operationelle Risikomanagement beschäftigt sich mit vier Hauptkategorien (Infrastruktur, Personal, IT, Gebäude). Das allein erscheint nicht mehr ausreichend.
Welche Zielsetzung verfolgt also die Regulierung DORA ?
Der Digital Operational Resilience Act (DORA) adressiert ein wichtiges Problem in der EU-Finanzregulierung. Vor der DORA verwalteten Finanzinstitute die Hauptkategorien des operationellen Risikos (IT, Facility, Staff, Infrastructure) hauptsächlich mit der Zuweisung von Kapital. Nicht alle Komponenten der operationellen Widerstandsfähigkeit wurden somit erfasst. Nach DORA müssen die Finanzinstitute auch Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Wiederherstellungsfähigkeiten gegen IKT-bezogene Vorfälle befolgen. Die DORA bezieht sich ausdrücklich auf das IKT-Risiko und legt Regeln für das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der operativen Widerstandsfähigkeit und die Überwachung des IKT-Risikos durch Dritte fest.
Diese Verordnung erkennt an, dass IKT-Vorfälle und ein Mangel an operativer Widerstandsfähigkeit die Solidität des gesamten Finanzsystems gefährden können, selbst wenn für die traditionellen Risikokategorien „angemessenes“ Kapital vorhanden ist.
Bis wann müssen die betroffenen Unternehmen diese Verordnung umsetzen?
Die Verordnung gilt ab dem 17. Januar 2025. Bei dem Digital Operational Resilience Act (DORA) handelt es sich um eine Verordnung (!!) und nicht eine Richtlinie. Somit ist sie in all ihren Teilen verbindlich und unmittelbar für die EU-Mitgliedstaaten gültig
Welche Unternehmen sind von DORA betroffen?
Gemäß Art. 2 Abs. 1 der DORA-Verordnung gelten die Verpflichtungen grundsätzlich für alle Versicherungs- und Rückversicherungsunternehmen, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Ratingagenturen Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto- Dienstleistungen sowie für weitere Unternehmen wie Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste – in der Summe als „Finanzunternehmen“ definiert sowie IKT-Drittdienstleister.
Gemäß Art. 2 Abs. 3 der DORA-Verordnung werden allerdings einzelne Unternehmensgruppen wie z.B. Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung vom Anwendungskreis ausgenommen. Zudem können gemäß Art. 2 Abs. 4 der DORA-Vorordnung Institute die EU-Mitgliedsstaaten in Form eines nationalen Wahlrechts solche Institute vom DORA-Anwendungskreis ausnehmen, welche in Art. 2 Abs. 5 der CRD (Capital Requirements Directive) genannt sind. Dies kann z.B. die Kreditanstalt für Wiederaufbau und die staatlichen Förderbanken der Bundesländer betreffen.
In der finalen Fassung von DORA ist ein „IKT-Drittdienstleister“ definiert als „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“. IKT-Dienstleistungen sind relativ weit definiert als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.
Die genannten Punkte zeigen, dass einerseits relativ viele Unternehmen von den neuen Vorgaben betroffen sein können und andererseits die potenziell betroffenen Unternehmen prüfen sollten, ob sie ggf. doch durch eine der in der DORA-Verordnung enthaltenen Ausnahmen im Einzelfall möglicherweise vom Anwendungsbereich ausgenommen werden können.
Zudem sind die einzelnen Vorgaben der DORA-Verordnung abhängig von der Größe der Unternehmen umzusetzen. So sind zahlreiche Vorgaben für besonders kleine Unternehmen (so genannte Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz, bzw. einer Bilanzsumme von weniger als 2 Mio. EUR) nicht umzusetzen und für kleine und mittlere, nicht verflochtene Unternehmen nur eingeschränkt relevant.
Was sind die Kernpunkte von DORA?
Neben dem in Artikel 2 der Verordnung definierten, weit gefassten Anwendungsbereich der Finanzunternehmen beinhaltet die DORA-Verordnung Regelungen zu den folgenden wesentlichen, für Finanzinstitute operativ relevanten Kernthemen:
- IKT-Risikomanagementrahmen inklusive Anforderungen an das Business Continuity Management mit Stärkung des Informationsrisiko- und Informationssicherheitsmanagements (Kapitel II),
- Behandlung von IKT-Vorfällen und deren Meldung (Kapitel III)
- Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen (Kapitel IV) sowie
- Steuerung und Überwachung von IKT- Drittdienstleisterrisiken mit verstärkten Anforderungen an das 3rd & 4th Party Risk Management (Kapitel V).
Der 1. Blog zu DORA ist ein Teil der DORA Serie. Teil 2 finden Sie ebenfalls auf unserer Seite in der Rubrik Blogs. DORA – Digital Operational Resilience Act Verordnung Nr. 2022/2554 (2 von 2). Weitere Informationen zu NIS-2 finden Sie unter NIS2: EU-Cybersicherheit – Haftungsrisiken für Geschäftsleitungen
15. Januar 2024
Gerd Grimberger,
Rechtsinformatiker
