Digital Operational Resilience Act (DORA)

Die DORA-Verordnung erstreckt sich auf ein breites Spektrum von Finanzunternehmen, darunter:

• Kreditinstitute und Banken
• Zahlungsdienstleister und E-Geld-Institute
• Wertpapierfirmen und Investmentgesellschaften
• Krypto-Dienstleister und Emittenten wertreferenzierter Token
• Versicherungs- und Rückversicherungsunternehmen
• Betriebliche Altersversorgungseinrichtungen
• Ratingagenturen und Administratoren kritischer Referenzwerte

Es gibt jedoch auch Ausnahmen, wie beispielsweise für bestimmte kleine Versicherungsvermittler und Einrichtungen mit weniger als 15 Versorgungsanwärtern.

Quelle: Vollständiger Text der DORA-Verordnung

Die Umsetzung der DORA-Verordnung erfolgt in mehreren Schritten:

• Inkrafttreten: 16. Januar 2023
• Anwendungsbeginn: 17. Januar 2025

Der IKT-Risikomanagementrahmen nach DORA ist umfassend und beinhaltet mehrere Kernbereiche:

• Grundlegende Anforderungen (Artikel 5 bis 16)
• Behandlung IKT bezogener Vorfälle (Artikel 24 bis 27)
• Management von IKT-Drittanbieterrisiko (Artikel 28 bis 30)

Dieser Rahmen zielt darauf ab, die Widerstandsfähigkeit von Finanzunternehmen gegen IKT-Risiken zu stärken und einheitliche Standards in der EU zu schaffen.

Quelle: DORA-Verordnung, relevante Artikel

Laut DORA (Art. 3 Abs. 1 Nr. 21) umfassen IKT-Dienstleistungen:

• Digitale Dienste und Datendienste, die über IKT-Systeme bereitgestellt werden
• Hardware als Dienstleistung
• Technische Unterstützung für Hardware, einschließlich Software- und Firmware-Updates

Wichtig: Herkömmliche analoge Telefondienste fallen nicht unter diese Definition.

Quelle: DORA-Verordnung, Artikel 3

Der Austausch von Cyberbedrohungsinformationen ist nach DORA freiwillig, jedoch gibt es einige wichtige Punkte zu beachten:

• Finanzunternehmen müssen der BaFin melden, wenn sie an einem Informationsaustausch teilnehmen
• Auch die Beendigung einer solchen Teilnahme ist meldepflichtig
• Die BaFin ermutigt Unternehmen, sich am Informationsaustausch zu beteiligen, um die Cybersicherheit im Finanzsektor zu stärken

Diese Meldepflichten treten ab dem 17. Januar 2025 in Kraft. Die genauen Meldeverfahren wird die BaFin noch bekannt geben.

DORA definiert einen IKT-bezogenen Vorfall (Art. 3 Abs. 1 Nr. 8) als ein unvorhergesehenes Ereignis, oder eine Reihe verbundener Ereignisse das:

• Die Sicherheit von Netzwerk- und Informationssystemen beeinträchtigt
• Negative Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten hat
• Die Erbringung von Finanzdienstleistungen behindert

Diese breite Definition umfasst verschiedene Arten von Störungen und Sicherheitsvorfällen, die den normalen Betrieb eines Finanzunternehmens beeinträchtigen können.

Quelle: DORA-Verordnung, Artikel 3

Die Meldepflicht für IKT-bezogene Vorfälle tritt ein, wenn bestimmte Kriterien erfüllt sind:

• Die Kriterien basieren auf Artikel 18 DORA
• Detaillierte Klassifikationskriterien werden in einem technischen Regulierungsstandard (RTS) festgelegt
• Der RTS wurde öffentlich konsultiert und wird nach Fertigstellung veröffentlicht

Die BaFin wird nach Veröffentlichung des RTS detaillierte Informationen zum Klassifikationsprozess und den genauen Kriterien auf ihrer DORA-Informationsseite bereitstellen.

Für die Meldung von IKT-bezogenen Vorfällen gilt:

• Die BaFin fungiert als zentrale Anlaufstelle für alle von ihr beaufsichtigten Finanzunternehmen.
• Meldungen sollen über das MVP-Portal der BaFin eingereicht werden.
• Dieses zentralisierte System erleichtert die effiziente Verarbeitung und Analyse der Vorfallmeldungen.

Die BaFin wird rechtzeitig vor dem Anwendungsbeginn von DORA weitere Informationen zum genauen Meldeverfahren bereitstellen.

Bezüglich der Meldung von Cyberbedrohungen sieht DORA Folgendes vor:

• Gemäß Artikel 19 Absatz 2 DORA ist die Meldung von Cyberbedrohungen freiwillig.
• Finanzunternehmen können erhebliche Cyberbedrohungen melden, wenn sie diese als relevant für das Finanzsystem, Dienstnutzer oder Kunden erachten.
• Die BaFin begrüßt ausdrücklich solche freiwilligen Meldungen und wird einen entsprechenden Meldeweg zur Verfügung stellen.

Diese freiwilligen Meldungen können dazu beitragen, die Cybersicherheit im gesamten Finanzsektor zu verbessern.

Quelle: DORA-Verordnung, Artikel 19

Die Umsetzung des Threat-Led Penetration Testing (TLPT) nach DORA in Deutschland gestaltet sich wie folgt:

• Die Testmethodik und -verfahren orientieren sich am TIBER-EU-Rahmenwerk (Artikel 26 Absatz 11 DORA).
• Die Deutsche Bundesbank übernimmt die operativen Aufgaben im Zusammenhang mit TLPT, ähnlich wie bereits bei TIBER-DE.
• DORA macht diese Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens von Finanzunternehmen.
• Die BaFin (bzw. die EZB für bedeutende Kreditinstitute) wird diese Tests in ihre Aufsichtsprozesse integrieren.

Dies umfasst die Identifikation von Unternehmen für TLPT, Festlegung der Testfrequenz, Validierung des Testumfangs und Berücksichtigung der Ergebnisse in der laufenden Aufsicht.

Quellen:

• TIBER-EU-Rahmenwerk
• TIBER-DE
• DORA-Verordnung, Artikel 26 und 27

Der Informationsaustausch nach Artikel 45 DORA ist durch folgende Merkmale gekennzeichnet:

• Ziel ist die Stärkung der digitalen operationalen Resilienz von Finanzunternehmen.
• Er umfasst Sensibilisierung für Cyberbedrohungen, Eindämmung ihrer Verbreitung und Unterstützung der Abwehrfähigkeiten.
• Der Austausch erfolgt in vertrauenswürdigen Gemeinschaften von Finanzunternehmen.
• Es gelten strenge Regeln zum Schutz sensibler Informationen, zur Wahrung von Geschäftsgeheimnissen und zum Datenschutz.

Dieser Austausch soll die kollektive Cybersicherheit im Finanzsektor erhöhen, ohne den Wettbewerb zu beeinträchtigen.

Quelle: DORA-Verordnung, Artikel 45

Bezüglich Cyberkrisen- und Notfallübungen gilt:

• Die primäre Verantwortung für die Erstellung, Etablierung und das Testen von Krisen- und Notfallplänen liegt bei den Finanzunternehmen selbst.
• Artikel 49 DORA ermöglicht es europäischen und nationalen Aufsichtsbehörden, sektorübergreifende Übungen zu konzipieren.
• Ziel ist die Entwicklung von Kommunikationskanälen und einer koordinierten Reaktion auf EU-Ebene.
• Die BaFin hat bereits an internationalen Cyber-Krisenübungen teilgenommen und solche national durchgeführt.

Diese Übungen dienen dazu, die Zusammenarbeit und Reaktionsfähigkeit im Falle von Cyberkrisen zu verbessern.

Für KWG-Institute, die keine CRR-Kreditinstitute sind, gilt laut dem geplanten Finanzmarktdigitalisierungsgesetz (FinmadiG):

• Grundsätzlich müssen sie die DORA-Anforderungen erfüllen, jedoch mit einigen Erleichterungen.
• Sie unterliegen dem vereinfachten IKT-Risikomanagementrahmen nach Artikel 16 DORA.
• Bedrohungsgeleitete Penetrationstests sind für sie nicht verpflichtend.
• Kleinstunternehmen sind von den Vorgaben zum IKT-Drittparteienrisikomanagement ausgenommen.

Die Anwendung dieser Regelungen ist ab dem 01.01.2027 vorgesehen, mit Ausnahme der Meldepflichten, die bereits ab dem 17.01.2025 gelten sollen.

Quelle: Gesetzentwurf FinmadiG im Dokumentations- und Informationssystem des Deutschen Bundestages

Bezüglich möglicher Verzögerungen bei DORA-Rechtsakten:

• Aktuell sind keine Abweichungen vom Zeitplan bekannt.
• Die Entwicklung der technischen Standards (RTS und IKTS) erfolgte zeitgerecht.
• DORA tritt am 17. Januar 2025 in Kraft, Prüfungen erfolgen ab dann auf dieser Grundlage.
• Für das IKT-Drittparteienrisikomanagement sind keine Übergangsfristen vorgesehen.

Finanzunternehmen sollten sich daher darauf einstellen, dass die DORA-Anforderungen ab dem genannten Datum vollständig umzusetzen sind.

Zur Übersetzung der DORA-Rechtstexte:

• Die Europäische Kommission stellt Übersetzungen in allen EU-Amtssprachen bereit.
• Diese werden zusammen mit dem englischen Original auf der EU-Webseite veröffentlicht.
• Die deutsche Übersetzung der DORA-Verordnung ist bereits verfügbar.

Diese zentralen Übersetzungen gewährleisten eine einheitliche Interpretation in allen EU-Mitgliedstaaten.

Quelle: DORA-Verordnung in allen EU-Sprachen

Bezüglich Konkretisierungen zu DORA:

• Als EU-Verordnung lässt DORA keine eigene Regelungskompetenz für nationale Aufsichtsbehörden zu.
• Konkretisierungen erfolgen auf europäischer Ebene durch delegierte Verordnungen, technische Standards (RTS/IKTS) und Leitlinien.
• Die BaFin wird daher keine eigenen Konkretisierungsrundschreiben zu DORA herausgeben.

Finanzunternehmen sollten sich primär an den europäischen Vorgaben und Erläuterungen orientieren.

Das Verhältnis zwischen DORA und der NIS-2-Richtlinie gestaltet sich wie folgt:

• DORA gilt als sektorspezifischer Rechtsakt für Finanzunternehmen im Sinne des Artikels 4 der NIS-2-Richtlinie.
• DORA-Vorgaben haben Vorrang vor NIS-2-Vorgaben im Bereich Cybersicherheitsrisikomanagement und Meldewesen für erhebliche Sicherheitsvorfälle.
• Für den Finanzsektor verdrängt DORA die entsprechenden NIS-2-Vorgaben.

Die Bundesregierung bereitet derzeit ein Gesetz zur Umsetzung der NIS-2-Richtlinie vor, dass diese Abgrenzung berücksichtigen wird.

Quelle: BMI: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie

Die DORA-Strategie (Digitale Operationale Resilienz Act) unterscheidet sich wie folgt von der IKT-Strategie:

• DORA verschiebt den Fokus von der IKT-Strategie zur DOR-Strategie.
• Die DORA-Strategie ist umfassender und zielt auf die gesamte digitale Widerstandsfähigkeit ab.
• Sie muss spezifische Anforderungen aus Art. 6 Abs. 8 DORA erfüllen.
• Eine Herausforderung besteht darin, die DORA-Strategie mit der bestehenden IKT-Strategie zu harmonisieren.

Unternehmen müssen ihre Governance- und Strategieprozesse anpassen, um die DORA-Anforderungen zu erfüllen.

Quelle: DORA-Verordnung, Artikel 5 und 6

DORA bringt eine Verschiebung des Fokus mit sich:

• Der Schwerpunkt liegt auf der Governance des IKT-Risikomanagementrahmens.
• Dies steht im Gegensatz zu bisherigen Ansätzen, die sich primär auf Informationssicherheit konzentrierten.
• DORA fordert spezifische Richtlinien zur IKT-Sicherheit, die über bisherige Anforderungen hinausgehen.
• Diese Akzentverschiebung erfordert Anpassungen in den Unternehmen.

Trotz inhaltlicher Überschneidungen müssen Unternehmen ihre bestehenden Prozesse und Richtlinien überarbeiten, um den neuen Fokus auf IKT-Risikomanagement abzubilden.

Quelle: DORA-Verordnung

DORA erweitert die Verantwortlichkeiten des Leitungsorgans erheblich:

• Detaillierte Aufgaben werden in Art. 5 Abs. 2 DORA festgelegt.
• Das Leitungsorgan muss verschiedene Aspekte des IKT-Risikomanagements definieren, genehmigen, überwachen und überprüfen.
• Es wird ein tieferes Verständnis der IKT-Risiken gefordert.
• Zusätzliche Ressourcen und Fachkenntnisse müssen bereitgestellt werden.

Diese Erweiterung der Aufgaben erhöht die Komplexität der Verantwortlichkeiten des Leitungsorgans im Bereich der digitalen Resilienz.

Quelle: DORA-Verordnung, Artikel 5

Die IKT-Risikokontrollfunktion nach DORA hat folgende Merkmale:

• Sie ist verantwortlich für das Management und die Überwachung der IKT-Risiken (Art. 6 Abs. 4 DORA).
• Im Gegensatz zum Informationssicherheitsbeauftragten (ISB) fokussiert sie sich auf das gesamte Risikomanagement.
• Es gibt Überschneidungen mit den Aufgaben des ISB, was Synergien ermöglicht.
• DORA sieht keine explizite Verbotsregelung für die Auslagerung dieser Funktion vor (Art. 6 Abs. 10 DORA).

Unternehmen müssen entscheiden, wie sie diese neue Funktion in ihre bestehenden Strukturen integrieren.

Quelle: DORA-Verordnung, Artikel 6

DORA bringt wesentliche Änderungen im Änderungsmanagement:

• Alle Änderungen an IKT-Systemen müssen kontrolliert erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden (Art. 9 Abs. 4 lit. e, f DORA i.V.m. Art. 17 RTS).
• Die bisherige Wesentlichkeitsgrenze entfällt.
• Eine umfassende Dokumentation aller Änderungen ist erforderlich.
• Dies kann zu erhöhtem administrativen Aufwand und zusätzlichen Überwachungspflichten führen.

Unternehmen müssen ihre Prozesse im Änderungsmanagement überarbeiten, um diesen erweiterten Anforderungen gerecht zu werden.

Quelle: DORA-Verordnung, Artikel 9