Digital Operational Resilience Act (DORA) Compliance

Was beinhaltet die DORA-Verordnung?

Finanzunternehmen sind in ihren täglichen Abläufen stark auf den Einsatz digitaler Technologien angewiesen, die Abhängigkeit von externen Anbietern nimmt zu. DORA bietet Maßnahmen, um die betriebliche Widerstandsfähigkeit gegenüber Risiken in den Bereichen Information, Kommunikation und Technologie (IKT) zu verbessern. Beispiele solcher Risiken sind IKT-Systemausfälle, Cyberangriffe, Betriebsfehler oder Ausfälle von IKT-Drittanbietern. Die neue Verordnung ermöglicht es Finanzunternehmen, ihre Risikomanagement-, Geschäftskontinuitäts- und Drittanbietermanagement-Richtlinien in einen gemeinsamen Governance- und Management-Rahmen für ihre IKT-Bereiche zu integrieren. Dadurch können sie potenziellen Störungen widerstehen und sich als vernetzte Organisationen besser erholen.

Wer ist von der DORA-Verordnung betroffen?

DORA deckt mit wenigen Ausnahmen alle Finanzunternehmen ab, mit eingeschränktem Anwendungsbereich und Vereinfachungen für Kleinstunternehmen. Nun werden auch IKT-Drittdienstleister in den regulatorischen Perimeter einbezogen.

Die neuen Verpflichtungen erfordern eine starke Aufsicht durch die Geschäftsleitung und eine durchdachte Strategie zur digitalen Betriebsstabilität auf der Grundlage der Bedrohungslandschaft.

Welche strategischen Auswirkungen hat die DORA-Verordnung auf Finanzunternehmen?

EU Richtlinien und Verordnungen für Cybersicherheit, Wiederherstellungsplanung und Auslagerung bestehen bereits. Die DORA-Verordnung führt allerdings ein einheitliches regulatorisches Regelwerk für die operationelle IKT-Resilienz im Finanzsektor ein:

• Die „operationelle Resilienz“ bedeutet einen Bewusstseinswandel: Der bisherige Fleckenteppich aus Cyber- und IT-Risiken ausgerichteten Leitlinien wird durch einen neuen Ansatz für den Aufbau von Resilienz gegen digitale Störungen ersetzt. DORA verfolgt eine funktionsübergreifende Perspektive. Die Harmonisierung ermöglicht Synergiepotenziale zwischen IT, Informationssicherheit, operationalem Risikomanagement, Geschäftskontinuität und Third-Party Management.
• Stärkung der Verantwortlichkeit der Geschäftsleitung: Der Vorstand und die Geschäftsleitung müssen eine führende Rolle bei der Sicherstellung der operationellen Resilienz sowie der Festlegung und Überwachung der operativen Resilienzstrategie übernehmen.
• Kontinuierliche Verpflichtungen: Der Umsetzungszeitraum kann für viele Finanzunternehmen eine Herausforderung darstellen, auch unter Berücksichtigung der noch zu erwartenden regulatorischen technischen Standards. Die Einführung eines fortlaufenden Resilienzmanagements wird Finanzunternehmen dazu verpflichten, ständig Resilienztests durchzuführen. Kritische oder wichtige Funktionen sind als Arbeitsschwerpunkte zum Aufbau operativer Resilienz zu identifizieren.
• Einheitliche Berichterstattung über Vorfälle: DORA soll bestehende Rahmenwerke zur Meldung von Vorfällen für Finanzunternehmen integrieren und einen Schwerpunkt darauf legen, wie Unternehmen ihre IKT-Vorfälle verwalten, einschließlich Erkennung, Datenerfassung, Überwachung, Bearbeitung und Nachverfolgung.
• Outsourcing-Strategien: Mit DORA wird der Aufsichtsrahmen für kritische IKT-Drittanbieter eingeführt, der den Umfang der Finanzsektor-Regulierungsperimeters erweitert und den Europäischen Aufsichtsbehörden neue Befugnisse zur Beaufsichtigung kritischer Drittanbieter einräumt. Jedoch soll dies die individuellen Verantwortlichkeiten der Finanzdienstleistungsunternehmen in Bezug auf das Outsourcing und sonstige Vereinbarungen mit Drittanbietern nicht beeinträchtigen.
• Beeinflussung der Investitionsentscheidungen auf der Führungsebene: Um die operationelle Resilienz in einem Unternehmen aufzubauen zu können, muss diese auch als wesentlicher Faktor in die Entscheidungen über die Gestaltung von Geschäftsmodellen miteinbezogen werden. Finanzunternehmen werden aufgefordert, ihr gewünschtes Resilienzniveau festzulegen. Dies ist Teil der Entwicklung digitaler operationeller Resilienz, der von der Verordnung gefordert wird.
• DORA ist verpflichtend und Verstöße sind sanktionierbar: Die Verordnung ermächtigt die Mitgliedstaaten, den zuständigen Behörden die Befugnis zu übertragen, im Falle eines Verstoßes gegen die DORA-Verordnung, Verwaltungsstrafen und Sanktionen gegen Finanzunternehmen zu verhängen. Kritische IKT-Drittanbieter können vom Lead Overseer mit einer Geldstrafe von bis zu 1 % ihres durchschnittlichen täglichen weltweiten Umsatzes belegt werden.

Wie unterscheidet sich DORA von bestehenden Vorschriften?

Die EU-Regulierungsbehörde haben Ausrichtungen der neuen Verordnung unbeschadet bestehender EU-Gesetze und -Leitlinie in Erwägung gezogen. Die Harmonisierung von Standards und Meldepflichten sowie die weitere Abstimmung hinsichtlich genauer Prozesse und Methoden werden voraussichtlich von den Europäischen Aufsichtsbehörden (ESAs) im Rahmen der Level-2-Verordnungen erlassen. Diese umfassen die sogenannten Regulatory Technical Standards (RTS) und Implementation Technical Standards – (ITS).

• ECB TIBER-EU Framework – Obwohl die Übernahme des TIBER-Rahmens durch nationale und europäische Behörden freiwillig ist, ist „Thread Led Penetration Testing” (TLTP) durch die DORA-Verordnung für Finanzunternehmen erforderlich geworden. DORA Level-2-Verordnungen werden in Übereinstimmung mit dem TIBER-EU-Rahmen entwickelt, um den Umfang und Anforderungen von TLPT weiter zu spezifizieren.
• ENISA EU Cybersecurity Act (EU 2019/881) – Der Cybersecurity Act von 2019 legt ENISA-Aufgaben und einen Rahmen für EU-Cybersicherheitszertifizierungssysteme für IKT-Produkte, IKT-Dienste und IKT-Prozesse fest. ENISA wird weiterhin bei der Entwicklung von Richtlinien im Zusammenhang mit der Cybersicherheit behilflich sein und bei der Vorbereitung von DORA-Level-2-Verordnungen unterstützen, unter anderem in Bezug auf IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -tools sowie die Meldung von Vorfällen, um das Ziel von DORA zu erfüllen, Berichtsregeln zu optimieren. Die ESAs werden zusammen mit der EZB und der ENISA außerdem die Machbarkeit der Einrichtung eines einzigen EU-Hubs für die Meldung schwerwiegender IKT-bezogener Vorfälle prüfen.
• Directive on Network and Information Security - NIS2 (EU 2022/2555), Directive on the Resilience of Critical Entities - CER (EU 2022/2557) – Während der Anwendungsbereich von NIS 2 und CER verschiedene Wirtschaftszweige abdeckt, gelten sie, inter alia, für Kreditinstitute, Betreiber von Finanzmarktinfrastrukturen und Anbieter digitaler Infrastruktur. Obwohl DORA als Lex Specialis betrachtet werden sollte und Vorrang vor NIS 2 hat, decken beide Rahmenwerke Anforderungen an Cybersicherheitsrisikomanagementmaßnahmen und Meldepflichten ab und werfen daher Herausforderungen bei der Umsetzung sowie bei der Abstimmung zwischen verschiedenen Regierungsbehörden auf.
• EBA interne Governance Richtlinie (EBA/GL/2021/05) – Die Bestimmungen von DORA zur internen Governance basieren auf den allgemeinen Grundsätzen der zugehörigen EBA-Richtlinie. DORA definiert keine spezifischen IKT-Risikomanagementfunktionen, weist jedoch darauf hin, dass es Finanzunternehmen freisteht, IKT-Risikomanagementmodelle zu verwenden, die anders gerahmt oder kategorisiert sind, solange sie die verschiedenen von DORA geforderten Aufgaben des IKT-Risikomanagements, wie Identifizierung, Prävention, Erkennung, Reaktion und Wiederherstellung, Lernen und Kommunikation angehen.
• EBA und EIOPA IKT-Risikomanagement Richtlinien (EBA/GL/2019/04 und EIOPA-BoS-20-600) – DORA formalisiert und regelt in weiteren Details die von den Richtlinien der EBA und EIOPA jeweils dargestellte IKT-Risiko-Governance, IKT-Testpraktiken und Steuerung von IKT-Drittanbietern.
• Outsourcing-Richtlinien der ESAs (EBA/GL/2019/02, ESMA50-164-4285, EIOPA-BoS-20-002) – Die Anforderungen an das Risikomanagement von Drittanbietern in der DORA sind weitgehend auf die bestehenden ESA-Richtlinien ausgerichtet. Die Richtlinien von ESMA und EIOPA decken nur das Outsourcing an Cloud-Dienstanbieter ab. DORA erweitert diese Anforderungen daher auf Non-Cloud-IKT-Outsourcing für Unternehmen, welche die EBA-Richtlinien nicht anwenden.

Next steps: Was kommt als nächstes?

Unterstützende Regulatory Technical Standards (RTS) und Implementation Technical Standards (ITS) sollen zwischen 12 und 18 Monaten nach Inkrafttreten des DORA entwickelt und veröffentlicht werden. 12 neue Mandate sollen mit dem Proportionalitätsprinzip betrachten werden und folgende Bereiche abdecken:

• IKT-Risikomanagement werden detaillierte Elemente von IKT-Sicherheitsrichtlinien, Kontrollen von Zugriffsverwaltungsrechten, Mechanismen zur Erkennung von anomalem Verhalten, IKT-Geschäftskontinuitätskomponenten und IKT-Risikomanagement Framework Review und Berichterstattung hinzugefügt.
• Die Klassifizierung von IKT-Vorfällen und Cyber-Bedrohungen zur Meldung schwerwiegende IKT-bezogene Vorfälle. Meldeformulare, Vorlagen und Verfahren für schwerwiegende IKT-bezogene Vorfälle.
• Umfang und Anforderungen für TLPT, inkl. Umfang, Testmethodik und Anforderungen an interne und unabhängige Prüfer.
• Risikomanagement von Drittanbietern: Vorlagen für Informationsregister zu IKT-Diensten, Richtlinien zur Nutzung von IKT-Diensten, die von Dritten bereitgestellt werden, Anforderungen an die Untervergabe von IKT-Diensten zur Unterstützung kritischer oder wichtiger Funktionen.
• Aufsichtsaktivitäten von IKT-Drittanbietern, Kritikalitätskriterien der von einem Dritten bereitgestellten IKT-Dienste.
  

Unsere Deloitte Services und wie wir Ihnen helfen können

DORA deckt eine große Bandbreite von Themen ab und stellt eine Reihe von Anforderungen an Unternehmen. Um alle Vorgaben zu erfüllen und gleichzeitig Ihre digitalen Sicherheits- und Ausfallsicherheitsmaßnahmen zu nutzen, sollten Sie ein koordiniertes Projekt starten. Die Unterstützung des Top-Managements ist entscheidend, da DORA eine Integration in das digitale Resilienzmanagement erfordert.

Wir unterstützen Sie auf Ihrem Weg zur Entwicklung eines DORA-konformen Resilienzprogramms und schaffen gemeinsam mit Ihnen ein starkes betriebliches Resilienz-Framework, das die DORA-Anforderungen erfüllt.