Mehr Cybersicherheit für Finanzdienstleister
Von Jan Pohle*)
Nach der Einigung auf europäischer Ebene im Mai 2022 auf eine Verordnung über digitale Betriebssicherheit (Digital Operational Resilience Act – DORA), steht nach Verabschiedung durch das EU-Parlament und Zustimmung des EU-Rates am 28. November 2022 das Inkrafttreten der Verordnung unmittelbar bevor. DORA wird dann unmittelbar geltendes Recht in den EU-Mitgliedsstaaten. Es bleibt Finanzunternehmen (Banken, Versicherungen und Vermögensverwaltern) und sogenannten Informations- und Kommunikationstechnik-(IKT-) Anbietern als Adressaten von DORA ein Zeitraum von 24 Monaten, sich auf den Beginn der Geltung von DORA vorzubereiten.
Die Aufsichtsbehörden haben bereits mit den Vorbereitungen für die Umsetzung begonnen, zumal die Europäischen Aufsichtsbehörden (ESA) binnen 18 Monaten unter anderem Standards auszuarbeiten haben, die Finanzdienstleister bzw. kritische IKT-Drittanbieter beachten müssen. Eine in ihrer Länge problematische Fristsetzung, da bei Ausschöpfen dieser bis zum Geltungsbeginn von DORA nur sechs Monate zur Implementierung für die Finanzdienstleister verbleiben.
Mit Blick auf deren regelmäßige technische und operative Komplexität ist dies sehr herausfordernd. Die nationalen Aufsichtsbehörden haben die Einhaltung von DORA mittels umfassender Informations- und Auditrechte zu beaufsichtigen und gegebenenfalls unter Nutzung differenzierter rechtlicher Mittel bis hin zu Bußgeldern durchzusetzen.
Die Verordnung soll als Meilenstein des Pakets zur Digitalisierung des Finanzsektors der EU-Kommission aus dem Jahr 2020 zu risikoangemessener Cyber- und IT-Sicherheit von Finanzdienstleistern und zur Stärkung von deren Resilienz gegen Bedrohungen beitragen, die durch Informations- und Kommunikationstechnologien entstehen. Die Verordnung kommt zu einer Zeit, in der die Zahl von Cyberattacken nach stetem Anstieg in den letzten Jahren infolge des Angriffs Russlands auf die Ukraine über sämtliche Branchen hinweg nochmals signifikant gestiegen ist.
DORA trifft auf den bestehenden Regulierungsrahmen zum Risikomanagement von Cyber- und IT-Risiken im Finanz- und Versicherungssektor. Die Verordnung baut zudem auf der europäischen Gesetzgebung zur Netzwerk- und Informationssicherheit (NIS) auf – in Deutschland im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) umgesetzt –, deren Fortentwicklung durch die NIS-2-Richtlinie das EU-Parlament ebenfalls am 10. November 2022 verabschiedet hat. DORA ist in diesem Regulierungsrahmen als Spezialgesetzgebung ausgestaltet. Eine Insel- und Doppelregulierung von IT-Sicherheit bei Finanzdienstleistern auf nationaler oder europäischer Ebene soll so in Zukunft vermieden werden.
Weiter Geltungsbereich
Die Verordnung adressiert grundsätzlich sämtliche Finanzdienstleister. Daneben werden IKT-Anbieter nicht nur mittelbar reguliert, sondern unter bestimmten Voraussetzungen auch unmittelbar. Als IKT-Anbieter gelten laut DORA jene Anbieter, die fortlaufend digitale Dienste und Datendienste erbringen, so unter anderem Cloud-Computing-Dienste sowie bestimmte hardwarebezogene Dienste. DORA bedeutet so im Vergleich zum bisherigen Rechtsrahmen einen Paradigmenwechsel für die IKT-Branche.
Der weite persönliche Geltungsbereich wird ergänzt durch inhaltlich umfassende Regelungen zur Zielsetzung von DORA, das IKT-Risikomanagement von Finanzdienstleistern zu optimieren, eine effiziente Prüfung von IKT-Systemen einzuführen, das Bewusstsein von Aufsichtsbehörden für Cyberrisiken und IKT-bezogene Vorfälle bei Finanzdienstleistern zu schärfen und ihnen Befugnisse einzuräumen, diese Risiken angemessen zu überwachen.
Als Korrektiv statuiert DORA das Prinzip des risikobasierten Ansatzes, wonach die Vorgaben des Gesetzes von Finanzdienstleistern unter Berücksichtigung der Größe, Natur, des Umfangs und der Komplexität ihres Geschäfts und dessen Risikoprofils zu implementieren sind.
So formuliert DORA umfassende Anforderungen an die Steuerung und Organisation der Finanzdienstleister, um ein effektives, verantwortungsvolles und ganzheitliches IKT-Risikomanagement in der Letztverantwortung des gesetzlich definierten Leitungsorgans zu gewährleisten. Dieses ist unter anderem rechenschaftspflichtig, eine IT-sicherheitsbezogene Strategie nebst Policies und Prüfungsplänen zu implementieren, eine angemessene Kommunikation – insbesondere bei einem IKT-Vorfall – und Kontrollen zu gewährleisten, das IT-Sicherheitsrisiko bezüglich IKT-Drittdienstleistern zu managen und angemessene Budgets bereitzustellen.
Zum IKT-Risikomanagement der Finanzdienstleister selbst fordert die Verordnung ein umfassendes und dokumentiertes IKT-Risikomanagement-Framework bestehend aus Strategien, Policies und Prozessen zu implementieren, so dass Finanzdienstleister IKT-Risiken rasch, effizient und umfassend erkennen und angehen können und so ein hohes Maß an digitaler Betriebsstabilität gewährleisten. Dieses Framework ist jährlich zu überprüfen, auf Aufforderung der Aufsichtsbehörde vorzulegen und unterfällt den Prüfungen der internen Revision. Die Informations- und Kommunikationstechnik der Finanzdienstleister selbst muss stets dem neuesten Stand entsprechen und zuverlässig, angemessen designt, hinreichend dimensioniert und technisch stabil ausgelegt sein.
Penetrationstests erforderlich
Finanzdienstleister haben geeignete Prozesse zu Erkennung, Management und Notifizierung IKT-bezogener Vorfälle zu etablieren. Die Verordnung enthält hierzu ebenso detaillierte Vorgaben wie zur verpflichtenden Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständige Behörde. IKT-bezogene Vorfälle sind zu klassifizieren und zu dokumentieren, unter anderem auch solche, die lediglich als wesentlich zu klassifizieren sind und deren Meldung an die zuständige Behörde freiwillig ist. Fristen für diese Meldungen haben die ESA festzulegen. Kunden der Finanzdienstleister sind über schwerwiegende Vorfälle und ergriffene bzw. von den Kunden zu ergreifende Abhilfemaßnahmen unverzüglich zu informieren.
Differenziert nach Größe und Geschäftstätigkeit haben Finanzdienstleister eine Prüfung der digitalen Betriebsstabilität durch eine unabhängige Stelle durchzuführen. Systemrelevante Institute haben zumindest in einem Drei-Jahres-Turnus bedrohungsgeleitete Penetrationstests durchzuführen. Inhouse-Tests sind mit der Maßgabe gestattet, dass jeder dritte Test von einem externen Prüfer durchzuführen ist; bei bestimmten Instituten ist jedoch stets die Beauftragung eines externen Dienstleisters erforderlich. Soweit dritte IKT-Dienstleister in die Tests einbezogen sind, kann sich ein Finanzunternehmen einem Pooled Test einer Mehrzahl von Finanzdienstleistern anschließen.
Bei Einschaltung von IKT-Drittanbietern haften Finanzunternehmen vollumfänglich für Einhaltung und Erfüllung aller Verpflichtungen nach DORA durch diese Drittanbieter. Ein Register ist zu führen, das alle vertraglichen Vereinbarungen über die Erbringung von IKT-Diensten durch IKT-Drittanbieter enthält. Eine umfassende Überwachung von Finanzunternehmen hat zu erfolgen – vom Vertragsabschluss bis zur Nachvertragsphase.
Die Verordnung gibt Kataloge von Inhalten vor, die Verträge mit IKT-Drittanbietern enthalten müssen. Für Verträge zu wesentlichen Auslagerungen gelten ergänzend weitergehende Anforderungen.
Anhand von den ESA festzulegender Kriterien können IKT-Drittanbieter als kritisch, weil systemrelevant eingestuft und so unmittelbar der Finanzaufsicht unterworfen werden. Den ESA kommen so verschiedene, umfassende Untersuchungs- und Prüfungsmöglichkeiten gegenüber dem IKT-Drittanbieter zu, die hierdurch generierten Kosten sind von den kritischen IKT-Dienstleistern zu tragen. So sollen Missstände bei den IKT-Drittunternehmen aufgedeckt und alsdann gegebenenfalls per Anordnung der Aufsicht behoben werden. Diese Regulierung befreit die Finanzunternehmen nicht von ihrer Pflicht zur eigenen Risikosteuerung.
*) Jan Pohle ist Partner im Kölner Büro von DLA Piper.