- DIGITAL FINANCE PACKAGE
Wettbewerbsfähigkeit und Innovation für den EU Finanzsektor
Der Digital Operational Resilience Act oder kurz DORA sieht die Einführung eines umfassenden Rechtsrahmens auf EU-Ebene vor. Der aktuelle Entwurf der geplanten EU-Verordnung „über die Betriebsstabilität digitaler Systeme des Finanzsektors“ enthält Anforderungen in Bezug auf das IKT-Risikomanagement, die Klassifizierung und Meldung von IKT Vorfällen, Resilienztests für IKT bezogene Incidents, vertragliche Vereinbarungen zwischen Drittdienstleistern und Finanzunternehmen, eine Regulierung von kritischen IT-Dienstanbieter unter direkter EU Aufsicht sowie Regeln für den entsprechenden Informationsaustausch.
Der vorgeschlagene Entwurf zur digitalen Betriebsstabilität (Digital Operational Resilience Act oder kurz DORA) ist Teil des Massnahmenpakets zur Digitalisierung des Finanzsektors (Digital Finance Package), welches die europäische Kommission im September 2020 vorgelegt hat. Mit diesem Paket will die Kommission die Wettbewerbsfähigkeit und Innovation des EU Finanzsektors fördern. Dem DORA Entwurf wurde im Juli 2022 durch die Kommission provisorisch zugestimmt und soll diesen November im Europäischen Parlament verabschiedet werden.
Ziel der Legislatur ist die Harmonisierung bereits bestehender Anforderungen der EU bzw. in den Mitgliedstaaten, sowie Vorgaben der Europäischen Zentralbank (EZB).
Von der Bank bis zum Insurance Broker - DORA betrifft sämtliche Marktteilnehmer in der EU
Risk Management - Meldepflicht und Resilienztests. Die Schwerpunkte von DORA
IT Risk Management
Unternehmen müssen IT Risiken welche eine Gefährdung für Geschäftsprozesse darstellen identifizieren, klassifizieren und dokumentieren. Das gilt insbesondere auch für Systembereiche, die mit internen und externen IT-Systemen vernetzt sind. Zudem müssen alle erforderlichen Richtlinien, Verfahren und Technologien implementiert sein um eine kontinuierliche Überwachung und Kontrolle der IT Systeme zu gewährleisten, anomale Aktivitäten und potentielle Schwachstellen zu erkennen.
Unternehmen sind verpflichtet eine Business Impact Analyse (BIA) durchzuführen und eine entsprechende Notfallplanung zur Aufrechterhaltung und Wiederherstellung des Geschäftsbetriebs zu erstellen, namentlich für die Bereiche Incident Response-, Business Continuity- und Disaster Recovery.
Berichterstattung über IT Vorfälle
Finanzunternehmen müssen einen spezifischen Incident-Management-Prozess zur Identifizierung, Verfolgung, Protokollierung, Kategorisierung und Klassifizierung von IT Vorfällen einrichten und anwenden. Die Klassifizierung von IKT-Vorfällen muss anhand einer Reihe von Kriterien erfolgen, die vom gemeinsamen Ausschuss der ESAs weiterentwickelt werden sollen. Unternehmen sind verpflichtet, schwerwiegende IT Vorfälle innerhalb vorgeschriebener Fristen der zuständigen Behörde zu melden.
Durchführung von Resilience Tests
DORA fordert von Unternehmen die Einführung eines soliden und umfassenden Programms zur Prüfung der digitalen Betriebsstabilität, welche die Organisation, Prozesse und IT Systeme umfasst. Die vorgegebene Periodizität und der genaue Umfang sind aktuell noch Teil der Abstimmung in den Gremien. Zur Diskussion stehen jährliche Tests oder Tests alle drei Jahre und evtl. “Advanced Tests” für bestimmte Marktteilnehmer.
Steuerung von Drittanbieter-Risiken
Finanzunternehmen müssen das Risiko durch IT-Drittanbieter in Einklang mit den im Risk Management definierten Risiken steuern. Dies betrifft insbesondere Verantwortlichkeiten und Haftung, aber auch eine Risikoanalyse vor, sowie eine periodische Überprüfung der Risiken während des Leistungszeitraumes und eine entsprechende Ausstiegsstrategie.
Informationsaustausch zu Cyberbedrohungen
DORA soll einen Rahmen schaffen in dem Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen können, mit dem Ziel, die digitale Resilienz zu stärken. Das umfasst insbesondere Indikatoren zu Schwachstellen und Bedrohungen, sowie Technics, Tactics & Procedures (TTPs)
Fazit
Von DORA werden praktisch alle europäischen Finanzmarktteilnehmer betroffen sein Es wird erwartet, dass DORA ab 2023 in den Mitgliedstaaten in Kraft treten wird. Während die Stossrichtung von DORA klar ist, sind noch viele wichtige Details Gegenstand in der Verhandlung der EU Legislativen. Was absehbar ist, ist dass sich die Anforderungen im Rahmen von bereits etablierten Standards bewegen werden. Das bedeutet, dass Unternehmen, welche heute bereits die entsprechenden Standards im Bereich Cyber Risk Management, Cyber Resilience und Business Continuity umgesetzt haben dürften mit DORA weniger Probleme haben. Wir empfehlen jedoch den Marktteilnehmern, wie auch Dienstleistern für entsprechende Marktteilnehmer die möglichen Auswirkungen von DORA zeitnah zu identifizieren und entsprechend einzuplanen.
Wie Pragmatica unterstützen kann?
Dank unseren Experten mit langjähriger Erfahrung in der Umsetzung von Governance, Risk und Compliance Anforderungen sind wir in der Lage Ihre Organisation bei wichtigen Tätigkeiten zu unterstützen und Ihre Organisation zu entlasten:
- DORA Impact Analysen
- Umsetzen von Massnahmen und Governance Frameworks
- Digital operational resilience testing
- Unterstützung bei der Erfüllung regionaler Anforderungen
- Begleitung von Cloud Transformationen für Finanzdienstleister