DORA – Die EU plant weitreichende Maßnahmen zur Sicherung der Betriebsstabilität digitaler Systeme im Finanzsektor

Nach der Finanzkrise 2008 hat die Europäische Union (EU) damit begonnen, die Resilienz des Finanzsektors zu verbessern. Bei den verabschiedeten Maßnahmen wurde der Bereich der Informations- und Kommunikationstechnologien (kurz IKT) noch weitestgehend ausgespart. Gerade diese Technologien spielen im Zeitalter der Digitalisierung, die auch den Finanzsektor längst erfasst hat, aber eine zentrale Rolle. Die Abhängigkeit des Sektors von IKT birgt Risiken, die nunmehr erfasst und minimiert werden sollen. Zu diesen Risiken gehören unter anderem Störungen der Informationstechnik (IT) sowie Sicherheitslücken, die Cyberangriffen Vorschub leisten. Vor dem Hintergrund, dass Risiken typischerweise grenzüberschreitend auftreten, drohen uneinheitliche Regelungen in den Mitgliedstaaten den Binnenmarkt zu fragmentieren. Die Europäische Kommission hat daher am 24. September 2020 die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors veröffentlicht und den Vorschlag angenommen. Die Stellungnahmen der Europäischen Zentralbank (EZB), des Europäischen Datenschutzbeauftragten sowie des Wirtschafts- und Sozialausschusses liegen bereits vor. Aktuell finden Trilogverhandlungen zwischen Rat, Kommission und Europäischem Parlament statt. Am 11. Mai 2022 wurde dabei eine politische Einigung zwischen dem Europäischen Parlament und dem Rat erzielt. Als nächstes wird der Vorschlag dem Europäischen Parlament zur Abstimmung im Plenum vorgelegt. Wenn dieses den Vorschlag annimmt und auch der Rat zustimmt, ist die Verordnung erlassen. Mit einem Inkrafttreten ist Ende diesen Jahres zu rechnen.

Zentrales Anliegen ist die Stärkung der digitalen Betriebsstabilität der europäischen Finanzunternehmen. Um dies zu erreichen, legt die Verordnung Standards fest und verbessert die Koordinierung sowie die Beaufsichtigung der betroffenen Unternehmen. IKT-Systeme sollen geprüft und Vorfälle künftig gemeldet werden.

In Deutschland gilt in diesem Bereich das Kreditwesengesetz (KWG), das bereits jetzt (maßgeblich § 25a Abs.1 KWG) Mindestanforderungen an das Risikomanagement beinhaltet. Dieses geht auf die Capital Requirements Richtlinie (EU Richtlinie 2013/36/EU) zurück. Daneben ist das Rundschreiben 10/ 2021 (BA) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu berücksichtigen. Dabei handelt es sich um eine verbindliche Verwaltungsvorschrift, die Mindestanforderungen an das Risikomanagement (MaRisk) im Bereich des Kredit- und Finanzdienstleistungswesens bestimmt. Ergänzend hierzu finden sich Bankaufsichtliche Anforderungen an die IT im Rundschreiben 10/2017 in der Fassung vom 16. August 2021 (BAIT), das auf Basis der EBA Guidelines on ICT and Security Risk Management bereits Elemente der DORA aufgreift. Die BaFin hat Anfang Oktober 2019 zudem ihre Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) veröffentlicht. Für versicherungsaufsichtliche Anforderungen ist erst jüngst die neue VAIT in Kraft getreten, welche eine Konkretisierung der bereits bestehenden Anforderungen enthält (Rundschreiben 10/2018 in der Fassung vom 3. März 2022). Dieses Konglomerat an Regelungen sieht bereits eine Reihe von IT-Notfallmechanismen sowie die Verpflichtung zu einer Strategie der Unternehmen im Bereich IT vor. Die neue Verordnung geht in einigen Teilen aber darüber hinaus.   

Die Verordnung richtet sich an zahlreiche Finanzunternehmen (Art. 2 DORA). Im Einzelnen werden Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, Einrichtungen der betrieblichen Altersversorgung (EbAV), Ratingagenturen, Abschlussprüfer und Prüfungsgesellschaften, Administratoren kritischer Referenzwerte und Crowdfunding-Dienstleister erfasst.

Die Verordnung unterscheidet die Finanzunternehmen in ihren Regelungen aufgrund der ihnen zur Verfügung stehenden Ressourcen nach Größe und Unternehmensprofil sowie dem Ausmaß drohender Risiken.

Die Regelungen der Verordnung lassen sich in sechs Teile gliedern. Artikel 4 DORA enthält Anforderungen an die Steuerung und Organisation der Unternehmen (Governance), Artikel 5 bis 14 DORA solche an das IKT-Risikomanagement. Artikel 15 bis 20 DORA regeln die Meldung hinsichtlich IKT-bezogener Vorfälle an die jeweils zuständige Behörde. Diese Zuständigkeit hängt nach Art. 41 DORA vom beaufsichtigten Unternehmen ab. Artikel 21 bis 24 DORA normieren die Prüfung der digitalen Betriebsstabilität. Art. 25 bis 39 DORA beinhalten Regelungen zum Risiko durch IKT-Drittanbieter. Zuletzt erleichtert Art. 40 DORA einen Informationsaustausch zwischen den einzelnen Unternehmen.  Neben der DORA-Verordnung gehören zum DORA-Rahmenwerk auf EU-Ebene die delegierten Verordnungen sowie die von den zuständigen EU-Aufsichtsbehörden zu erstellenden Leitlinien (Guidelines), technischen Regulierungsstandards (Regulatory Technical Standards, RTS) und technischen Durchführungsstandards (Implementing Technical Standards, ITS).

1. Governance

Jedes Finanzunternehmen soll nach Art. 4 I DORA über interne Governance- und Kontrollrahmen verfügen. Dem Leitungsorgan des Unternehmens kommt dabei eine besondere Rolle zu. Konkret soll es das IKT-Risikomanagement steuern und für die Einhaltung einer gewissen Cyberhygiene sorgen. Dazu muss es die Zuständigkeiten für alle IKT-bezogenen Funktionen sowie deren Kontrolle zuweisen, Genehmigungs- und Kontrollverfahren begleiten und regelmäßig Fachschulungen für die involvierten Mitarbeiter organisieren. Für die Umsetzung des IKT-Risikomanagementrahmen ist die Unternehmensführung rechenschaftspflichtig.

2. IKT-Risikomanagement

Ein zentrales Anliegen ist es, eine schnelle Anpassung an aktuelle Bedrohungslagen sicherzustellen. Stabile IKT-Systeme und -Instrumente müssen daher eingerichtet, beziehungsweise weiter aufrechterhalten werden. Die Verordnung erstreckt sich explizit auch auf die IKT-bezogene physische Infrastruktur (u.a. Computer-Hardware, Server, relevante Räumlichkeiten, Rechenzentren etc., vgl. Art. 5 II DORA).  

Die IKT- Strategie soll Ursachen für Risiken dokumentieren, sodass diese schnellstmöglich beseitigt werden können. Die Unternehmen werden künftig auch verpflichtet, Schutz- und Präventionsmaßnahmen zu ergreifen sowie Schutz- und Wiederherstellungspläne einzurichten. Eine konkrete Standardisierung wird nicht vorgeschrieben. So lange die Unternehmen sich an bestehende europäische und international anerkannte technische Normen und bewährte Branchenverfahren halten und die Anweisungen der Aufsichtsbehörden berücksichtigen, liegt der Aufbau der Systeme in ihrer Hand. Die Unternehmen müssen ihre Maßnahmen in einem IKT-Risikomanagementrahmen zusammenfassen. Dieser muss mindestens einmal jährlich überprüft (Art. 5 VI DORA), und entsprechend gewonnener Erkenntnisse angepasst werden. Aus diesem Grund schließt sich an die Kontrollen ein Follow-up-Verfahren an, das die Beseitigung aufgefundener Probleme sicherstellen soll (Art. 5 VIII DORA).    

3. Meldung von Vorfällen

Wie eingangs beschrieben, sind künftig schwerwiegende IKT-bezogene Vorfälle zu melden (Art. 17 I DORA). Dazu werden die betroffenen Unternehmen zunächst verpflichtet, einen Managementprozess zur Überwachung und Protokollierung etwaiger Vorfälle einzurichten. Die Verordnung legt zudem Kriterien fest, ab welcher Intensität ein Vorfall zu melden ist (Art. 16 I DORA). Die Vorlage hat über das von den Europäischen Finanzaufsichtsbehörden (ESA) entwickelte harmonisierte Verfahren zu erfolgen. Durch verpflichtende Berichte sind Kunden und Nutzer der Finanzunternehmen über Vorfällen und deren Auswirkungen zu informieren.

Für die Zukunft sind gerade in diesem Bereich weitere Leitlinien der Aufsichtsbehörden zu erwarten. Die Errichtung einer EU-Plattform ist denkbar.

4. Prüfung der digitalen Betriebsstabilität

Entsprechend ihrer Größe und ihrer Geschäfts- und Risikoprofile müssen die Finanzunternehmen eine regelmäßige Prüfung ihrer digitalen Betriebsstabilität durchführen. Die Verordnung enthält die Anforderungen an Prüfer und die Anerkennung von Tests.

Die Tests sollen umfassen: Bewertungen und Überprüfungen der Anfälligkeit, Analysen von Open-Source-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Kompatibilitätstests, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungs-tests, End-to-End-Tests oder Penetrationstests.

Die Unternehmen, die von den Behörden als besonders bedeutend und cyberreif eingestuft werden, müssen über die allgemeinen Tests hinaus zwingend bedrohnungsorientierte Penetrationstests (TLPT) durchführen (Art. 23 I DORA). Diese müssen mindestens alle drei Jahre von Prüfern mit entsprechender Expertise durchgeführt werden. TIBER-DE / TIBER-EU („Threat Intelligence-based Ethical Red Teaming“), das Rahmenwerk für bedrohungsgeleitete Penetrationstests, bei dem extern beauftragte professionelle Angriffsteams ohne Wissen der unternehmensinternen IT-Sicherheits-Abteilung Hackerangriffe zu Übungszwecken durchführen, bietet dabei bereits entsprechende Guidance.

5. IKT-Drittanbieter

Neu sind auch die Regelungen zu sogenannten IKT-Drittanbietern. Nach Art. 25 I DORA haften Finanzunternehmen jederzeit und in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen der Verordnung durch die von Ihnen beauftragten Drittanbieter. Die Drittanbieter sollen vermehrt und umfassend (d.h. während des Abschlusses, der Erfüllung, der Beendigung und der Nachvertragsphase) von den Finanzunternehmen überwacht werden. Dazu müssen die Verträge mit IKT-Drittanbietern in Zukunft eine Reihe neuer Rege-lungen beinhalten. Dazu gehören im Einzelnen: eine vollständige Leistungsbeschreibung mit quantitativen und qualitativen Leistungszielen, den einschlägigen Bestimmungen über Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz personenbezogener Daten sowie Garantien für den Zugang, die Wiederherstellung und die Rückgabe bei Ausfall von IKT-Drittanbietern, Kündigungsfristen und Berichtspflichten der IKT-Drittanbieter, Zugangsrechte, Kontroll- und Prüfstrategien des Finanzunternehmens oder eines beauftragten Dritten sowie unmissverständliche Kündigungsrechte und spezielle Ausstiegsstrategien. Dazu sollen Standardvertragsklauseln entwickelt werden.

Art. 33 ff. DORA regeln die Befugnisse der Aufsichtsinstanz bei der Kontrolle von Drittanbietern. Dazu zählen zum Beispiel die Prüfung von Aufzeichnungen, Daten, aber auch Befragungen und Vor-Ort-Prüfungen (Art. 34 DORA).  

Sollen Funktionen an kritische Drittanbieter (Art. 28 DORA) ausgelagert werden, gelten wiederum strengere Anforderungen. Die kritischen Drittanbieter werden von der EBS, ESMA und EIOPA benannt. Dabei sind unterschiedliche Kriterien relevant, unter anderem die systemische Auswirkung auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanz-dienstleistungen, der systemische Charakter des Finanzunternehmens, die Abhängigkeit der Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittanbieters, der Grad der Substituierbarkeit des IKT-Drittanbieters, der Zahl der Mitgliedstaaten, in denen der betreffende IKT-Drittanbieter Dienstleistungen erbringt und der Zahl der Mitgliedstaaten, in denen Finanzunternehmen tätig sind, die den betreffenden IKT-Drittanbieter in Anspruch nehmen. Die Liste der kritischen Drittanbieter soll von den Europäischen Finanzaufsichtsbehörden gemäß Art. 28 VI DORA über den Gemeinsamen Ausschuss jährlich erstellt, veröffentlicht und aktualisiert werden. 

Im Fall der Auslagerung an kritische Drittanbieter besteht die Pflicht, diese zu melden. Zudem sind gesonderte Anforderungen an die Vertragsgestaltung mit Drittanbietern zu beachten.

6. Informationsaustausch

Art. 40 der Verordnung ermöglicht es Finanzunternehmen, untereinander Vereinbarungen zum Informationsaustausch im Bereichder Cyberbedrohungen zu treffen.

Die Sicherheit und Resilienz von IKT wird durch die Verordnung erstmals in wesentlichen Aspekten verbindlich geregelt. Finanzunternehmen und IKT Unternehmen sollten die Zeit bis zur Anwendung der DORA-Verordnung nutzen und sich frühzeitig mit der Umsetzung der Anforderungen beschäftigen. Konkret sollten die Unternehmen eine Bestandsaufnahme ihrer Regelungen und Systeme durchführen und so den eigenen Handlungsbedarf ermitteln. Finanzunternehmen ist zu empfehlen, sich insbesondere mit den Änderungen zum IKT-Drittparteien-Risikomanagement, den ausgeweiteten Meldepflichten für IKT-Vorfälle sowie den strengeren Anforderungen an das Testen der digitalen Resilienz auseinanderzusetzen.

Das Thema IT-Sicherheit steht seit längerem im Fokus bei Prüfungen der Bankenaufsicht (ähnliche Prüfungen betreffen Versicherungen, Kapitalanlagegesellschaften und weitere Finanzinstitute). Als eine Reaktion auf die festgestellten Mängel und die zunehmenden Bedrohungen im Bereich der Auslagerungen wurden unmittelbare Anordnungsmöglichkeiten der BaFin gegenüber Auslagerungenunternehmen sowie Prüfungsmöglichkeiten der Aufsicht für solche Dienstleister gesetzlich verankert. Diese werden zunehmend genutzt.