Digital Operational Resilience Act (DORA)

Was auf den Finanzsektor zukommt

Der Digital Operational Resiliance Act (DORA) kommt. Mit der Richtlinie will die EU-Kommission die digitale Betriebsstabilität im Finanzsektor gewährleisten, sollte es zu Betriebsstörungen aufgrund von Cyberangriffen kommen. Banken und ihre IKT-Dienstleister müssen dafür ein umfassendes Management von Cyber-Security- und IKT-Risiken etablieren.

Eine angemessene IT-Sicherheit ist ein zentraler Faktor, um den Geschäftsbetrieb bei Cyberangriffen aufrechtzuerhalten. Hier setzt DORA an. Die Richtlinie schafft einen EU-weiten einheitlichen und umfassenden Rahmen mit Anforderungen an die IT-Sicherheit und IT-Governance in der Finanzindustrie.

DORA - darum geht es

Auslöser ist die deutliche Zunahme von Cyberangriffen auf Unternehmen. Jeden Tag entstehen rund 436.000 neue Varianten von Schadprogrammen, so das Bundesamt für Sicherheit in der Informationstechnologie (BSI). Zudem ist die Anzahl der kritischen entdeckten Sicherheitslücken signifikant gestiegen. Die Folge: mehr Schäden durch Cybercrime bei deutschen Unternehmen. 2022 gingen beim BSI 15 Millionen Meldungen über Schadprogramm-Infektionen ein.

Der Geltungsbereich erstreckt sich über die Finanzindustrie hinaus und betrifft auch die Dienstleister der Finanzindustrie im Bereich Informations- und Kommunikationstechnologie. Somit sind alle Unternehmen von der Richtlinie betroffen, die für Finanzdienstleister „digitale Dienste und Datendienste erbringen, einschließlich Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren“.

Mit den in DORA enthaltenden Regelungen soll die digitale Betriebsstabilität von EU-Finanzunternehmen steigen. Deshalb gibt es konkrete Vorgaben für die Bereiche Governance, IKT-Risikomanagement, Meldung IKT-bezogener Vorfälle, Test der eigenen digitalen Betriebsstabilität, Steuerung der Risiken aus dem Einsatz von ITK-Drittanbieter sowie zum Informationsaustausch.

Am 16.01.2023 ist die EU-Richtlinie zur Umsetzung der DORA-Anforderungen in Kraft getreten. Die Vorgaben gelten ab dem 17.01.2025.

DORA-Quickcheck: Was der Finanzsektor beachten sollte

Auf Basis der bisherigen Erfahrungen und Veröffentlichungen wird DORA für mehr Komplexität in der Umsetzung im Bereich IT-Sicherheit sorgen und an bestimmten Stellen für mehr laufenden Aufwand. Zwei Treiber stützen diese Einschätzung:

BA-IT ist bei vielen Finanzinstituten nicht abgeschlossen. Bei vielen IKT-Dienstleistern wurde in den vergangenen Jahren erst mit der Umsetzung der Anforderungen MaRisk und BAIT begonnen. Hier sind somit noch einige Lücken zu schließen.
Die DORA-Anforderungen gehen über die von MaRisk und BAIT hinaus. Eine Ausweitung der geltenden Vorschriften in Deutschland ist somit zu erwarten. Der konkrete Umfang wird sich nach Abschluss des Konsultationsverfahrens ergeben.

Auswirkungen auf die einzelnen Regelungsgebiete von DORA

Governance/IKT-Risikomanagement: Wir erwarten eine geringe bis mittlere Komplexität bei der Umsetzung. Das gilt jedoch nur unter, wenn die Anforderungen der BAIT umgesetzt und IT Asset Repositories (Softwareverzeichnisse) angelegt sind. Aufwandstreiber sind die stärkere Prozessorientierung bei der Zusammenarbeit mit IKT-Dienstleistern, Maßnahmen, um IKT-Vorfällen zu erkennen und die mögliche Ausweitung der Notfallplanung auf IKT-Risiken (Business-Impact Analyse). Durch Konkretisierungen in DORA wird sich der Aufwand für die Überwachung und Steuerung der IKT-Risken vergrößern.
Meldung von IKT-Vorfällen: Banken und ihre IKT-Dienstleister müssen die bestehenden Prozesse für die Kategorisierung und Meldung von Vorfällen DORA-konform ergänzen. Dadurch steigt der laufende Aufwand bei der Zusammenarbeit mit IKT-Dienstleistern, mit denen noch keine erprobte Meldekette existiert. Das gilt ebenfalls, wenn noch keine technische Schnittstelle für automatisierte Meldungen eingerichtet ist.
Test der digitalen Betriebsstabilität: Komplexität und Zusatzaufwand hängen vom aktuellen Stand der IT-Sicherheit und der Durchführung von Sicherheitstests ab. Durch Umsetzung der TIBER-DE-Empfehlungen und die Etablierung regelmäßiger Tests der digitalen Betriebsstabilität ist ein Mehraufwand wahrscheinlich. Die Einbindung von IKT-Dienstleistern und die Test-Durchführung vor Ort wird die Umsetzung komplexer gestalten.
Steuerung der IKT-Risiken bei Dienstleistern: DORA stellt zusätzliche Anforderungen an den sonstigen Fremdbezug von IT-Dienstleistungen. Die neue Vorschrift enthält z.B. konkretere Vorgaben in puncto Vertragsgestaltung. In den MaRisk AT sind derartige Vorgaben nur bei wesentlichen Auslagerungen vorgesehen.

Weitere Ableitungen aus DORA

Zertifizierungen wie ISO 27001 (Informationssicherheit) sowie ein Nachweis über die Umsetzung der Anforderungen an das IKT-Risikomanagement (z.B. durch den Wirtschaftsprüfungsstandard PS 951) werden für die IKT-Dienstleister an Bedeutung gewinnen.
Die Prozessbetrachtung bei der Steuerung der IKT-Risiken wird noch wichtiger. Banken werden damit organisatorisch und technisch enger mit den kritischen Dienstleistern zusammenarbeiten müssen. Zudem kann die Bankenaufsicht die IKT-Dienstleister als kritische IKT-Dienstleister einstufen. Damit werden diese direkt der Aufsicht unterstellt und von ihr überwacht. DORA bringt zahlreiche Anpassungen an den Schnittstellen mit sich. Diese erfordern nach unserer Erfahrung einige Zeit, um sich abzustimmen und die Anpassungen bei Bedarf vertraglich zu vereinbaren.

Unser Fazit: DORA ist eine Vorschrift, die Banken und ihre Dienstleister keineswegs mit ein paar Zusatzmaßnahmen und Anpassungen meistern werden. Wie groß Komplexität und Zusatzaufwand ausfallen, hängt vom aktuellen Umsetzungsstand der MaRisk und BAIT im jeweiligen Institut ab.

Wollen Sie genau wissen, was auf Sie zukommt?

Mit dem Sopra Steria BAIT Assessment, ergänzt um die DORA-Anforderungen, gewinnen Banken und IKT-Dienstleister, schnell einen Überblick über den eigenen Status quo und die notwendigen Anpassungen, um bis Januar 2025 DORA-ready zu sein. IKT-Dienstleister profitieren zudem von unserer Erfahrung als IT-Dienstleister und können sich damit zielgerichtet an die Umsetzung machen.

Melden Sie sich frühzeitig, und wir gehen DORA aktiv mit Ihnen an!