Mit dem Digital Operational Resilience Act (DORA) existieren erstmals einheitliche, sektorübergreifende Regelungen für das Management und die Minderung der IKT-Risiken bei Banken, Versicherungen, Zahlungsdienstleistern und weiteren Akteuren des Finanzsektors. Angestrebt ist eine Konsolidierung der bisherigen, uneinheitlichen nationalen Regelungen. Das tut Not, denn: Selbst zu grundlegenden Aufgaben und Anforderungen im IKT-Risikomanagement existieren unterschiedliche nationale Vorschriften. Auch sind die Aufsichtsbehörden nicht überall mit den gleichen Befugnissen ausgestattet.

Die zweijährige Umsetzungsfrist für die in DORA enthaltenen Anforderungen hat mit dem Inkrafttreten am 17. Januar 2023 begonnen. Bis Anfang 2025 müssen die betroffenen Marktteilnehmer notwendige Anpassungen ihrer IT-Organisation und -Systeme abschließen.

Hintergrund von DORA ist die inzwischen zunehmend datengetriebene Wertschöpfung in der Finanzindustrie. Zudem wollen immer mehr Akteure mithilfe von Cloudsourcing Skaleneffekte erzielen und damit ihre Cost-Income-Ratio verbessern. Die Aufsicht wird die Finanzbranche auf diesem Weg aktiv begleiten. Zugleich erkennt sie in diesen Trends Risiken, die im Ernstfall auf die gesamte Volkswirtschaft ausstrahlen können. Mit DORA hat die Aufsicht den Rahmen für das adäquate Management solcher Bedrohungsszenarien geschaffen.

“I (…) see the role of supervision as a ‘supporter’ of digitalization in the banking sector. Legislation should not raise the bar for digital innovation, nor should it overburden the financial sector; instead, it should name risks and help institutions manage these risks adequately.”

(Prof. Dr. Joachim Wuermeling, Exploring DORA – the Digital Operational Resilience Act and its impact on banks and their supervisors. Speech at the European Savings and Retail Banking Group (ESBG), 23.09.2021) 

• Stärkung der Cyberresilienz von Systemen und Prozessen in der Finanzbranche
• gleiche Regelungen für Unternehmen mit gleichen Tätigkeiten und gleichem Risiko
• einheitliche Verantwortung und identische Befugnisse für Regulierungsbehörden in der EU

Als EU-Rechtsakt obliegt die Durchsetzung von DORA den für die Finanzbranche zuständigen Aufsichtsbehörden, der sogenannten European Supervisory Authority (ESA). Im Einzelnen sind dies

• die European Banking Authority (EBA) für Banken
• die European Insurance and Occupational Pensions Authority (EIOPA) für Versicherungen
• die European Securities and Markets Authority (ESMA) für Assetmanager

Die jeweils beaufsichtigten Unternehmen sowie deren Dienstleister unterliegen nun einheitlichen Regelungen.

DORA besteht aus neun Kapiteln, von denen das erste den Anwendungsbereich und verwendete Begrifflichkeiten definiert, das sechste zum Informationsaustausch zwischen den Unternehmen anregt und die Kapitel sieben bis neun primär die formaljuristische Umsetzung regeln. Operativ relevant sind dementsprechend nur die Kapitel zwei bis fünf:

• Kapitel II: IKT-Risikomanagement
  Kernanforderung: Implementierung von Schlüsselprinzipien und Anforderungen an den Rahmen des IKT-Risikomanagements 
• Kapitel III: Vorfallmeldungen
  Kernanforderung: Harmonisierung und Straffung der Berichterstattung sowie Ausweitung der Berichtspflichten auf alle Finanzunternehmen 
• Kapitel IV: Testen der digitalen operationellen Resilienz
  Kernanforderung: Durchführung von bedrohungsorientierten Tests 
• Kapitel V: Management des IKT-Drittparteienrisikos
  Kernanforderung: Regeln für die Überwachung des Risikos von Auslagerungen und Definition des Aufsichtsrahmens für kritische IKT-Provider 

Die meisten Änderungen betreffen die Themenbereiche IKT-Risiken Dritter und die Belastbarkeitstests. Für ein Outsourcing wird in Zukunft eine Betrachtung des Konzentrationsrisikos bei Drittanbietern, eine Identifizierung und spezielle Beaufsichtigung der mit kritischen Funktionen befassten Partner und eine geänderte Vertragsgestaltung verlangt. Die Durchgriffsrechte der Aufsichtsbehörden auf Drittanbieter wachsen erheblich. Diese schließen sogar das Recht ein, die Kündigung von Verträgen anzuordnen.

Die Frequenz von Penetrations- und Belastungstests dürfte steigen. Auch die Qualität dieser Überprüfungen wird stärker in den Fokus rücken. Ein Rahmenwerk soll künftig die Anforderungen sowie die Qualifikationen der Tester regeln.

Die Umsetzung dürfte erwartbar hohe Aufwände verursachen. Da alle Bereiche des Bankbetriebs betroffen sind, entsteht ein enormer Abstimmungsbedarf mit den unterschiedlichen Stakeholdern. Daher ist es höchste Zeit für eine Gap-Analyse, um die eventuell betroffenen Handlungsfelder frühzeitig zu identifizieren. Diese Prüfung sollte sehr detailliert ausfallen, denn einige Anforderungen sind aufgrund geltender Vorschriften, Richtlinien und Standards bereits umgesetzt. Ein Auszug relevanter Vorschriften verdeutlicht noch einmal, wie umfangreich die von DORA berührten Themenbereiche ausfallen.

• Prüfungsbegleitung
• Durchführung von Quick-Check und Gap-Analysen
• Überarbeitung der schriftlich fixierten Ordnung (sfO) sowie der zugehörigen Prozesse
• Schulungen und Trainings auf allen Ebenen
• Begleitung der Umsetzung der IT-Strategie, etwa Cloudmigrationsprojekte unter Fokussierung auf Security und Compliance
• Implementierung von Maßnahmen im Bereich Detection & Response – maßgeschneidert als Reaktion auf Cyberangriffe, beispielsweise SIEM, SOAR, XDR
• Implementierung und Weiterentwicklung eines individualisierten Information Security Management Systems (ISMS) nach ISO 27001