Der Digital Operational Resilience Act (Dora) der EU schafft einheitliche Standards zum Schutz vor Cyberangriffen und sonstigen IT-Risiken im Finanzsektor. Angesichts der inflationären Zahl von Angriffen auf Finanzunternehmen ist dies ein begrüßenswerter Schritt.

Die geforderten Maßnahmen zur Stärkung der Cyber-Resilienz werden aber einige Markteilnehmer vor Herausforderungen stellen – zumal die Verordnung ab dem 17. Januar 2025 unmittelbar gelten wird.

Dora findet insbesondere auf Versicherungsunternehmen, Versicherungsvermittler, Kreditinstitute, Vermögensverwalter, Abschlussprüfer sowie Drittanbieter von Informations- und Kommunikationstechnologie (IKT) Anwendung. Diese sollen bei Störungen der IKT sicher und zuverlässig weiterarbeiten können. Die Vorgaben sind indes ins Verhältnis zur Größe und zum individuellen Gesamtrisikoprofil des einzelnen Unternehmens zu setzen und der exakte Umfang des angemessenen Schutzniveaus einzelfallbezogen zu prüfen.

Wesentliche Anforderungen von Dora beinhalten die Umsetzung eines einheitlichen IKT-Risikomanagementrahmens, Etablierung von Prozessen zur Erkennung, Behandlung und Meldung von IKT-Vorfällen, Tests der operationalen Resilienz sowie Schaffung eines Überwachungsrahmens für IKT-Drittdienstleister. Dies soll behördlich überwacht und u.a. durch öffentliches „Naming and Shaming“ der Unternehmen und ggf. verantwortlichen Personen sanktioniert werden.

Kernstück der Verordnung ist die Schaffung von einheitlichen Mindestanforderungen an das IKT-Risikomanagement. Finanzunternehmen müssen einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen schaffen, der ein wirksames und umsichtiges Management der sich rasch ändernden Bedrohungslage gewährleistet. Eine unabhängige Kontrollfunktion hat dies zu überwachen, wobei die letztliche Gesamtverantwortung bei der Geschäftsleitung verbleibt. Geschäftsleiter müssen deshalb regelmäßig Fachschulungen absolvieren um à jour zu bleiben.

Standardisierte Prozesse sollen Cybervorfälle und -bedrohungen erkennen, behandeln, melden und möglichst verhindern. Dazu gehören auch das Einrichten von Frühwarnindikatoren sowie die Klassifizierung der IKT-bezogenen Vorfälle anhand von verschiedenen Kategorien wie Anzahl betroffener Akteure, Dauer, geografische Ausbreitung, Höhe der Datenverluste, Kritikalität der betroffenen Systeme, Reputationsrisiken sowie wirtschaftliche Auswirkungen. Schwerwiegende Vorfälle sind der Aufsichtsbehörde und - falls betroffen - auch den Kunden mitzuteilen.

Neben Strategien und Richtlinien zum Schutz der IKT-Hard- und Software haben Finanzunternehmen ein Threat-led Penetration Testing einzuführen. Dies soll durch grundlegende Tests der IKT-Systeme und -Mitarbeiter auf die Effizienz ihrer Fähigkeiten für Prävention, Erkennung, Reaktion und Wiederherstellung umgesetzt werden. Prüfungen für große und ggf. grenzüberschreitend tätige Finanzunternehmen, die eine systemrelevante Rolle spielen, müssen ausgedehnter sein als für Finanzunternehmen in anderen Teilsektoren.

Dora stellt detaillierte Vorgaben für das Management von Risiken auf, die aus der Einschaltung von IKT-Drittdienstleistern, z.B. durch Outsourcings, entstehen können. Dazu werden konkrete Ansprüche an die Auswahl, die Vertragsgestaltung und das -management von IKT-Drittanbietern gestellt. Finanzunternehmen sind verpflichtet sorgfältig zur prüfen, ob sich die relevante IKT-Dienstleistung auf eine kritische oder wichtige Funktion bezieht und die aufsichtsrechtlichen Bedingungen für eine Auftragsvergabe erfüllt sind.

Im Hinblick auf die inhaltliche Ausgestaltung der Verträge gibt Dora einen umfangreichen Katalog zwingender Vertragsbestimmungen vor: u.a. eine vollständige Beschreibung des Leistungskatalogs und die Angabe der Standorte an denen die Daten verarbeitet werden. Vertragliche Vereinbarungen mit kritischen IKT-Drittdienstleistern unterliegen zusätzlichen Anforderungen.

Derzeit erarbeiten die drei Europäischen Aufsichtsbehörden (ESMA, EBA und EIOPA) technische Regulierungsstandards, Implementierungsstandards und Leitlinien zur Konkretisierung der Anwendung von Dora in allen Sektoren. Ungeachtet dessen gilt ab dem 17. Januar 2025 die verpflichtende Anwendung, so dass Finanzunternehmen bereits jetzt tätig werden müssen, um die neuen umfassenden Anforderungen einzuhalten.

Eine effiziente Umsetzung der Vorgaben sollte zunächst eine Bestandsanalyse vorsehen, um mögliche Lücken und spezifischen Handlungsbedarf zu identifizieren. In einem nächsten Schritt muss das Gesamtrisikomanagementsystem entsprechend ergänzt und dokumentiert werden. Auf diese Weise können notwendige Maßnahmen in allen wesentlichen Kernbereichen der Dora zielgerichtet und unter optimaler Ausnutzung der vorhandenen Ressourcen umgesetzt werden.