Digital Operational Resilience Act - Neuerungen für Finanzunternehmen und kritische IT-Dienstleister

06.12.2023 | 6 Minuten Lesezeit

Die Digitalisierung im Bankgeschäft schreitet immer weiter voran. Hierdurch werden Themen der IT-Sicherheit sowie Cyberrisiken in Finanzunternehmen und bei den dahinterstehenden IT-Dienstleistern immer präsenter. Mangels einheitlicher Regulierung für den Finanzsektor in der EU sind die IT-Sicherheitsmindeststandards, welche Finanzunternehmen umsetzen müssen, in den einzelnen EU-Mitgliedstaaten bislang stark unterschiedlich ausgeprägt.

Mit dem Digital Operational Resilience Act (DORA) hat das europäische Parlament nun ein Regelwerk geschaffen, das der Digitalisierung des Finanzsektors gerecht werden soll und so höhere Rechtssicherheit, zusätzliche Stabilität der Finanzmärkte sowie mehr Verbraucherschutz schaffen soll.

Die Verordnung ist bereits am 16.01.2023 in Kraft getreten und findet in den Mitgliedstaaten ohne weitere Umsetzungsakte direkt Anwendung.

Hinweis: DORA sieht aber für die Finanzunternehmen und deren IT-Dienstleister eine Umsetzungsfrist von 24 Monaten vor, so dass sie erst zum 17.01.2025 unternehmensintern umgesetzt sein muss.

Wer ist von DORA betroffen?

DORA richtet sich primär an Finanzunternehmen. Allerdings ist der Begriff des Finanzunternehmens sehr weit gefasst und erfasst nicht nur klassische Institute (wie Banken oder Zahlungsdienstleister). Der Begriff des „Finanzunternehmens" wird in Art. 2 Abs. 1 a) bis t) DORA legal definiert. Betroffen sind dem Wortlaut nach folgende Unternehmen:

  • Kreditinstitute
  • Zahlungsinstitute
  • Kontoinformationsdienstleister
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen
  • Zentralverwahrer
  • Zentrale Gegenparteien
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs-/Rückversicherungsunternehmen
  • Versicherungs-/Rückversicherungsvermittler
  • Einrichtungen betrieblicher Altersversorgung
  • Ratingagenturen
  • Administratoren kritischer Referenzwerte
  • Schwarmfinanzierungsdienstleister
  • Verbriefungsregister.

Dabei wird zum Teil der Anwendungsbereich durch Verweise auf bestehende Verordnungen bzw. Richtlinien, wie beispielsweise die PSD2 (Richtlinie (EU) 2015/2366), konkretisiert.

In welchem Umfang die jeweiligen Finanzunternehmen von DORA betroffen sind hängt von deren Größe und Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität deren Geschäftstätigkeit ab (vgl. Art. 18 Abs. 4 DORA).

Hinweis: Explizite Erleichterungen sieht DORA für Kleinstunternehmen vor, welche weniger als 10 Mitarbeitende und einen Jahresumsatz bzw. eine Bilanzsumme von unter 10 Mio. Euro ausweisen. Für alle anderen Unternehmen gilt ein abstraktes Proportionalitätsprinzip.

Was sind die Schlüsselthemen?

Das Hauptziel von DORA besteht darin, den Herausforderungen der Digitalisierung in Finanzunternehmen im Wandel der Zeit gerecht zu werden. Hierdurch soll ein europaweit einheitlich sicherer und stabiler Finanzmarkt gewährleistet und gleiche Wettbewerbsbedingungen für die betroffenen Unternehmen geschaffen werden.

DORA regelt primär drei zentrale Themen:

  • Standards für das IKT-Risikomanagement: Unternehmen werden verpflichtet, angemessene Strategien zur Identifikation, Bewertung und Bewältigung von IT-Risiken zu entwickeln.
  • Anforderungen an Resilienztests (z. B. Penetrationstests siehe nachfolgenden Beitrag): Diese sollen sicherzustellen, dass Unternehmen bei Störungen oder Cyberangriffen widerstandsfähig sind und ihre Dienstleistungen kontinuierlich erbringen können.
  • Regelungen zur Auslagerung von Dienstleistungen an Dritte.

Verpflichtung zur Einführung eines IKT-Risikomanagements

DORA führt die Verpflichtung zur Implementierung eines sog. „IKT-Risikomanagementrahmens" der Unternehmen für ihre Informations- und Kommunikationstechnik (IKT) ein.

Der IKT-Risikomanagementrahmen ist als Werkzeugkasten zu verstehen, der regulierten Unternehmen zur Verfügung steht, um alle Informations- und IKT-Assets angemessen zu schützen. Dies umfasst gemäß Art. 6 Abs. 2 DORA mindestens Strategien, Leit- und Richtlinien, IT- und Risikomanagementprozesse, sowie IKT-Protokolle und ‑Anwendungen. Inhaltlich umfasst der IKT-Risikomanagementrahmen mindestens

  • die Strategie für die digitale operationelle Resilienz (Art. 6 DORA),
  • die Erhebung des Informationsverbundes (Art. 8 DORA),
  • das Informationssicherheitsmanagement (Art. 9 DORA),
  • eine Geschäftsfortführungsleitlinie (Art. 11 DORA),
  • Datensicherungs- und Wiederherstellungsverfahren (Art. 12 DORA),
  • Kommunikationspläne für Incidents (Art. 14 DORA),
  • ein umfassendes Testprogramm für die digitale operationelle Resilienz (Art. 24 DORA) und
  • das Management des IKT-Drittparteienrisikos (Art. 28 DORA).

Hinweis: Den IKT-Risikomanagementrahmen müssen die Finanzunternehmen zur Sicherstellung eines robusten und belastungsfähigen Sicherheitssystems mindestens einmal im Jahr bzw. anlassbezogen überarbeiten.

Die Implementierung des IKT-Risikomanagementrahmens stellt keine neue Verpflichtung für regulierte Institute dar. Bereits bisher muss das Risikomanagement von regulierten Instituten das IKT-Risiko umfassen und regelmäßig bzw. anlassbezogen überprüft werden. Diese Vorgabe ist in den MaRisk und den aufsichtsrechtlichen Vorgaben an die IT in BAIT, KAIT und ZAIT bereits verankert. Betrachtet man aber die in DORA genannten Anforderungen, wird ersichtlich, dass die Anforderungen an den „IKT-Risikomanagementrahmen" nicht deckungsgleich mit den Anforderungen des IT-Risikomanagements nach MaRisk sein werden. Die neuen DORA-Vorgaben sind an vielen Stellen konkreter. Zudem werden die Anforderungen durch DORA auf Gesetzesebene verankert und stellen nicht mehr nur Verwaltungsvorschriften der BaFin dar.

Einführung von Resilitenztests

Gemäß DORA sind die Unternehmen auch dazu aufgerufen, angesichts der Bedrohungen regelmäßig Resilienztests durchzuführen, um ihre betriebliche Kontinuität zu bewerten. Durch die Ausarbeitung und Durchführung realistischer Stresstestszenarien sollen Schwachstellen und Schwachpunkte aufgedeckt werden.

Änderungen im Rahmen der Anforderungen in Bezug auf Auslagerungen

DORA beinhaltet in Kapital V dezidierte Vorgaben zum Outsourcing von Dienstleistungen. Auch hier sind die Vorgaben für regulierte Institute nicht neu. Die Anforderungen an Auslagerung erinnern in großen Teilen an die Anforderungen aus z. B. MaRisk oder den EBA-Guidelines zur Auslagerungsvereinbarungen (EBA-Guidelines on outsourcing arrangements). Sofern regulierte Institute derzeit „compliant" sind, werden sie daher in der Regel ihr Auslagerungsmanagement und ihre Auslagerungsverträge nicht gänzlich neu erfinden müssen. Nichtdestotrotz gibt es Unterschiede und Neuerungen, die einen Umsetzungsaufwand begründen können bzw. Potential für wesentlichen Anpassungsbedarf haben.

So unterscheidet der Wortlaut von DORA im Gegensatz zur MaRisk und den BAIT nicht zwischen „Auslagerungen" und „Sonstigem Fremdbezug“. DORA unterscheidet lediglich zwischen IKT-Dienstleistungen und solchen Dienstleistungen, die zur Unterstützung kritischer und wichtiger Funktionen erfolgen. Es bleibt daher abzuwarten, ob und wie die BaFin diesbezüglich ihre Verwaltungspraxis anpassen wird.

Zudem konkretisiert DORA den Mindestinhalt der Auslagerungsverträge. Auch diese Vorgaben sind nicht ganz deckungsgleich mit den derzeitigen Vorgaben für regulierte Institute. Daher wird ggf. ein Abgleich und eine Aktualisierung bestehender Auslagerungsverträge notwendig werden.

Überwachung für kritische IKT-Drittdienstleister

Ferner wird mit DORA ein neuer europäischer Überwachungsrahmen für kritische Technologieanbieter, die im Finanzsektor tätig sind, geschaffen. Die Einstufung als kritischer IKT-Drittdienstleister und die damit verbundene Überwachung obliegen den Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA). Wie diese Einstufung genau ausfallen wird, bleibt noch abzuwarten. Bei der Einstufung orientieren sich die Aufsichtsbehörden gemäß Art. 31 Abs. 2 DORA an folgenden Kriterien:

  • Systemische Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
  • Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters
  • Grad der Substituierbarkeit des IKT-Drittanbieters
  • Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen.

In Deutschland verfügt die BaFin zwar nach § 26 Abs. 3a ZAG und § 25b Abs. 4a KWG bereits über direkte Anordnungsbefugnisse gegenüber IKT-Drittdienstleistern bei wesentlichen Auslagerungen. Allerdings sind diese Befugnisse begrenzt auf Auslagerungsdienstleister, die wesentliche Auslagerungen für KWG- und ZAG-Institute erbringen. Die im Rahmen von DORA übertragenen Befugnisse an die federführende Überwachungsbehörde auf europäischer Ebene sind weitaus umfangreicher als die bisherigen der BaFin (vgl. Art. 39 DORA) und gelten für Auslagerungsdienstleister, die für Finanzunternehmen im Sinne von DORA tätig sind. Diese erweiterten Befugnisse stellen ein Novum dar, ermöglichen sie doch eine umfassende und direkte Aufsicht über kritische IKT-Drittanbieter.

Mögliche Konsequenzen bei Nichteinhaltung der DORA-Vorgaben

Die BaFin verfügt künftig über umfassende Aufsichts-, Untersuchungs- und Sanktionsbefugnisse, um die Erfüllung der Anforderungen der DORA umsetzen zu können. Art. 50 DORA legt hierbei die Mindestanforderungen für Maßnahmen bei einem Verstoß fest. Diese umfassen den Zugriff auf Daten und Dokumente, Vor-Ort-Inspektionen und -Durchsuchungen sowie Korrektur- und Abhilfemaßnahmen.

Sanktionen bei Nichteinhaltung der Vorgaben der DORA:

Gemäß Art. 54 Abs. 1 DORA werden festgesetzte Sanktionen auf der amtlichen Website der Behörde unter namentlicher Nennung der Unternehmen veröffentlicht. Es besteht somit ein nicht zu vernachlässigendes Reputationsrisiko.

Das nationale Recht kann über die DORA-Vorgaben hinausgehen. Ein Absehen von den in der DORA festgelegten Mindestanforderungen für Maßnahmen bei einem Verstoß ist hingegen nur möglich, sofern Verstöße gegen DORA nach nationalem Recht strafrechtlich verfolgt werden (vgl. Art. 52 DORA).

Auswirkungen für mittelständische Finanzunternehmen

Obwohl die DORA-Anforderungen erst ab dem 17.01.2025 umgesetzt sein müssen, ist eine rechtzeitige Bewertung der Betroffenheit bedeutsam. Die Verordnung einschließlich aller noch zu verabschiedender Implementierungsstandards und Technischer Regulierungsstandards ist umfangreich und inhaltlich komplex. Während regulierte Institute mit der Analyse, Bewertung und Implementierung von Maßnahmen zur Erfüllung aufsichtlicher Anforderungen grundsätzlich vertraut sind, werden künftig auch ausgewählte IKT-Drittdienstleister in Deutschland erstmals selbst unter die direkte Aufsicht der europäischen Aufsichtsbehörden fallen.

Neben einer Betroffenheitsanalyse sollten die Unternehmen alsbald eine Gap-Analyse zu den DORA-Anforderungen durchführen, um den notwendigen Handlungsbedarf zu evaluieren. Insb. für kleiner Häuser können die durch DORA notwendigen Anpassungen der eigenen IT-Prozesse und des IT-Auslagerungsmanagements Ressourcen belasten und damit eine Herausforderung darstellen.