Ist DORA Chance oder Risiko? Teil 1: Die Idee
Digitale Technologien bilden seit Jahrzehnten das Rückgrat des Finanzsektors. Dass die entsprechenden Systeme dieses Rückgrats gegen Bedrohungen von außerhalb, aber auch innerhalb der eigenen Organisation geschützt werden müssen, ist eine Binsenweisheit. Umso schockierender wirkt die Entwicklung der Bedrohungen für jene Systeme, wenn man sie in konkrete Zahlen fasst: Im Jahr 2022 lag die wöchentliche Anzahl an Cyberattacken in der Finanzbranche bei durchschnittlich 1.131 Angriffen – wohlgemerkt für jede einzelne Organisation. Diese Anzahl erscheint für sich bereits exorbitant hoch. Noch alarmierender ist allerdings der 52-prozentige Anstieg gegenüber dem Vorjahr.
Die gestiegenen Risiken in der Informations- und Kommunikationstechnologie (IKT) sind hinreichend bekannt. Auf europäischer Ebene fehlten bis vor Kurzem allerdings sowohl für Finanzunternehmen als auch für IKT-Drittdienstleiter einheitliche Regelungen zur Stabilisierung der digitalen, operativen Resilienz. Mit Einführung des Digital Operational Resilience Act, kurz DORA, soll sich dies ändern. In diesem Teil der zweiteiligen Serie wird zunächst beleuchtet, was DORA ist und welche Ziele die Richtlinie verfolgt. Der zweite Teil widmet sich den konkreten praktischen Auswirkungen für Finanzunternehmen und erläutert, wie Finaplus der Richtlinie im Rahmen des Wealth-as-a-Service-Ansatzes begegnet – auch im Kontext der ISO 27001-Zertifizierung.
Ein wichtiges Ziel: Einheitliche Cybersicherheitsstandards für den Finanzmarkt
Regulatorik kann und muss oft Verbote beinhalten. Je nach Schwere der gesellschaftlichen Auswirkungen können diese Verbote ein enges Korsett sein und von betroffenen Wirtschaftsakteuren als Hindernis gesehen werden. Dies ist vor allem der Fall, wenn beispielsweise lediglich ein Teilmarkt reguliert wird und Akteuren außerhalb dieses Teilmarkts so ein Wettbewerbsvorteil zu entstehen scheint. Die Ziele von DORA lesen sich allerdings deutlich anders und lassen erahnen, dass sich jener regulatorische Ansatz als Chance und weniger als Bürde verstehen lässt:
- Stärkung der Wettbewerbsfähigkeit und Innovationskraft: Durch die Schaffung eines sicheren digitalen Umfelds sollen Finanzunternehmen ermutigt werden, neue Technologien zu erforschen und zu implementieren.
- Vereinheitlichung von Standards: Ein einheitlicher Rahmen für Cybersicherheit und IKT-Risikomanagement soll die Zusammenarbeit und den Wettbewerb im Binnenmarkt fördern.
- Regulierung von Cybersicherheit: Eine sektorweite Regulierung soll ein hohes Maß an Sicherheit in allen Finanzinstitutionen sicherstellen.
- Digitale Betriebsstabilität: Im Falle eines IKT-bedingten Vorfalls soll der Geschäftsbetrieb schnell und effizient wiederhergestellt werden können.
Der Begriff des Finanzmarkts ist dabei sehr weit gefasst, denn grundsätzlich gilt DORA, bis auf wenige Ausnahmen, für alle regulierten Finanzunternehmen in der EU – IKT-Drittdienstleister inbegriffen. Vergleicht man den Kreis der betroffenen Unternehmen mit anderen Richtlinien, beispielsweise den beiden Leitlinien der European Banking Authority (EBA) für das Management von IKT- und Sicherheitsrisiken oder für Auslagerungen, ist dieser deutlich größer. So gelten die Anforderungen nicht nur für Kreditinstitute, Versicherungen und Wertpapierunternehmen, sondern für alle Unternehmen mit Finanzbezug wie Zahlungsinstitute, Kapitalverwaltungsgesellschaften, Anbieter von Kryptodienstleistungen, Ratingagenturen und die angesprochenen IKT-Drittdienstleister. Einzelne Ausnahmen, wie beispielsweise im Bereich der Förderinstitute, können national definiert werden.
90 % und steigend: Die Frist rückt näher
Der erste Entwurf von DORA wurde bereits im September 2020 veröffentlicht. Der zeitgleich publizierte Zeitplan sollte es den zur Umsetzung verpflichteten Unternehmen ermöglichen, sich schrittweise auf die kommenden Anforderungen vorzubereiten und gleichzeitig den laufenden Betrieb aufrechtzuerhalten.
Dennoch stehen zahlreiche Finanzunternehmen aktuell erst am Anfang der Umsetzung, was für diese ein nicht zu unterschätzendes Problem darstellt: Bereits ab 17. Januar 2025 findet die Verordnung und die Regulatory und Implementing Technical Standards (RTS/ITS) vollumfänglich Anwendung. Weshalb tut sich die Branche mit der Umsetzung so schwer?
Neuland für IKT-Drittdienstleister
Wie bereits angesprochen, gilt DORA explizit auch für IKT-Drittdienstleister. In der Vergangenheit galt dies nicht für viele Verordnungen. Die letzten großen für das Wealth Management relevanten Regulierungen wie MiFID II oder die Offenlegungsverordnung betrafen primär Finanzdienstleister. Selbstverständlich waren auch einige IKT-Dienstleister von deren Auswirkungen betroffen, allerdings nur indirekt durch die Bereitstellung der Softwareunterstützung für die von diesen Verordnungen betroffenen Geschäftsprozesse. Vor allem nicht-kritische IKT-Dienstleister, obgleich sie nicht direkt von der Aufsicht überwacht werden, stehen damit vor umfangreichen, die gesamte Organisation betreffende Anforderungen, ohne entsprechende Erfahrung mit der Umsetzung solcher vorweisen zu können.
Darüber hinaus ist KI im Zusammenhang mit den Anforderungen, die DORA mitbringt, ein zweischneidiges Schwert. Auch bei Finaplus befinden sich KI-Lösungen in der Entwicklung, die Unterstützung bei der Implementierung regulatorischer Anforderungen wie DORA leisten. Allerdings birgt KI auch neue Möglichkeiten, Sicherheitslücken auszunutzen und ist damit für Cyberkriminelle ein wichtiges Werkzeug. Dieser Aspekt, der vor allem mit der Verbreitung von ChatGPT Ende 2022 – also mitten im DORA-Umsetzungsprozess – an Relevanz gewann, muss in diesem ebenfalls berücksichtigt werden und erhöht damit die Komplexität deutlich.
Zieht man an dieser Stelle ein Zwischenfazit, überwiegt der Eindruck, DORA würde – trotz der Wichtigkeit seiner Ziele – ein schlecht zu rechtfertigendes Maß an Komplexität in Finanzunternehmen und deren IKT-Drittdienstleister tragen. Ein Blick auf die Details verrät allerdings, wo der Fokus von DORA liegt und hilft, einen grundlegenden Rahmen zur Identifizierung überarbeitungsbedürftiger Systeme und Prozesse abzustecken.
DORA im Detail
Die am 27. Dezember 2022 im Amtsblatt der EU veröffentlichte Verordnung „Digital Operational Resilience for the Financial Sector and Amending Regulations“ (EU-Verordnung 2022/2554) liest sich zunächst sperrig und wenig konkret: Es soll ein detaillierter, umfassender und einheitlicher Aufsichtsrahmen mit dem Ziel der Verbesserung der digitalen, operativen Widerstandsfähigkeit von EU-Finanzunternehmen, einschließlich IKT-Drittdienstleistern, geschaffen werden. Dieser Rahmen soll Unternehmen zu einem optimierten Management von IKT-Risiken befähigen, um so die Anfälligkeit für IKT-Störungen und Cyberbedrohungen entlang der gesamten Wertschöpfungskette zu mindern. Die Bewältigung von IKT-Risiken inklusive IKT-Drittparteienrisiken soll dabei nicht nur durch quantitative Maßnahmen wie Kapitalunterlegungen für operative Risiken erfolgen, sondern explizit durch gezielte qualitative Maßnahmen unterstützt werden.
Darüber hinaus wird mit DORA erstmalig ein Rechtsrahmen für die direkte Überwachung von kritischen IKT-Drittdienstleistern (insbesondere großen Anbietern von Cloud-Computing-Diensten) geschaffen. Als EU-Verordnung und damit verbindlicher, unmittelbar wirkender Rechtsakt ist DORA direkt, ohne weitere Umsetzung nationaler Rechtsvorschriften, am 16. Januar 2023 in Kraft getreten. Ab diesem Zeitpunkt hatten Finanzunternehmen 24 Monate Zeit, um alle aufsichtlichen Anforderungen umzusetzen. Ergänzend wurden weitere Konkretisierungen in Form von technischen Regulierungsstandards (RTS/ITS) durch die European Supervisory Authorities (ESAs) veröffentlicht.
In Summe ergeben sich vor allem fünf Bereiche, die zur Identifikation potenzieller Ansatzpunkte dienen können:
- IKT-Risikomanagement
- Management des IKT-Drittparteienrisikos
- Meldung IKT-bezogener Vorfälle
- Testen der digitalen, operativen Resilienz
- Informationsaustausch zwischen Finanzunternehmen
IKT-Risikomanagement: Eine deutliche Ausweitung
Entsprechend der Logik vieler Verordnungen mit Sicherheitsrelevanz fordert DORA von Finanzunternehmen die Einrichtung einer unabhängigen Kontrollfunktion für das IKT-Risikomanagement. Diese Funktion soll sich auf die eingesetzten Technologien und die datenbezogenen Sicherheitsziele konzentrieren. Zu den Kernanforderungen gehören:
- Technologische Resilienz: Die Verwendung von zuverlässigen und ausreichend dimensionierten IKT-Systemen, Protokollen und Tools muss sichergestellt werden.
- Awareness und Weiterbildung: Es sollen Schulungsprogramme zur Sensibilisierung für IKT-Sicherheit entwickelt werden, die für alle Mitarbeitenden inklusive der Geschäftsleitung verpflichtend sind.
- Kommunikationsstrategien: Für das Auftreten eines IKT-bezogenen Vorfalls müssen Pläne für die interne und externe Kommunikation entwickelt werden.
Management des IKT-Drittparteienrisikos: Ein neuer Schwerpunkt
Das Management des IKT-Drittparteienrisikos ist ein zentraler Aspekt von DORA. Es umfasst die Überwachung und Bewertung von Risiken, die durch die Nutzung von IKT-Dienstleistungen Dritter entstehen. Unternehmen müssen folgende Aspekte berücksichtigen:
- Risikoanalysen durchführen: Vor Vertragsabschluss und während der gesamten Vertragslaufzeit sind Risikoanalysen durchzuführen, um jederzeit einen möglichst aktuellen Überblick über potenziell zu hohe bzw. gestiegene Risiken zur Verfügung zu haben.
- Due-Diligence-Prüfungen vornehmen: Um die Eignung und Zuverlässigkeit von Dienstleistern zu bewerten, muss eine auf verschiedenen Kriterien beruhende Due-Diligence-Prüfung vorgenommen werden. Neben organisatorischen Aspekten fließen auch wirtschaftliche Kriterien mit ein, da auch diese ein Indikator für die Eignung eines Dienstleisters sein können.
- Ausstiegsstrategien entwickeln: Für den Fall, dass die Zusammenarbeit mit einem IKT-Drittdienstleister beendet werden muss, sind tragfähige Exit-Strategien zu entwickeln. Neben dem Ausstieg des alten Dienstleisters müssen diese auch die Übergabe an einen neuen Dienstleister, die Abschaltung von Diensten oder auch deren potenzielles Insourcing einschließen.
Meldung IKT-bezogener Vorfälle: Ein standardisierter Prozess
DORA standardisiert die Meldung von IKT-bezogenen Vorfällen. Finanzunternehmen müssen Vorfälle klassifizieren und schwere Vorfälle an die zuständige Aufsichtsbehörde melden. Dies trägt dazu bei, dass die Behörden und der Finanzsektor als Ganzes aus Vorfällen lernen und ihre Abwehrmaßnahmen verbessern können. Letztlich wird hierdurch auch die Weiterentwicklung der bestehenden regulatorischen Anforderungen gefördert.
Testen der digitalen, operativen Resilienz: Ein Schlüsselelement von DORA
Alle Finanzunternehmen sind verpflichtet, ihre IKT-Systeme regelmäßig zu testen. Dies umfasst sowohl Basistests als auch fortgeschrittene Tests wie Threat-Led Penetration Testing (TLPT) für systemrelevante Unternehmen. Diese Tests sind entscheidend, um Schwachstellen zu identifizieren und zu beheben.
Informationsaustausch zwischen Finanzunternehmen: Gemeinsam stärker
DORA fördert den freiwilligen Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen. Dies soll die operative Resilienz des Sektors stärken und ein Bewusstsein für aktuelle Bedrohungen schaffen.
DORA legt fest, was eigentlich Standard sein sollte
Im Grunde bedingt schon die Wichtigkeit von Finanzunternehmen für das Funktionieren des wirtschaftlichen Zusammenlebens eine erhöhte Resilienz gegenüber Bedrohungen – auch solcher, die aus IKT-bezogenen Schwachstellen herrühren. DORA schafft demnach keine neuen Anforderungen, sondern standardisiert nur solche, deren Erfüllung im Rahmen der Geschäftstätigkeit in einer so relevanten Branche ohnehin zu empfehlen ist. Was Unternehmen konkret für die Umsetzung tun müssen und wie Finaplus DORA umsetzt, wird in Teil 2 näher erläutert.