Mit dem Digital Operational Resilience Act (kurz: „DORA“) hat die Europäische Union für so gut wie alle beaufsichtigten Finanzinstitute eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Mit DORA sollen starke, einheitliche Sicherheitsstandards geschaffen werden, die Finanzinstitutionen vor Angriffen durch Cyberkriminellen schützen – doch bringt die Verordnung auch eine Vielzahl an „Auflagen“ für Finanzinstitute mit sich, die umgesetzt werden müssen. Da diese Verordnung dem digitalen Wandel und den zunehmenden Gefahren durch Cyberbedrohungen gerecht werden soll, raten wir Unternehmen dringend mit einer frühzeitigen Umsetzung zu beginnen. Doch worum geht es genau? 

I. Einleitung und Gegenstand 

1. Einleitung und Umsetzungsaufwand 

Vor dem Hintergrund der sehr vertrags- und IT-lastigen Regelungsinhalte ist allerdings mit einer erheblichen Umsetzungsdauer zu rechnen. IT-Projekte müssen nach Maßgabe der Bankaufsichtlichen Anforderungen an dei IT („BA-IT“) umgesetzt werden – ob DORA diese ersetzen beziehungsweise vollständig „umkrempeln“ wird, wird sich zeigen. Allerdings erspart das nicht die Umsetzung nach deren (aktuellen) Vorgaben. Ferner dürften Finanzinstitute zahlreiche interne Richtlinien haben, die bei der Umsetzung beachtet werden müssen. Auch die Verhandlungen mit IT- und Kommunikationstechnik-Dienstleistern („IKT“) dürften einen nicht unerheblichen Zeitrahmen umfassen; denn nicht nur die Finanzinstitute, sondern auch deren IKT-Dienstleister müssen sich auf die Änderungen von DORA einstellen. 

Wir empfehlen daher dringend frühzeitig mit der Umsetzung zu beginnen und dabei nicht nur die IT- und Compliance-Abteilungen einzubinden, sondern sich auch – internen und externen – regulatorischen Rat einzuholen. 

2. Weitere Rechtsakte

DORA wird von zahlreichen weiteren Rechtsakten flankiert:  

1. EU-Richtlinie 2022/2556 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor vom 14. Dezember 2022   
2. EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) vom 14. Dezember 2022  
3. EU-Richtlinie über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates vom 14. Dezember 2022  
4. Entwürfe von RTS, ITS, Guidelines etc., die (teilweise) noch final abzustimmen und umzusetzen sind. 

3. Regelungsinhalte, Schwerpunkte

Alle Rechtsakte haben Regelungen zur digitalen operationalen Resilienz von Finanzunternehmen zum Gegenstand. Darunter ist die Fähigkeit zu verstehen, sämtliche von einem Finanzunternehmen genutzten Informations- und Kommunikationstechnologien („IKT“) funktionsfähig zu halten und vor Angriffen zu schützen. DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:   

1. IKT-Risikomanagement

• Meldung schwerwiegender IKT-bezogener Vorfälle und – auf freiwilliger Basis – erheblicher Cyberbedrohungen an die zuständigen Behörden;   
• Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch bestimmte aufgeführte Finanzunternehmen an die zuständigen Behörden;   
• Tests der digitalen operationalen Resilienz;  
• Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;   
• Maßnahmen für das solide Management des IKT-Drittparteienrisikos;   

2. Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen  
3. Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)   
4. Aufstellung von Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen;   
5. Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen;   
6. Information Sharing sowie Übungen zu Cyberkrisen- und weitere Notfallübungen. Insbesondere Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden sowie Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden.   

II. Zeitplan und Konsultationen

Die Umsetzung von DORA unterliegt einem ambitionierten Zeitplan zur Implementierung der EU-Richtlinien 2022/2555 und 2022/2557 (bis 18. Oktober 2024) und 2022/2556 (bis 17. Januar 2025). Die Umsetzung in Deutschland erfolgt im Wesentlichen durch das Finanzmarktdigitalisierungsgesetz („FinmadiG“). Das FinmadiG zielt darauf ab, die europäische Verordnung Markets in Crypto-Assets („MiCA“), die Neufassung der EU-Geldtransferverordnung sowie das DORA-Paket in nationales Recht zu überführen. Das BMF hat am 23. Oktober 2023 den Referentenentwurf des FinmadiG veröffentlicht. 

1. Zeitplan

2. Abgeschlossene Konsultationen

Die gemeinsame Konsultation der ESAs über die erste Tranche der technischen Regulierungs- und Implementierungsstandards zu DORA vom 19. Juni 2023 bis 11. September 2023 enthält die folgenden Entwürfe: 

1. Konsultation zu RTS zum IKT-Risikomanagementrahmen (Art. 15) und RTS zum vereinfachten IKT-Risikomanagement (Art. 16)
2. Konsultation zu RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18.3)
3. Konsultation zu ITS zur Erstellung der Vorlagen für das Informationsregister (Art. 28.9)
4. Konsultation zu RTS zur Festlegung der Politik für IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden (Art. 28.10)) 2022/2554 mit öffentlicher Konsultation vom 26. Mai 2023 bis 23. Juni 2023.
5. Die Öffentliche Konsultation für die Stellungnahme der ESAs (EBA, ESMA und EIOPA) für die Europäische Kommission zu den delegierten Rechtsakten im Rahmen des europäischen Überwachungsrahmenwerks gemäß den Artikeln 31 und 43 der Verordnung (EU) 2022/2554 fand vom 26. Mai 2023 bis 23. Juni 2023 statt. 

3. Laufende Konsultationen

Vom 8. Dezember 2023 bis zum 4. März 2024 findet die öffentliche Konsultation der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt: 

1. Konsultation des RTS zu Threat Led Penetration Testing (Art. 26.11) 
2. Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5) 
3. Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a) 
4. Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b) 
5. Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7) 
6. Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41) 

III. Schwerpunkte von DORA

DORA hat im Wesentlichen die beiden Schwerpunkte (1) ITK-Risikomanagement und (2) Überwachung von kritischen IKT-Drittdienstleistern. Diese werden in Deutschland durch das FinmadiG umgesetzt. Die Umsetzung erfolgt durch Änderung zahlreicher Gesetze und Verordnungen, weswegen wir uns bei der folgenden, kurzen Zusammenfassung der Übersicht halber auf die Bestimmungen und den Aufbau des DORA bezogen haben: 

1. Schwerpunkt: IKT-Risikomanagement

1. Art.5 DORA – Verantwortlichkeit der Geschäftsführung:  
   Geschäftsführung trägt die Verantwortung für das IKT-Risikomanagement. Geschäftsführung muss sich aktiv bzgl. IKT- Risiken auf dem Laufenden halten und regelmäßige IKT-spezifische Weiterbildungen wahrnehmen.  

2. Art.6 DORA – ICT-Riskmanagement Control Function 
   Durch die Geschäftsführung ist die Funktion der ICT-Riskmanagement Control Function einzurichten. Die Aufgaben sind ähnlich denen des Informations-Sicherheitsbeauftragten (ISB). Eine strenge Trennung von der Control Function und First Line (IT) ist vorgesehen. Es ist eine starke aufsichtsrechtliche Erwartung, den ISB im eigenen Hause vorzuhalten. 
   
3. Art.8 DORA – Kenntnis der eigenen Informationen und Systeme 
   IKT-Systeme und -informationen, die in Geschäftsfunktionen verwendet werden, müssen identifiziert und klassifiziert werden. Das gilt auch für Informationen, die nicht in zentralen Systemen gehalten werden (wie beispielsweise Office-Dokumente oder ID-Ven).  
   
4. Art.6 DORA – Strengere Anforderungen an Verschlüsselungen 
   Daten sind in allen Zuständen zu verschlüsseln (at rest, in transit & in use). Sowohl der interne als auch der externe Netzwerkverkehr ist zu verschlüsseln. Für kryptographische Schlüssel ist ein Lifecycle-Management einzurichten.  
   
5. Art.10 DORA – Priorität auf die Behebung von Schwachstellen 
   Anforderungen an automatisierte Schwachstellenscans und die Behebung von Schwachstellen sind gestiegen. Automatisierte Schwachstellenscans mindestens wöchentlich. Lieferkettenrisiko rückt in den Fokus. Behebung von Schwachstellen durch Patches hat höchste Priorität.  
   
6. Art.11 DORA – Detaillierte Sicherheitsanforderungen 
   Verwendung nur von autorisierter Software und Speichermedien. Sicherheit muss auch im Home-Office und bei auswärtigem Arbeiten bestehen. Besondere Schulung für Mitarbeiter, die Cloud-Zugänge administrieren. Besonderer Schutz für Zugänge zu Clouds. 
   
7. Art. 16 DORA – Test des Source Code 
   Genehmigung von Fachbereichen und Asset Owner für u.a. Sicherheitsmaßnahmen muss eingeholt werden. Testumgebungen sollen adäquat die Produktionsumgebung widergeben. Die Integrität des Quellcodes ist zu schützen. Quellcode und Software von Dritten ist zu analysieren und zu testen. 
   
8. Art.13 DORA – Stärkung der Netzwerksicherheit 
   Erstellung eines visuellen Netzwerkplans. Interner und externer Schutz des Netzwerkverkehrs. Regelmäßige Prüfung und Zertifizierung der Firewall-Regeln. Jährliche Überprüfung der Netzwerkarchitektur. Schaffung der Möglichkeit zur zeitweisen Isolation von Subnetzen, Netzwerkkomponenten und Geräten.  
   
9. Art.21 DORA – Nutzeridentifikation
   Jede natürliche Person soll eine eindeutige Identität erhalten, diese soll auch bei Reorganisation und nach Beendigung der Zusammenarbeit bestehen bleiben. Anforderungen im Zugriffs- und Zutrittsmanagement bleiben weitestgehend gleich.  
   
10. Art.27 DORA – Testszenarien für Cyberangriffe 
    Umfassende Vorgaben zum Notfallmanagement. RTS fokussiert sich auf die Mindestinhalte der RecoveryPlans und auf das Testen dieser. Mindesttestszenarien steigen von vier (MaRisk) auf neun. 
    
11. Art.6 para.5 DORA – Regelmäßige Überprüfung des IKT-Rahmenwerkes 
    Eine formelle Dokumentation des aktuellen Stands des IKT-Risikorahmenwerks ist zu erstellen. Diese muss auf Anfrage der Aufsicht aktuell zur Verfügung gestellt werden.  

2. Schwerpunkt: Überwachung von kritischen IKT-Drittdienstleistern

Finanzunternehmen dürfen kritische IKT-Drittdienstleister aus Drittstaaten nur dann nutzen, wenn diese binnen zwölf Monaten nach ihrer Einstufung einen Sitz in der EU begründen. Es besteht aber keine Verpflichtung Daten nur innerhalb der EU zu speichern (wobei hier datenschutzrechtliche Probleme bestehen dürften, falls dies nicht der Fall sein sollte). 

Die Aufsichtsbehörden haben insbesondere die folgenden Befugnisse gegenüber ITK-Dienstleistern: 

1. Anforderung von Informationen und Unterlagen: relevante Geschäfts- oder Betriebsunterlagen, Verträge, Leit- und Richtlinien, Dokumentationen, Meldungen über IKT-Sicherheitsprüfungen, Berichte über IKT-bezogene Vorfälle sowie alle Informationen über Parteien, an die der kritische IKT-Drittdienstleister betriebliche Funktionen oder Tätigkeiten ausgelagert hat; 
   
2. Untersuchungen und Inspektionen in Geschäftsräumen des IKT-Drittdienstleisters in Bezug auf: Aufzeichnungen, Daten, Verfahren, etc.; Vorladung von Vertretern des kritischen IKT-Drittdienstleisters, einschließlich der Abgabe mündlicher oder schriftlicher Erklärungen; jede andere natürliche oder juristische Person zu befragen, die dieser Befragung zum Zweck der Einholung von Informationen über den Gegenstand einer Untersuchung zustimmt; Übermittlung der Aufzeichnungen von Telefongesprächen und Datenübermittlungen; 
   
3. Empfehlungen abzugeben, die die Aufsicht in Bezug auf folgendes für relevant hält: 

• die Anwendung spezifischer IKT-Sicherheits- und Qualitätsanforderungen oder -verfahren, insbesondere in Bezug auf die Herausgabe von Patches, Aktualisierungen, Verschlüsselung und andere Sicherheitsmaßnahmen, die für die Gewährleistung der IKT-Sicherheit von Diensten, die Finanzunternehmen bereitgestellt werden; 
• die Verwendung von Bedingungen — einschließlich ihrer technischen Umsetzung — zu denen die kritischen IKT-Drittdienstleister IKT-Dienstleistungen für Finanzunternehmen bereitstellen, um die Entstehung punktueller Ausfälle oder deren Verstärkung zu verhindern oder um mögliche systemische Auswirkungen im Finanzsektor der Union im Falle eines IKT-Konzentrationsrisikos zu minimieren; 
• unter bestimmten Voraussetzungen: jede geplante Unterauftragsvergabe, die die kritischen IKT-Drittdienstleister mit anderen IKT-Drittdienstleistern oder mit IKT-Unterauftragnehmern mit Sitz in einem Drittland zu schließen beabsichtigen und die Risiken für die Erbringung von Dienstleistungen durch das Finanzunternehmen oder Risiken für die Finanzstabilität mit sich bringen kann; 

4. Anforderung von Berichten, in denen die ergriffenen Maßnahmen oder die Abhilfemaßnahmen aufgeführt sind, die die kritischen IKT-Drittdienstleister in Bezug auf die in Buchstabe b) genannten Empfehlungen ergriffen haben. 

Die Überwachung kritischer IKT-Drittdienstleister durch die Aufsicht entbindet Finanzunternehmen allerdings nicht von ihrer Pflicht zur Überwachung des Dienstleisters. Die Aufsichtsbehörden prüfen, wie die Finanzunternehmen die in den Empfehlungen festgestellten Risiken beim kritischen IKT-Drittdienstleister im Rahmen ihres Drittparteirisikomanagements berücksichtigen. Bei nicht oder nicht ausreichender Berücksichtigung der Risiken durch Finanzunternehmen, teilt die Aufsichtsbehörde ihre Einschätzung dem Finanzunternehmen mit und kann binnen 60 Tagen nach dieser Mitteilung als letztes Mittel von Finanzunternehmen verlangen, die Nutzung des kritischen IKT-Drittdienstleisters ganz oder teilweise zu unterbrechen, bis die Risiken beseitigt sind, oder die Verträge mit dem kritischen IKT-Drittdienstleister ganz oder teilweise zu kündigen.   

Melden Sie sich bei Fragen jederzeit gerne. Wir sind auf die Umsetzung und Implementierung von compliance-lastigen IT-Projekten im finanzregulatorischen Umfeld spezialisiert. 

Wir können Sie hier speziell dabei unterstützen sich auf die neuen Anforderungen durch DORA vorzubereiten.

Wir raten Ihnen, sich mit der Verordnung sowie der Konsultationsfassungen der RTS/IST/Guidelines, einschließlich der Erwägungsgründe vertraut zu machen.

Vergleichen Sie die Anforderungen aus DORA mit den bereits bestehenden regulatorischen Anforderungen (z.B. MaRisk, BAIT, EBA Guidelines on outsourcing arrangements, BaFin Orientierungshilfe Cloud).