die bank 02 // 2023

REGULIERUNG 1 | Die

REGULIERUNG 1 | Die Kernthemen von DORA » Erweiterte Pflichten des Managements » Etablierung einheitlicher Vorgaben zu IKT-Störungen » Vereinheitlichung IKT-Risikomanagementrahmen » Spezifizierung Notfallpläne IKT-Risikomanagementrahmen & Business Continuity Management Kapitel II Berichterstattung zu IKT-Vorfällen Kapitel III » Standardisierte Bearbeitung » Erweiterte Meldepflichten von schwerwiegenden IKT-Vorfällen DORA » Informationsregister » Zusätzliche Anforderungen an Risikoüberwachung » Weitreichende Untersuchungsrechte für Aufsichtsinstanz Kapitel V Steuerung und Überwachung IKT-Drittdienstleister-Risiken Kapitel IV Testprogramm zur Prüfung der digitalen Betriebsstabilität (Penetration Testing) » Überprüfung kritischer IT-Systeme » Penetrationstests » Testprogramm » Beauftragung externer Tester Quelle: RFC Professionals. Diese einleitenden Hinweise machen deutlich, dass sich alle regulierten Finanzunternehmen mit dem Digital Operational Resilience Act (DORA) beschäftigen und auf dieser Grundlage ihre IT-Strategie und IT-Sicherheitsmaßnahmen erweitern sollten. Im Folgenden werden DORA und seine Grundelemente in Kurzform näher erläutert. Der Weg zum EU Digital Operational Resilience Act (DORA) Ergänzend zur Stärkung der IT-Sicherheit von Finanzunternehmen über die Richtlinie über die Resilienz kritischer Einrichtungen und die NIS-II-Richtlinie wurde von der Kommission im September 2020 ein Vorschlag für eine Verordnung über die Betriebsstabilität digitaler Systeme (Digital Operational Resilience Act, DORA) vorgelegt. Hierzu konnte im Mai 2022 eine Einigung in EU-Rat und EU-Parlament erreicht werden. Im November 2022 wurde schließlich die finale Fassung der „Verordnung über die digitale operationale Resilienz im Finanzsektor“ von EU-Parlament und EU-Rat verabschiedet. Diese wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht und ist am 16.Januar 2023 in Kraft getreten. Für die Implementierung der 79 Seiten umfassenden DORA-Verordnung (Verordnung (EU) 2022/2554) durch die betroffenen Unternehmen und Behörden wurde eine Frist von 24 Monaten bis 17. Januar 2025 festgesetzt. Zeitgleich mit der genannten Verordnung wurde auch die damit verbundene „Richtlinie zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor“ mit parallelen Fristen zur Implementierung veröffentlicht. Die DORA-Richtlinie (Richtlinie (EU) 2022/2556) enthält jeweils einzelne Anpassungen der genannten Richtlinien, die im Zusammenhang mit der Verordnung erforderlich wurden. Die lediglich elf Seiten umfassende DORA-Richtlinie muss nun nach ihrem formellen Inkrafttreten am 16.Januar 2023 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt und analog zur DORA- Verordnung ab dem 17. Januar 2025 angewendet werden. Die Kernthemen von DORA Ziel der DORA-Verordnung ist die Schaffung eines EU-weit anzuwendenden Rechtsrahmens mit einheitlichen Anforderungen an die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen Dritten, die Dienstleistungen im Bereich IKT (Informations- und Kommunikationstechnologien) wie Cloud- Plattformen oder Datenanalysedienste bereitstellen. Mit dem EU-weit einheitlichen Regelwerk für die digitale operationale Resilienz soll sichergestellt werden, dass Unternehmen in der Lage sind, auf Störungen und Bedrohungen in Verbindung mit IKT angemessen reagieren zu können. Auf diese Weise sollen erfolgreiche Cyber-Angriffe möglichst verhindert bzw. deren Auswirkungen weitestgehend gemindert werden. Die DORA-Verordnung beinhaltet Regelungen und Anforderungen zu den folgenden wesentlichen und für Finanzinstitute operativ relevanten Kernthemen: Z IKT-Risikomanagementrahmen inklusive Anforderungen an das Business Continuity Management (BCM) mit Stärkung des Informationsrisiko- und Informationssicherheitsmanagements (Kapitel II der Verordnung), Z Behandlung von IKT-Vorfällen und deren Meldung (Kapitel III), Z Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen (Kapitel IV) sowie 62 02 | 2023

REGULIERUNG Z Steuerung und Überwachung von IKT- Drittdienstleisterrisiken mit verstärkten Anforderungen an das 3 rd & 4 th Party Risk Management (Kapitel V). Die Abbildung ÿ 1 gibt einen Überblick zu wesentlichen Neuerungen und Anforderungen in den einzelnen Kapiteln. Die Anforderungen in den weiteren Kapiteln, wie zum Beispiel der Informationsaustausch zwischen den Finanzmarktteilnehmern, sind nicht obligatorisch bzw. für die Finanzunternehmen selbst nicht relevant, da an die Aufsicht gerichtet. Der Anwendungsrahmen von DORA Gemäß Art. 2 Abs. 1 der DORA-Verordnung beinhaltet der Geltungsbereich der zuvor beschriebenen Anforderungen grundsätzlich alle Versicherungs- und Rückversicherungsunternehmen, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Rating-Agenturen Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen sowie weitere Unternehmen wie Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste – in der Summe als „Finanzunternehmen“ definiert – sowie „IKT-Drittdienstleister“. Ein „IKT-Drittdienstleister“ ist dabei definiert als „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“. IKT-Dienstleistungen sind relativ weit definiert als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardware-Dienstleistungen, wozu auch technische Unterstützung durch den Hardware- Anbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“. Gemäß Art. 2 Abs. 3 der DORA-Verordnung werden allerdings einzelne Unternehmensgruppen, wie z. B. Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung, vom Anwendungskreis ausgenommen. Zudem können gemäß Art. 2 Abs. 4 der DORA-Verordnung die EU-Mitgliedsstaaten in Form eines nationalen Wahlrechts solche Institute vom DORA-Anwendungskreis ausnehmen, die in Art. 2 Abs. 5 der CRD (Capital Requirements Directive) genannt sind. Dies kann z. B. die Kreditanstalt für Wiederaufbau und die staatlichen Förderbanken der Bundesländer betreffen. Die genannten Punkte zeigen, dass einerseits relativ viele Unternehmen von den neuen Vorgaben betroffen sein können und andererseits die potenziell betroffenen Unternehmen prüfen sollten, ob sie ggf. doch durch eine der in der DORA-Verordnung enthaltenen Legalausnahmen im Einzelfall möglicherweise vom Anwendungsbereich ausgenommen sind. Zudem sind einige der Vorgaben der DO- RA-Verordnung abhängig von der Größe der Unternehmen umzusetzen. So sind zahlreiche Anforderungen für besonders kleine Unternehmen (sogenannte Kleinstunternehmen mit weniger als zehn Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme von weniger als 2 Mio. €) nicht und für kleine und mittlere, nicht verflochtene Unternehmen nur eingeschränkt relevant. Insofern ist die Prüfung, welche Anforderungen abhängig von der Größe und genauen Tätigkeit des Unternehmens nun wirklich umzusetzen sind, eine der Herausforderungen dieser neuen EU-Vorgaben. Die weiteren Arbeiten zwischen Inkraftsetzung und Anwendung Die DORA-Verordnung ist zum 16. Januar 2023 in Kraft getreten. Bis zur Anwendung der Verordnung ab dem 17. Januar 2025 sind von den zuständigen EU-Aufsichtsbehörden (ESAs) noch Leitlinien (Guidelines), technische Regulierungsstandards (Regulatory Technical Standards, RTS) und technische Durchführungsstandards (Implementing Technical Standards, ITS) zu erstellen. 02 | 2023 63