Die DORA-Verordnung der EU: Definition, Zeitrahmen und Tipps für Compliance
Da nur noch wenige Monate bis zur Anwendung der DORA-Verordnung verbleiben, möchten wir mit Ihnen einen genaueren Blick auf diesen aktuellen regulatorischen Schachzug der EU werfen, mit dem digitale Bedrohungen in der Finanzbranche abgewendet werden sollen. Lesen Sie weiter, um zu erfahren, was die in Kürze geltend werdende Verordnung über die digitale operationale Resilienz Digital Operational Resilience Act umfasst und für Unternehmen bedeutet, warum sie ins Leben gerufen wurde, wann sie vollständig gelten wird und wie Sie sicher durch ihre Compliance-Gewässer navigieren können.
Was ist DORA? Bedeutung und Implementierungszeitrahmen
Die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) – auch als Verordnung (EU) 2022/2554 bekannt – ist eine EU-Richtlinie, die am 16. Januar 2023 in Kraft trat und ab dem 17. Januar 2025 Anwendung finden wird. Sie zielt darauf ab, die Sicherheitslage der Informations- und Kommunikationstechnologie (IKT) von Finanzunternehmen zu stärken, die in den Zuständigkeitsbereich der drei europäischen Aufsichtsbehörden fallen, und soll gewährleisten, dass die Finanzbranche durch Cyberattacken verursachten betrieblichen Störungen standhalten, sie in Grenzen halten und sich von ihnen erholen kann. Laut der Europäischen Wertpapier- und Marktaufsichtsbehörde soll die DORA-Verordnung Harmonie und Einheitlichkeit für die Richtlinien schaffen, die sich auf die digitale operationale Resilienz im Finanzsektor beziehen, und wird für einundzwanzig verschiedene Arten von Finanzinstituten sowie externe IKT-Serviceanbieter gelten.
Warum wurde DORA ins Leben gerufen? Hintergrund und wichtige Erwägungen
Die DORA-Verordnung der EU wurde als strategische Reaktion auf die wachsende Abhängigkeit des Finanzsektors von digitalen Technologien und der gleichzeitigen Zunahme von Cyberbedrohungen eingeführt.
„Wir leben in unsicheren Zeiten. Banken und andere Unternehmen, die Finanzdienstleistungen in Europa anbieten, verfügen bereits über Pläne für ihre IT‑Sicherheit, aber wir müssen noch einen Schritt weiter gehen“, kommentierte der tschechische Finanzminister Zbyněk Stanjura die Verabschiedung von DORA Ende November 2022. „Mit den harmonisierten rechtlichen Anforderungen, die wir heute angenommen haben, wird unser Finanzsektor besser in der Lage sein, jederzeit den Betrieb aufrechtzuerhalten. Sollte ein breitflächiger Angriff auf den europäischen Finanzsektor erfolgen, werden wir gerüstet sein.“
Letztendlich hat das neue Gesetz zum Ziel sicherzustellen, dass alle Einrichtungen innerhalb des EU-Finanzsystems – von Banken und Investmentfirmen bis hin zu Serviceanbietern von Krypto-Assets – über die notwendigen Schutzmaßnahmen zur Abwehr von Cyberattacken verfügen und so die Integrität und Stabilität des Finanzmarkts gesichert ist.
Im Zuge der unaufhaltbaren Digitalisierung des Finanzsektors sind Dienstleistungen effizienter und zugänglicher geworden. Jedoch hat diese digitale Transformation auch ein erhöhtes Risiko von Cybervorfällen mit sich gebracht und setzt Branchenmitglieder jeglicher Art und Größe erheblichen operationalen Beeinträchtigungen und finanziellen Verlusten aus – ganz zu schweigen von der Tatsache, dass solche Vorfälle aufgrund der verflochtenen Beschaffenheit des finanziellen Ökosystems schnell grenzüberschreitende Auswirkungen haben und sich so sogar zu systemischen Krisen entwickeln können.
Die DORA-Verordnung, deren erster Entwurf von der Europäischen Kommission im September 2020 veröffentlicht wurde, adressiert diese Herausforderungen, indem sie ein umfassendes Rahmenwerk festlegt, das einheitliche Standards für EU-weite digitale operationale Resilienz vorschreibt. Dazu gehören Anforderungen an alle Finanzeinrichtungen, Cyberrisiken zu identifizieren, zu klassifizieren und zu vermindern, durch Dritte entstehende IKT-Risiken zu managen, Mechanismen zum Störfallmanagement einzurichten und ihre digitalen Schutzvorrichtungen regelmäßig zu testen und zu prüfen.
Das DORA-Gesetz ermöglicht also einen koordinierten Ansatz in Bezug auf die Cybersicherheit in EU-Mitgliedsstaaten und fördert so deren kollektive Fähigkeit, das finanzielle Ökosystem vor auftretenden digitalen Gefahren zu schützen. Dies ist unerlässlich, um einen sicheren und widerstandsfähigen digitalen Finanzmarkt zu schaffen, der das wirtschaftliche Wachstum der EU unterstützen und die Interessen ihrer Bürger und Unternehmen schützen kann.
Wie ist der aktuelle Stand von DORA? Ein Update für 2024
Die EU-Verordnung über die digitale operationale Resilienz befindet sich augenblicklich in der kritischen Phase der regulatorischen Entwicklung und Implementierung. Sie wurde offiziell verabschiedet und wird nun auf die nationalen Gesetze der Mitgliedsstaaten übertragen. Finanzorganisationen und externe IKT-Serviceanbieter müssen bis zum 17. Januar 2025 – der Tag, an dem die Richtlinie wirksam und durchsetzbar wird – Compliance mit DORA erzielen. Sie hatten bereits seit Juni 2022, als die Frist verkündet wurde, die Möglichkeit, ihre Roadmap zu Compliance mit der DORA-Verordnung zu planen.
Laut einer Studie von Deloitte hatten jedoch nur 29% der befragten Finanzeinrichtungen eine derartige Roadmap, während der Rest von ihnen sich dazu entschlossen hatte, eine solche 2023 oder sogar erst später im Jahr 2024 auszuarbeiten.
Damit werden sie definitiv alle Hände voll zu tun haben. Denn die Vorbereitung auf das neue Gesetz umfasst nicht nur maßgebliche Investitionen in die Cybersicherheitsinfrastruktur und die Etablierung rigoroser Vorfallreaktionsmechanismen, sondern verlangt auch die intensive Prüfung von IKT-Drittdienstleistern. Die Aufsichtsbehörden der Europäischen Union intensivieren ebenfalls ihre Bemühungen im Hinblick auf Beratung, Unterstützung und Beaufsichtigung, um einen reibungslosen Übergang und eine einheitliche Anwendung der DORA-Standards zu gewährleisten.
Alles, was Sie über die Anforderungen der DORA-Verordnung wissen sollten
DORA legt entscheidende Anforderungen für Unternehmen fest, ihre Widerstands-, Reaktions- und Erholungsfähigkeit im Hinblick auf IKT-bezogene Störungen zu verbessern. Um dies zu erreichen, stützt DORA sich auf mehrere Säulen:
- IKT-Risikomanagement: DORA verlangt, dass Unternehmen einen umfassenden und gut dokumentierten Rahmenplan für das IKT-Risikomanagement implementieren. Dieser Rahmenplan sollte alle Aspekte von IKT berücksichtigen, einschließlich Sicherheit, Data Governance und Geschäftskontinuität. Unternehmen müssen IKT-Risiken regelmäßig beurteilen und ihre Verteidigungsmechanismen so anpassen, dass diese Bedrohungen effektiv gemindert werden können.
- Berichterstattung: DORA ordnet die Einrichtung eines robusten Berichterstattungsmechanismus an. Unternehmen müssen den relevanten Behörden maßgebliche cyber- und IKT-bezogene Vorfälle melden. Dies ermöglicht eine zeitnahe und koordinierte Reaktion auf Bedrohungen, wodurch deren Auswirkungen auf Finanzmärkte und deren Verbraucher minimiert werden.
- Testen der digitalen operationalen Resilienz: DORA schreibt regelmäßige Tests der digitalen operationalen Resilienz vor. Das bedeutet, dass Unternehmen periodisch Tests durchführen müssen, um die Widerstandsfähigkeit ihrer Systeme und Prozesse gegen Cyberattacken und andere IKT-Beeinträchtigungen zu beurteilen, z. B. mittels Schwachstellenbewertungen, Penetrationstests und auf Szenarios basierten Übungen.
- Management des Drittparteirisikos: DORA erkennt an, dass die Branche in zunehmendem Maße von Drittdienstleistern abhängig ist und richtet den Fokus daher auch auf das Management und die Kontrolle der IKT-Risiken, die aus diesen Beziehungen hervorgehen. Unternehmen müssen sicherstellen, dass ihre externen Anbieter dieselben Standards für das IKT-Risikomanagement einhalten, einschließlich regelmäßiger Audits und Compliance-Prüfungen.
- Informationsaustausch: Um einen kollektiven Ansatz in Bezug auf digitale Resilienz zu fördern, ermutigt die DORA-Verordnung Unternehmen dazu, Informationen zu Cyberbedrohungen und Schwachstellen innerhalb einer vertrauenswürdigen Community auszutauschen. Dieser Ansatz ermöglicht nicht nur eine bessere Vorbereitung und Reaktion auf auftretende IKT-Risiken, sondern stärkt auch die allgemeine Stabilität des EU-Finanzsystems.
- Überwachungsrahmen: Die Verordnung über die digitale operationale Resilienz führt einen Überwachungsrahmen für kritische Drittdienstleister unter Einbeziehung von Cloud-Computing-Services ein. Dies gewährleistet, dass diese Anbieter die strengen Standards für das Management von IKT-Risiken einhalten und so das systemische Risiko senken, das diese für das EU-Finanzsystem darstellen.
Von Drittparteien bis hin zur Technologie: Wie wird DORA sich auf Finanzunternehmen auswirken?
Im Rahmen von DORA werden Mitglieder der Finanzbranche ihre existierenden IKT-Risikomanagementpraktiken genaustens unter die Lupe nehmen. Vor allem müssen sie jedoch einen ganzheitlichen Ansatz im Hinblick auf digitale Resilienz verfolgen, der alles von Cybersicherheitsverteidigungsmaßnahmen bis hin zur Geschäftskontinuitätsplanung umfasst. Dies wird mit großer Wahrscheinlichkeit – zumindest auf kurze Sicht – zu einer Steigerung der Betriebskosten führen, da Unternehmen in aktuelle Technologien, Mitarbeiterschulungen und verbesserte Sicherheitsmaßnahmen investieren.
Die Verordnung wird einen standardisierten und robusten Rahmen für das Management des Drittparteirisikos im Finanzsektor festigen. Unternehmen müssen sicherstellen, dass ihre Lieferanten und Dienstleister – insbesondere diejenigen, die als kritische Drittparteianbieter angesehen werden – dieselben Standards in Bezug auf Cyberrisikomanagement einhalten, an die sie sich selbst halten müssen. Dazu gehören gründliche Due-Diligence-Prüfungen, regelmäßige Audits und möglicherweise die Neuverhandlung von Verträgen, um Klauseln bezüglich DORA-Compliance zu beinhalten.
Darüber hinaus wird der Fokus der Verordnung über digitale operationale Resilienz auf den Austausch von Informationen eine Kultur der Zusammenarbeit und kollektiven Verteidigung unter den Mitgliedern des finanziellen Ökosystems erzeugen. Dies kann einzelne Unternehmen dazu anregen, ein Gleichgewicht zwischen Wettbewerbsfähigkeit und der Notwendigkeit, kritische Informationen für die Gefahrenerkennung zu teilen, herzustellen. Eine solche Verlagerung könnte die Widerstandsfähigkeit der Branche gegen Cyberbedrohungen insgesamt dramatisch verbessern – jedoch nicht ohne erhebliche kulturelle Anpassungen seitens vieler Unternehmen.
Zu guter Letzt fügt der von der neuen europäischen Verordnung über die Cyberresilienz eingeführte Überwachungsrahmen für kritische Drittdienstleister, u. a. auch Cloudservices, eine zusätzliche Ebene regulatorischer Prüfung hinzu. Dies bezieht sich nicht nur auf die Serviceanbieter selbst, die höhere Standards einhalten müssen, sondern auch auf die Unternehmen, die diese Dienstleistungen in Anspruch nehmen. Unternehmen müssen ihre Partnerschaften möglicherweise gründlich neu bewerten, um sicherzustellen, dass ihre kritischen Serviceanbieter die DORA-Auflagen erfüllen können.
Wie können Sie sich auf DORA vorbereiten? 8 unerlässliche Tipps für Compliance
- Führen Sie eine Lückenanalyse aus: Beginnen Sie damit, Ihre aktuellen Cybersicherheitspraktiken und -richtlinien mit den DORA-Compliance-Anforderungen abzugleichen, um zu identifizieren, welche Bereiche verbessert werden müssen.
- Verbessern Sie das Management des Drittparteirisikos: Entwickeln Sie eine gut durchdachte Strategie, um die mit Drittparteien verbundenen Risiken zu managen, einschließlich von Due-Diligence-Prozessen, und so zu gewährleisten, dass alle Anbieter die DORA-Standards erfüllen.
- Investieren Sie in Cybersicherheitsschulungen: Bieten Sie all Ihren Mitarbeitern kontinuierliche Cybersicherheitsschulungen, um ihre Belegschaft widerstandsfähig zu machen und eine Kultur der Verantwortlichkeit und Aufmerksamkeit zu fördern.
- Implementieren Sie robuste Vorfallreaktionspläne: Legen Sie Vorfallreaktionspläne fest oder aktualisieren Sie ihre vorhandenen Pläne, um im Falle einer Cyberbedrohung oder Datenschutzverletzung ein schnelles und effektives Handeln zu ermöglichen.
- Fördern Sie Zusammenarbeit und Informationsaustausch: Treten Sie Branchengruppen oder -foren bei, um den Austausch von Informationen zur Gefahrenerkennung und Best Practices innerhalb des Finanzsektors zu ermöglichen.
- Prüfen und aktualisieren Sie die IT-Infrastruktur: Stellen Sie sicher, dass IT-Systeme und die IT-Infrastruktur auf dem neuesten Stand und sicher sind und Cyberbedrohungen in Übereinstimmung mit den DORA-Anforderungen Stand halten können.
- Arbeiten Sie mit Aufsichtsbehörden zusammen: Bleiben Sie über aktuelle Orientierungshilfen der Aufsichtsbehörden im Hinblick auf die Implementierung von DORA informiert und bitten Sie sie bei Bedarf um Klarstellung.
- Weisen Sie Ressourcen auf angemessene Weise zu: Stellen Sie sicher, dass hinreichend Ressourcen, einschließlich von Geldern und Fachpersonal, zugewiesen werden, damit DORA-Compliance-Ziele auf effiziente Weise erreicht werden können.