Cyber Resilienz für den europäischen Finanzmarkt

Wettbewerbsfähigkeit und Innovation für den EU Finanzsektor

Der Digital Operational Resilience Act oder kurz DORA sieht die Einführung eines umfassenden Rechtsrahmens auf EU-Ebene vor. Der aktuelle Entwurf der geplanten EU-Verordnung „über die Betriebsstabilität digitaler Systeme des Finanzsektors“ enthält Anforderungen in Bezug auf das IKT-Risikomanagement, die Klassifizierung und Meldung von IKT Vorfällen, Resilienztests für IKT bezogene Incidents, vertragliche Vereinbarungen zwischen Drittdienstleistern und Finanzunternehmen, eine Regulierung von kritischen IT-Dienstanbieter unter direkter EU Aufsicht sowie Regeln für den entsprechenden Informationsaustausch.

Der vorgeschlagene Entwurf zur digitalen Betriebsstabilität (Digital Operational Resilience Act oder kurz DORA) ist Teil des Massnahmenpakets zur Digitalisierung des Finanzsektors (Digital Finance Package), welches die europäische Kommission im September 2020 vorgelegt hat. Mit diesem Paket will die Kommission die Wettbewerbsfähigkeit und Innovation des EU Finanzsektors fördern. Dem DORA Entwurf wurde im Juli 2022 durch die Kommission provisorisch zugestimmt und soll diesen November im Europäischen Parlament verabschiedet werden.

Ziel der Legislatur ist die Harmonisierung bereits bestehender Anforderungen der EU bzw. in den Mitgliedstaaten, sowie Vorgaben der Europäischen Zentralbank (EZB).

Von der Bank bis zum Insurance Broker - DORA betrifft sämtliche Marktteilnehmer in der EU

DORA gilt für alle auf EU-Ebene regulierten Finanzunternehmen. Im Entwurf namentlich genannt werden Handelsplätze, Kredit-, Zahlungs- und Crypto Institute, Investment- und Verwaltungsgesellschaften, Pensionskassen, Versicherer- und Rückversicherer, sowie Rating Agenturen und Prüfungsgesellschaften. Die EU-Kommission weist jedoch explizit darauf hin, dass die Anforderungen von DORA nach dem Grundsatz der Verhältnismäßigkeit, d.h. unter Einbezug von Systemrelevanz, Geschäftsmodell und Risikoprofil umgesetzt werden soll. Das bedeutet: Kleinere Finanzunternehmen werden zum Beispiel weniger umfassende Maßnahmen zur Meldung von Vorfällen und Durchführung von Belastbarkeitstest ergreifen müssen.

Risk Management - Meldepflicht und Resilienztests. Die Schwerpunkte von DORA

IT Risk Management

Unternehmen müssen IT Risiken welche eine Gefährdung für Geschäftsprozesse darstellen identifizieren, klassifizieren und dokumentieren. Das gilt insbesondere auch für Systembereiche, die mit internen und externen IT-Systemen vernetzt sind. Zudem müssen alle erforderlichen Richtlinien, Verfahren und Technologien implementiert sein um eine kontinuierliche Überwachung und Kontrolle der IT Systeme zu gewährleisten, anomale Aktivitäten und potentielle Schwachstellen zu erkennen.

Unternehmen sind verpflichtet eine Business Impact Analyse (BIA) durchzuführen und eine entsprechende Notfallplanung zur Aufrechterhaltung und Wiederherstellung des Geschäftsbetriebs zu erstellen, namentlich für die Bereiche Incident Response-, Business Continuity- und Disaster Recovery.

Berichterstattung über IT Vorfälle

Finanzunternehmen müssen einen spezifischen Incident-Management-Prozess zur Identifizierung, Verfolgung, Protokollierung, Kategorisierung und Klassifizierung von IT Vorfällen einrichten und anwenden. Die Klassifizierung von IKT-Vorfällen muss anhand einer Reihe von Kriterien erfolgen, die vom gemeinsamen Ausschuss der ESAs weiterentwickelt werden sollen. Unternehmen sind verpflichtet, schwerwiegende IT Vorfälle innerhalb vorgeschriebener Fristen der zuständigen Behörde zu melden.

Durchführung von Resilience Tests

DORA fordert von Unternehmen die Einführung eines soliden und umfassenden Programms zur Prüfung der digitalen Betriebsstabilität, welche die Organisation, Prozesse und IT Systeme umfasst. Die vorgegebene Periodizität und der genaue Umfang sind aktuell noch Teil der Abstimmung in den Gremien. Zur Diskussion stehen jährliche Tests oder Tests alle drei Jahre und evtl. “Advanced Tests” für bestimmte Marktteilnehmer.

Steuerung von Drittanbieter-Risiken

Finanzunternehmen müssen das Risiko durch IT-Drittanbieter in Einklang mit den im Risk Management definierten Risiken steuern. Dies betrifft insbesondere Verantwortlichkeiten und Haftung, aber auch eine Risikoanalyse vor, sowie eine periodische Überprüfung der Risiken während des Leistungszeitraumes und eine entsprechende Ausstiegsstrategie.

Informationsaustausch zu Cyberbedrohungen

DORA soll einen Rahmen schaffen in dem Finanzunternehmen, Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen können, mit dem Ziel, die digitale Resilienz zu stärken. Das umfasst insbesondere Indikatoren zu Schwachstellen und Bedrohungen, sowie Technics, Tactics & Procedures (TTPs)

Fazit

Von DORA werden praktisch alle europäischen Finanzmarktteilnehmer betroffen sein Es wird erwartet, dass DORA ab 2023 in den Mitgliedstaaten in Kraft treten wird. Während die Stossrichtung von DORA klar ist, sind noch viele wichtige Details Gegenstand in der Verhandlung der EU Legislativen. Was absehbar ist, ist dass sich die Anforderungen im Rahmen von bereits etablierten Standards bewegen werden. Das bedeutet, dass Unternehmen, welche heute bereits die entsprechenden Standards im Bereich Cyber Risk Management, Cyber Resilience und Business Continuity umgesetzt haben dürften mit DORA weniger Probleme haben. Wir empfehlen jedoch den Marktteilnehmern, wie auch Dienstleistern für entsprechende Marktteilnehmer die möglichen Auswirkungen von DORA zeitnah zu identifizieren und entsprechend einzuplanen.

Wie Pragmatica unterstützen kann?

Dank unseren Experten mit langjähriger Erfahrung in der Umsetzung von Governance, Risk und Compliance Anforderungen sind wir in der Lage Ihre Organisation bei wichtigen Tätigkeiten zu unterstützen und Ihre Organisation zu entlasten:

  1. DORA Impact Analysen
  2. Umsetzen von Massnahmen und Governance Frameworks
  3. Digital operational resilience testing
  4. Unterstützung bei der Erfüllung regionaler Anforderungen
  5. Begleitung von Cloud Transformationen für Finanzdienstleister

Weitere Topics