Am 17.01.2023 ist die neue DORA-Verordnung der EU in Kraft getreten - und “Dora” steht in diesem Fall nicht für die Heldin der gleichnamigen Kinderserie, sondern für “Digital Operational Resilience Act”. Die Verordnung soll das Thema Sicherheit in der Informations- und Kommunikationstechnik, in der gesamten EU-Finanzbranche vereinheitlichen, um sich so besser gegen immer größer werdende externe Gefahren zu behaupten. In nächsten Zeilen schauen wir uns an, was die DORA-Verordnung im Detail beinhaltet, wen die Verordnung betrifft und was die nächsten Schritte der Betroffenen sein sollten.

Das Wichtigste zuerst: Die Verordnung ist zwar bereits 2023 in Kraft getreten, aber final umgesetzt muss diese erst zum 17.01.2025 sein. Dazu kommt, dass die Details einiger Bestandteile erst im Laufe des nächsten Jahres veröffentlicht werden, was zum Stand dieses Textes noch vor uns liegt. Also werden wir uns mit den Strukturen und Änderungen in dem Rahmen beschäftigen, wie es aktuell bekannt ist. Dazu gibt es insgesamt fünf Bausteine:

IKT-Risikomanagement

Ein entsprechendes Risikomanagement muss implementiert werden. Dieses muss belastbare Systeme und Werkzeuge pflegen, kritische Funktionen, mittel Vorgaben identifiziert, klassifiziert und dokumentiert werden. Darunter fallen auch die im nächsten Punkt genannten Tests.

Testing

In Zukunft sind die Finanzdienstleister dazu verpflichtet jährliche Belastbarkeitstests an den eigenen Systemen durchzuführen. Wie diese im Detail aussehen, ist noch nicht geklärt. Auch nicht zu den zusätzlichen alle drei Jahre stattfindenden “Thread Led Penetration Tests”. Die Ergebnisse der Tests sollen dann dazu genutzt werden institutsindividuelle Präventionsmaßnahmen zu eruieren.

Meldepflichten

Die Ergebnisse dieser Tests müssen protokolliert und unter Umständen gemeldet werden. Dazu kommt eine erweiterte und einheitliche Meldepflicht für Störungen und Vorfälle. Dazu zählt auch, wie viele Personen waren betroffen, bzw. welche Daten. Diese Informationen werden dann zentral gespeichert.

Informationsfluss

Die im vorherigen Punkt gesammelten Daten werden anonymisiert und zur Verfügung gestellt. Somit können Bedrohungen durch einen angeregten Informationsaustausch frühzeitig für alle erkannt und evtl. Schwachstellen behoben werden. Dazu sollen auch Regelungen des Informationsaustausches, für alle unter der DORA-Verordnung Betroffenen, eingeführt werden.

IKT-Drittdienstleister

Das ist wohl einer der größten Änderungen. Denn in der Vergangenheit war die Bank für Sicherheitsthemen verantwortlich. Jetzt unterliegen auch die Drittdienstleister kritischer IKT-Systeme den Bankenaufsichtsbehörden. So können diese beim Anbieter auch Dokumente einsehen, Prüfungen vor Ort vornehmen und Anweisungen aussprechen. Zusätzlich müssen die Finanzinstitute Protokoll über die selbst genutzten Drittanbieter führen und ein entsprechendes Verzeichnis aktuell gehalten werden.

Somit haben wir das, “Was?” geklärt. Mit dem letzten Punkt haben wir eine gute Überleitung zu dem “Wer?”. In der Vergangenheit gab es bereits viele Richtlinien für Banken, allerdings nicht für alle Gruppen dieser Branche (z.B. Versicherer). Jetzt allerdings werden ziemlich alle unter die komplette DORA-Verordnung fallen. Um ein paar außerhalb der klassischen Bank zu nennen: Versicherer, Rückversicherer, E-Geldinstitute, Ratingagenturen, Wertpapierfirmen. Zentralverwahrer, Datenbereitstellungsdienste und viele mehr.

Durch dieses breite Feld an Instituten, welche unter die DORA-Verordnung fallen, kommt es auch zu völlig unterschiedlichen Aufwänden, die jetzt betrieben werden müssen, um die neuen Standards einzuhalten. Einige Bestandteile der neuen Regelungen finden sich bereits in existierenden Verordnungen wieder (z.B. BAIT-Bankenaufsichtliche Anforderung an die IT oder MaRisk – Mindestanforderung an das Risikomanagement). Banken haben somit bereits ein Risikomanagement, welches womöglich nur angepasst werden muss. Die Testings und das Meldewesen zu Drittanbietern sind da wohl die größte Änderung und Herausforderung. Versicherer sind vorher von vielen Richtlinien ausgeschlossen gewesen, bzw. waren nicht so stark betroffen. Da muss dann deutlich mehr passieren und auch interne Strukturen teils stark verändert werden.

Als Unternehmensberatung empfehlen wir den betroffenen Instituten, sich frühzeitig mit dem Thema auseinanderzusetzen. So kann man frühzeitig eine IST-Analyse starten und mit bekannt werden der Details zu den einzelnen Bausteinen eine GAP-Analyse erstellen. Die erste zeitliche Zwischenhaltestelle war der 17.01.2024. Zu diesem Stichtag wurden die Details zum Risikomanagement und die Klassifizierung von IKT-bezogenen Cyberangriffen veröffentlicht.

Etwas später, am 14.07.2024, werden die Details zur Berichtspflicht, Einzelheiten zu den jährlichen Tests und die Spezifizierung zur Struktur des Überwachungsrahmens für die IKT-Drittdienstleister mit dazugehörigem Register veröffentlicht.

Somit ist die DORA-Verordnung nicht einfach eine neue Regulatorik für Banken, sondern ein breit gefächertes Regelwerk, welches über die klassischen Finanzinstitute hinaus geht und alle Unternehmen, Anbieter und Bestandteile der Branche in die Verantwortung nimmt, für höhere Sicherheitsstandards Sorge zu tragen. Wie effektiv dies am Ende sein wird, lässt sich zum heutigen Zeitpunkt schwer bemessen. Aber mit DORA geht die EU in die richtige Richtung, sich gegen immer größer werdende Gefahren zu wappnen und sorgfältig mit dem Thema IT umzugehen.