die bank 02 // 2023

REGULIERUNG DIGITALE

REGULIERUNG DIGITALE OPERATIONALE RESILIENZ IM FINANZSEKTOR WAS BEI DER DORA-UMSETZUNG ZU BEACHTEN IST 60 02 | 2023

REGULIERUNG Am 27. Dezember 2022 wurde nach einer fast zweijährigen Konsultation die Verordnung von EU-Parlament und EU-Rat über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) im Amtsblatt der EU veröffentlicht. Dabei handelt es sich um einen EU-weit anzuwendenden Rechtsrahmen mit einheitlichen Anforderungen an die Sicherheit der Netz- und Informationssysteme im Finanzsektor. Wesentlicher Auslöser waren die zu beobachtenden zunehmenden Cyber-Risiken und die damit verbundene steigende Bedeutung der IT-Sicherheit und digitalen operationalen Resilienz. Die Themen IT-Sicherheit und Cyber-Risiken gewinnen stetig an Bedeutung. Deutlich wird dies im EU-Kontext mit dem jüngsten „Risk Assessment of the European Banking System“, das die European Banking Authority (EBA) im Dezember 2022 veröffentlichte. Darin beschreibt die EBA die Herausforderungen im Bereich Operational Resilience zusammenfassend folgendermaßen: „Reliance of banks on digital and remote solutions to perform their daily operations, to deliver their services to customers, and to conduct business has resulted in an enhanced exposure and vulnerability to increasingly sophisticated cyber-attacks and to fraud. Scope and relevance of operational risk further broadened along with technological advances and underlines the importance of ensuring operational resilience. Moreover, banks are facing increased operational challenges since geopolitical tensions are playing an increasing role in the technological and digital space, with impacts felt across geographies. The Russian war of aggression against Ukraine has led to further heightened cyber risks, including threats to information security and business continuity.“ Auch der bereits im Oktober 2022 veröffentlichte Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit wies sehr deutlich auf eine Zuspitzung der Risikolage hin und bewertete die „Gefährdungslage im Cyber- Raum“ als so hoch wie noch nie zuvor. Die Europäische Zentralbank (EZB) ging in ihrem jüngsten Financial Stability Review vom November 2022 ebenfalls intensiv auf die gestiegene Gefahr durch Cyber-Angriffe ein und leitete aus dieser Gefahrenlage die Notwendigkeit zusätzlicher Investitionen des Finanzsektors in die IT-Sicherheit ab. In ihrem im Januar 2023 veröffentlichtem Bericht „Risiken im Fokus der BaFin 2023" thematisierte die Bundesanstalt für Finanzdienstleistungsaufsicht einen Anstieg der Risiken aus Cyber-Attacken mit gravierenden Auswirkungen für die Finanzindustrie und wies auch auf ein erhöhtes Risiko durch Auslagerungen hin. Als Gegenmaßnahmen plant die BaFin eine fristgerechte effektive Umsetzung des Digital Operational Resilience Act (DORA) bis Mitte Januar 2025. Dabei agiert sie als zentrale Meldestelle für das Vorfallsmeldewesen (Incident Reporting). Anhand der über die elektronische Meldeplattform seit Ende November 2022 bei der BaFin eingegangenen sektorweiten Anzeigen von (wesentlichen) Auslagerungen wird analysiert, welche Aktivitäten und Prozesse die Unternehmen des Finanzsektors auf welche Dienstleister ausgelagert haben. Die darauf basierenden „Auslagerungslandkarten“ ermöglichen die Identifikation von Risiken für einzelne beaufsichtigte Unternehmen und Konzentrationsrisiken für den gesamten Finanzsektor. 02 | 2023 61