Digital Operational Resilience Act - Neuerungen für Finanzunternehmen und kritische IT-Dienstleister

Mit dem Di­gi­tal Ope­ra­tio­nal Re­si­li­ence Act (DORA) hat das eu­ropäische Par­la­ment nun ein Re­gel­werk ge­schaf­fen, das der Di­gi­ta­li­sie­rung des Fi­nanz­sek­tors ge­recht wer­den soll und so höhere Rechts­si­cher­heit, zusätz­li­che Sta­bi­lität der Fi­nanzmärkte so­wie mehr Ver­brau­cher­schutz schaf­fen soll.

Die Ver­ord­nung ist be­reits am 16.01.2023 in Kraft ge­tre­ten und fin­det in den Mit­glied­staa­ten ohne wei­tere Um­set­zungs­akte di­rekt An­wen­dung.

Hin­weis: DORA sieht aber für die Fi­nanz­un­ter­neh­men und de­ren IT-Dienst­leis­ter eine Um­set­zungs­frist von 24 Mo­na­ten vor, so dass sie erst zum 17.01.2025 un­ter­neh­mens­in­tern um­ge­setzt sein muss.

Wer ist von DORA be­trof­fen?

DORA rich­tet sich primär an Fi­nanz­un­ter­neh­men. Al­ler­dings ist der Be­griff des Fi­nanz­un­ter­neh­mens sehr weit ge­fasst und er­fasst nicht nur klas­si­sche In­sti­tute (wie Ban­ken oder Zah­lungs­dienst­leis­ter). Der Be­griff des „Fi­nanz­un­ter­neh­mens“ wird in Art. 2 Abs. 1 a) bis t) DORA le­gal de­fi­niert. Be­trof­fen sind dem Wort­laut nach fol­gende Un­ter­neh­men:

• Kre­dit­in­sti­tute
• Zah­lungs­in­sti­tute
• Kon­to­in­for­ma­ti­ons­dienst­leis­ter
• E-Geld-In­sti­tute
• Wert­pa­pier­fir­men
• An­bie­ter von Krypto-Dienst­leis­tun­gen
• Zen­tral­ver­wah­rer
• Zen­trale Ge­gen­par­teien
• Han­delsplätze
• Trans­ak­ti­ons­re­gis­ter
• Ver­wal­ter al­ter­na­ti­ver In­vest­ment­fonds
• Ver­wal­tungs­ge­sell­schaf­ten
• Da­ten­be­reit­stel­lungs­dienste
• Ver­si­che­rungs-/Rück­ver­si­che­rungs­un­ter­neh­men
• Ver­si­che­rungs-/Rück­ver­si­che­rungs­ver­mitt­ler
• Ein­rich­tun­gen be­trieb­li­cher Al­ters­ver­sor­gung
• Ra­ting­agen­tu­ren
• Ad­mi­nis­tra­to­ren kri­ti­scher Re­fe­renz­werte
• Schwarm­fi­nan­zie­rungs­dienst­leis­ter
• Ver­brie­fungs­re­gis­ter.

Da­bei wird zum Teil der An­wen­dungs­be­reich durch Ver­weise auf be­ste­hende Ver­ord­nun­gen bzw. Richt­li­nien, wie bei­spiels­weise die PSD2 (Richt­li­nie (EU) 2015/2366), kon­kre­ti­siert.

In wel­chem Um­fang die je­wei­li­gen Fi­nanz­un­ter­neh­men von DORA be­trof­fen sind hängt von de­ren Größe und Ge­samt­ri­si­ko­pro­fil so­wie der Art, dem Um­fang und der Kom­ple­xität de­ren Ge­schäftstätig­keit ab (vgl. Art. 18 Abs. 4 DORA).

Hin­weis: Ex­pli­zite Er­leich­te­run­gen sieht DORA für Kleinst­un­ter­neh­men vor, wel­che we­ni­ger als 10 Mit­ar­bei­tende und einen Jah­res­um­satz bzw. eine Bi­lanz­summe von un­ter 10 Mio. Euro aus­wei­sen. Für alle an­de­ren Un­ter­neh­men gilt ein ab­strak­tes Pro­por­tio­na­litätsprin­zip.

Was sind die Schlüssel­the­men?

Das Haupt­ziel von DORA be­steht darin, den Her­aus­for­de­run­gen der Di­gi­ta­li­sie­rung in Fi­nanz­un­ter­neh­men im Wan­del der Zeit ge­recht zu wer­den. Hier­durch soll ein eu­ro­pa­weit ein­heit­lich si­che­rer und sta­bi­ler Fi­nanz­markt gewähr­leis­tet und glei­che Wett­be­werbs­be­din­gun­gen für die be­trof­fe­nen Un­ter­neh­men ge­schaf­fen wer­den.

DORA re­gelt primär drei zen­trale The­men:

• Stan­dards für das IKT-Ri­si­ko­ma­nage­ment: Un­ter­neh­men wer­den ver­pflich­tet, an­ge­mes­sene Stra­te­gien zur Iden­ti­fi­ka­tion, Be­wer­tung und Bewälti­gung von IT-Ri­si­ken zu ent­wi­ckeln.
• An­for­de­run­gen an Re­si­li­enz­tests (z. B. Pe­ne­tra­ti­ons­tests siehe nach­fol­gen­den Bei­trag): Diese sol­len si­cher­zu­stel­len, dass Un­ter­neh­men bei Störun­gen oder Cy­ber­an­grif­fen wi­der­standsfähig sind und ihre Dienst­leis­tun­gen kon­ti­nu­ier­lich er­brin­gen können.
• Re­ge­lun­gen zur Aus­la­ge­rung von Dienst­leis­tun­gen an Dritte.

Ver­pflich­tung zur Einführung ei­nes IKT-Ri­si­ko­ma­nage­ments

DORA führt die Ver­pflich­tung zur Im­ple­men­tie­rung ei­nes sog. „IKT-Ri­si­ko­ma­nage­men­trah­mens“ der Un­ter­neh­men für ihre In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT) ein.

Der IKT-Ri­si­ko­ma­nage­men­trah­men ist als Werk­zeug­kas­ten zu ver­ste­hen, der re­gu­lier­ten Un­ter­neh­men zur Verfügung steht, um alle In­for­ma­ti­ons- und IKT-As­sets an­ge­mes­sen zu schützen. Dies um­fasst gemäß Art. 6 Abs. 2 DORA min­des­tens Stra­te­gien, Leit- und Richt­li­nien, IT- und Ri­si­ko­ma­nage­ment­pro­zesse, so­wie IKT-Pro­to­kolle und ‑An­wen­dun­gen. In­halt­lich um­fasst der IKT-Ri­si­ko­ma­nage­men­trah­men min­des­tens

• die Stra­te­gie für die di­gi­tale ope­ra­tio­nelle Re­si­li­enz (Art. 6 DORA),
• die Er­he­bung des In­for­ma­ti­ons­ver­bun­des (Art. 8 DORA),
• das In­for­ma­ti­ons­si­cher­heits­ma­nage­ment (Art. 9 DORA),
• eine Ge­schäfts­fortführungs­leit­li­nie (Art. 11 DORA),
• Da­ten­si­che­rungs- und Wie­der­her­stel­lungs­ver­fah­ren (Art. 12 DORA),
• Kom­mu­ni­ka­ti­onspläne für In­ci­dents (Art. 14 DORA),
• ein um­fas­sen­des Test­pro­gramm für die di­gi­tale ope­ra­tio­nelle Re­si­li­enz (Art. 24 DORA) und
• das Ma­nage­ment des IKT-Dritt­par­tei­en­ri­si­kos (Art. 28 DORA).

Hin­weis: Den IKT-Ri­si­ko­ma­nage­men­trah­men müssen die Fi­nanz­un­ter­neh­men zur Si­cher­stel­lung ei­nes ro­bus­ten und be­las­tungsfähi­gen Si­cher­heits­sys­tems min­des­tens ein­mal im Jahr bzw. an­lass­be­zo­gen über­ar­bei­ten.

Die Im­ple­men­tie­rung des IKT-Ri­si­ko­ma­nage­men­trah­mens stellt keine neue Ver­pflich­tung für re­gu­lierte In­sti­tute dar. Be­reits bis­her muss das Ri­si­ko­ma­nage­ment von re­gu­lier­ten In­sti­tu­ten das IKT-Ri­siko um­fas­sen und re­gelmäßig bzw. an­lass­be­zo­gen überprüft wer­den. Diese Vor­gabe ist in den Ma­Risk und den auf­sichts­recht­li­chen Vor­ga­ben an die IT in BAIT, KAIT und ZAIT be­reits ver­an­kert. Be­trach­tet man aber die in DORA ge­nann­ten An­for­de­run­gen, wird er­sicht­lich, dass die An­for­de­run­gen an den „IKT-Ri­si­ko­ma­nage­men­trah­men“ nicht de­ckungs­gleich mit den An­for­de­run­gen des IT-Ri­si­ko­ma­nage­ments nach Ma­Risk sein wer­den. Die neuen DORA-Vor­ga­ben sind an vie­len Stel­len kon­kre­ter. Zu­dem wer­den die An­for­de­run­gen durch DORA auf Ge­set­zes­ebene ver­an­kert und stel­len nicht mehr nur Ver­wal­tungs­vor­schrif­ten der Ba­Fin dar.

Einführung von Re­si­li­tenz­tests

Gemäß DORA sind die Un­ter­neh­men auch dazu auf­ge­ru­fen, an­ge­sichts der Be­dro­hun­gen re­gelmäßig Re­si­li­enz­tests durch­zuführen, um ihre be­trieb­li­che Kon­ti­nuität zu be­wer­ten. Durch die Aus­ar­bei­tung und Durchführung rea­lis­ti­scher Stress­test­sze­na­rien sol­len Schwach­stel­len und Schwach­punkte auf­ge­deckt wer­den.

Ände­run­gen im Rah­men der An­for­de­run­gen in Be­zug auf Aus­la­ge­run­gen

DORA be­inhal­tet in Ka­pi­tal V de­zi­dierte Vor­ga­ben zum Out­sour­cing von Dienst­leis­tun­gen. Auch hier sind die Vor­ga­ben für re­gu­lierte In­sti­tute nicht neu. Die An­for­de­run­gen an Aus­la­ge­rung er­in­nern in großen Tei­len an die An­for­de­run­gen aus z. B. Ma­Risk oder den EBA-Gui­de­lines zur Aus­la­ge­rungs­ver­ein­ba­run­gen (EBA-Gui­de­lines on out­sour­cing ar­ran­ge­ments). So­fern re­gu­lierte In­sti­tute der­zeit „com­pli­ant“ sind, wer­den sie da­her in der Re­gel ihr Aus­la­ge­rungs­ma­nage­ment und ihre Aus­la­ge­rungs­verträge nicht gänz­lich neu er­fin­den müssen. Nicht­des­to­trotz gibt es Un­ter­schiede und Neue­run­gen, die einen Um­set­zungs­auf­wand begründen können bzw. Po­ten­tial für we­sent­li­chen An­pas­sungs­be­darf ha­ben.

So un­ter­schei­det der Wort­laut von DORA im Ge­gen­satz zur Ma­Risk und den BAIT nicht zwi­schen „Aus­la­ge­run­gen“ und „Sons­ti­gem Fremd­be­zug“. DORA un­ter­schei­det le­dig­lich zwi­schen IKT-Dienst­leis­tun­gen und sol­chen Dienst­leis­tun­gen, die zur Un­terstützung kri­ti­scher und wich­ti­ger Funk­tio­nen er­fol­gen. Es bleibt da­her ab­zu­war­ten, ob und wie die Ba­Fin dies­bezüglich ihre Ver­wal­tungs­pra­xis an­pas­sen wird.

Zu­dem kon­kre­ti­siert DORA den Min­des­tin­halt der Aus­la­ge­rungs­verträge. Auch diese Vor­ga­ben sind nicht ganz de­ckungs­gleich mit den der­zei­ti­gen Vor­ga­ben für re­gu­lierte In­sti­tute. Da­her wird ggf. ein Ab­gleich und eine Ak­tua­li­sie­rung be­ste­hen­der Aus­la­ge­rungs­verträge not­wen­dig wer­den.

Über­wa­chung für kri­ti­sche IKT-Dritt­dienst­leis­ter

Fer­ner wird mit DORA ein neuer eu­ropäischer Über­wa­chungs­rah­men für kri­ti­sche Tech­no­lo­gie­an­bie­ter, die im Fi­nanz­sek­tor tätig sind, ge­schaf­fen. Die Ein­stu­fung als kri­ti­scher IKT-Dritt­dienst­leis­ter und die da­mit ver­bun­dene Über­wa­chung ob­lie­gen den Eu­ropäischen Auf­sichts­behörden (EBA, ESMA und EI­OPA). Wie diese Ein­stu­fung ge­nau aus­fal­len wird, bleibt noch ab­zu­war­ten. Bei der Ein­stu­fung ori­en­tie­ren sich die Auf­sichts­behörden gemäß Art. 31 Abs. 2 DORA an fol­gen­den Kri­te­rien:

• Sys­te­mi­sche Aus­wir­kun­gen auf die Fi­nanz­dienst­leis­tun­gen bei De­fi­zi­ten der Sta­bi­lität, Kon­ti­nuität und Qua­lität der IKT-Leis­tun­gen
• Abhängig­keit von Fi­nanz­un­ter­neh­men von den Dienst­leis­tun­gen des be­tref­fen­den IKT-Dritt­dienst­leis­ters
• Grad der Sub­sti­tu­ier­bar­keit des IKT-Dritt­an­bie­ters
• Zahl der Mit­glied­staa­ten, wel­che die IKT-Leis­tun­gen nut­zen.

In Deutsch­land verfügt die Ba­Fin zwar nach § 26 Abs. 3a ZAG und § 25b Abs. 4a KWG be­reits über di­rekte An­ord­nungs­be­fug­nisse ge­genüber IKT-Dritt­dienst­leis­tern bei we­sent­li­chen Aus­la­ge­run­gen. Al­ler­dings sind diese Be­fug­nisse be­grenzt auf Aus­la­ge­rungs­dienst­leis­ter, die we­sent­li­che Aus­la­ge­run­gen für KWG- und ZAG-In­sti­tute er­brin­gen. Die im Rah­men von DORA über­tra­ge­nen Be­fug­nisse an die fe­derführende Über­wa­chungs­behörde auf eu­ropäischer Ebene sind weit­aus um­fang­rei­cher als die bis­he­ri­gen der Ba­Fin (vgl. Art. 39 DORA) und gel­ten für Aus­la­ge­rungs­dienst­leis­ter, die für Fi­nanz­un­ter­neh­men im Sinne von DORA tätig sind. Diese er­wei­ter­ten Be­fug­nisse stel­len ein No­vum dar, ermögli­chen sie doch eine um­fas­sende und di­rekte Auf­sicht über kri­ti­sche IKT-Dritt­an­bie­ter.

Mögli­che Kon­se­quen­zen bei Nicht­ein­hal­tung der DORA-Vor­ga­ben

Die Ba­Fin verfügt künf­tig über um­fas­sende Auf­sichts-, Un­ter­su­chungs- und Sank­ti­ons­be­fug­nisse, um die Erfüllung der An­for­de­run­gen der DORA um­set­zen zu können. Art. 50 DORA legt hier­bei die Min­dest­an­for­de­run­gen für Maßnah­men bei einem Ver­stoß fest. Diese um­fas­sen den Zu­griff auf Da­ten und Do­ku­mente, Vor-Ort-In­spek­tio­nen und -Durch­su­chun­gen so­wie Kor­rek­tur- und Ab­hil­femaßnah­men.

Sank­tio­nen bei Nicht­ein­hal­tung der Vor­ga­ben der DORA:

Gemäß Art. 54 Abs. 1 DORA wer­den fest­ge­setzte Sank­tio­nen auf der amt­li­chen Web­site der Behörde un­ter na­ment­li­cher Nen­nung der Un­ter­neh­men veröff­ent­licht. Es be­steht so­mit ein nicht zu ver­nachlässi­gen­des Re­pu­ta­ti­ons­ri­siko.

Das na­tio­nale Recht kann über die DORA-Vor­ga­ben hin­aus­ge­hen. Ein Ab­se­hen von den in der DORA fest­ge­leg­ten Min­dest­an­for­de­run­gen für Maßnah­men bei einem Ver­stoß ist hin­ge­gen nur möglich, so­fern Verstöße ge­gen DORA nach na­tio­na­lem Recht straf­recht­lich ver­folgt wer­den (vgl. Art. 52 DORA).

Aus­wir­kun­gen für mit­telständi­sche Fi­nanz­un­ter­neh­men

Ob­wohl die DORA-An­for­de­run­gen erst ab dem 17.01.2025 um­ge­setzt sein müssen, ist eine recht­zei­tige Be­wer­tung der Be­trof­fen­heit be­deut­sam. Die Ver­ord­nung ein­schließlich al­ler noch zu ver­ab­schie­den­der Im­ple­men­tie­rungs­stan­dards und Tech­ni­scher Re­gu­lie­rungs­stan­dards ist um­fang­reich und in­halt­lich kom­plex. Während re­gu­lierte In­sti­tute mit der Ana­lyse, Be­wer­tung und Im­ple­men­tie­rung von Maßnah­men zur Erfüllung auf­sicht­li­cher An­for­de­run­gen grundsätz­lich ver­traut sind, wer­den künf­tig auch aus­gewählte IKT-Dritt­dienst­leis­ter in Deutsch­land erst­mals selbst un­ter die di­rekte Auf­sicht der eu­ropäischen Auf­sichts­behörden fal­len.

Ne­ben ei­ner Be­trof­fen­heits­ana­lyse soll­ten die Un­ter­neh­men als­bald eine Gap-Ana­lyse zu den DORA-An­for­de­run­gen durchführen, um den not­wen­di­gen Hand­lungs­be­darf zu eva­lu­ie­ren. Insb. für klei­ner Häuser können die durch DORA not­wen­di­gen An­pas­sun­gen der ei­ge­nen IT-Pro­zesse und des IT-Aus­la­ge­rungs­ma­nage­ments Res­sour­cen be­las­ten und da­mit eine Her­aus­for­de­rung dar­stel­len.