Canadian Criminal Law Cases
Posted inIT Audit / Compliance / Security

DORA: Die jüngsten Entwicklungen und was sie für Finanzunternehmen bedeuten

DORA: Die jüngsten Entwicklungen und was sie für Finanzunternehmen bedeuten

Seit Januar dieses Jahres ist der Digital Operational Resilience Act (DORA) offiziell in Anwendung getreten. Diese europäische Verordnung zielt darauf ab, die Widerstandsfähigkeit von Finanzunternehmen und deren IKT-Dienstleistern im Bereich der Informations- und Kommunikationstechnologie sektorübergreifend zu stärken und Cyberrisiken sowie IKT-Vorfällen gestärkt zu begegnen. Für die meisten Finanzunternehmen gab es dabei keine Schon- oder Übergangsfrist; die Verordnung ist seit dem 17. Januar 2025 vollständig anzuwenden.

Die Kernthemen des DORA im Überblick

DORA konzentriert sich auf fünf wesentliche Säulen zur Stärkung der digitalen Resilienz:

  • IKT-Risikomanagement: Unternehmen müssen einen Risikomanagementrahmen etablieren, der sich auf eingesetzte Technologien und Sicherheitsziele konzentriert. Hierzu gehören auch Programme zur Sensibilisierung für IKT-Sicherheit sowie die Entwicklung von Kommunikationsstrategien.
  • Management des IKT-Drittparteienrisikos: Der gesamte Lebenszyklus vertraglicher Vereinbarungen mit IKT-Drittdienstleistern wird betrachtet, von Governance-Prinzipien über Mindestvertragsinhalte bis hin zu Ausstiegsszenarien.
  • Meldung von IKT-bezogenen Vorfällen: DORA standardisiert das Meldewesen für schwerwiegende IKT-Vorfälle und legt klare Klassifikationskriterien fest.
  • Testen der digitalen operationalen Resilienz: Finanzunternehmen müssen Programme zum Testen ihrer Resilienz etablieren, die auch Drittparteien einbeziehen. Hierbei wird zwischen Basistests (obligatorisch) und fortgeschrittenen Threat Led Penetration Tests (TLPT) für systemrelevante Unternehmen unterschieden.
  • Informationsaustausch: DORA regelt den freiwilligen Austausch von Informationen und Erkenntnissen über Cyberbedrohungen, um das Bewusstsein und die Resilienz im Finanzsektor zu stärken.

Änderungen bei BaFin-Rundschreiben

Mit der Anwendung des DORA gehören einige zuvor in Deutschland geltende sektorspezifische aufsichtliche Anforderungen an die IT der Vergangenheit an, um Komplexität und Doppelregulierung zu vermeiden.

Seit dem 17. Januar 2025 wurden folgende BaFin-Rundschreiben aufgehoben, da ihre Themen nun durch DORA abgedeckt sind:

  • KAIT: Kapitalverwaltungsaufsichtliche Anforderungen an die IT
  • VAIT: Versicherungsaufsichtliche Anforderungen an die IT
  • ZAIT: Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten

Die BAIT (Bankaufsichtliche Anforderungen an die IT) bleibt hingegen noch bis zum 31. Dezember 2026 für Institute gültig, die DORA nicht direkt anwenden müssen. Dies betrifft beispielsweise Leasing-Unternehmen, die DORA-Anforderungen erst ab dem 1. Januar 2027 vollständig anwenden müssen, dann oft mit Vereinfachungen für Kleinstunternehmen. Wichtig: Auch für diese Unternehmen besteht die Pflicht zur Meldung schwerwiegender IKT-Vorfälle bereits seit dem 17. Januar 2025.

Dringliche Termine und das Informationsregister

Ein zentraler und dringlicher Termin war der 17. Januar 2025, da DORA seitdem für Finanzunternehmen vollumfänglich anzuwenden ist.

Ein weiteres Schlüsseldatum ist der 11. April 2025: Bis dahin sollte die Erstellung eines umfangreichen Informationsregisters abgeschlossen sein, das einen detaillierten Überblick über IKT-Drittdienstleister gibt. Es wird erwartet, dass die BaFin Finanzunternehmen spätestens zu diesem Zeitpunkt zur erstmaligen Einreichung auffordert. Selbst wenn bis dahin noch nicht alle Verträge DORA-konform angepasst wurden, wird ein sinnvoller und risikoorientierter Zeitplan für Vertragsanpassungen erwartet.

Dieses Informationsregister dient der BaFin dazu, Konzentrationsrisiken im Finanzsektor zu bewerten, die die Finanzstabilität gefährden könnten. Es umfasst alle vertraglichen Vereinbarungen zur Nutzung von IKT-Drittdienstleistungen und differenziert, ob diese kritische oder wichtige Funktionen unterstützen. Für diese Verträge gelten umfangreiche Mindestvertragsinhalte, die in DORA definiert sind und von allgemeinen Formvorschriften bis hin zu spezifischen Anforderungen an das Geschäftsfortführungsmanagement und Prüfrechte reichen.

Die Einführung des Informationsregisters und die damit verbundenen vertraglichen Anforderungen stellen sowohl eine Chance als auch ein Risiko dar. Sie bieten eine gute Möglichkeit, Lücken im Dienstleistermanagement zu identifizieren und zu schließen, indem sie angemessene oder sogar höchste Sicherheitsstandards bei IKT-Dienstleistern fordern. Gleichzeitig kann die Durchsetzung dieser neuen Vertragsinhalte zu Preisverhandlungen oder sogar zum Rückzug von Dienstleistern aus dem Finanzsektor führen, insbesondere wenn der Finanzbereich für sie nur eine geringe Bedeutung hat.

Das Vorfallmeldewesen nach DORA

Die Verpflichtung zur Meldung schwerwiegender IKT-bezogener Vorfälle ist ein zentrales Element des DORA. Ziel ist es, Risiken für das Finanzsystem frühzeitig zu erkennen und dessen Stabilität zu sichern.

Wann und was muss gemeldet werden? Sobald ein relevanter IKT-Vorfall entdeckt wird, ist innerhalb von 24 Stunden eine Erstmeldung an die BaFin zu senden. Beispiele hierfür sind Cyberangriffe, Systemausfälle, interne Störungen oder Ereignisse, die die Datenintegrität, -verfügbarkeit oder -vertraulichkeit gefährden. Ein Vorfall wird als schwerwiegend eingestuft, wenn die betroffenen Dienste als kritisch gelten UND entweder ein böswilliger/unbefugter Zugriff erfolgte ODER mindestens zwei weitere relevante Kriterien erfüllt sind.

Klassifizierungskriterien für Vorfälle sind unter anderem:

  • Anzahl der betroffenen Kunden, Gegenparteien und Transaktionen (z.B. >10% oder >100.000 Kunden betroffen)
  • Reputationsschäden (z.B. mediale Aufmerksamkeit, Kundenverlust)
  • Dauer und Ausfallzeiten (z.B. >2 Stunden Ausfall kritischer Dienste)
  • Geografische Ausbreitung
  • Verlust von Daten nach dem VIVA-Prinzip (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität)
  • Kritikalität der betroffenen Dienste
  • Wirtschaftliche Auswirkungen (z.B. >100.000 Euro)

Arten der Meldung und Fristen:

  1. Erstmeldung: Kurz, präzise, interne Einschätzung, Status des Vorfalls. Muss spätestens 4 Stunden nach der Einstufung als schwerwiegend oder innerhalb von 24 Stunden nach Entdeckung erfolgen.
  2. Zwischenmeldung: Detaillierte Analyse und Auswirkungen. Einzureichen, sobald der Geschäftsbetrieb wiederhergestellt ist, der Status sich ändert oder spätestens 72 Stunden nach der Erstmeldung.
  3. Abschlussmeldung: Ursachenanalyse, ergriffene Maßnahmen, Kosten, Lehren für die Zukunft. Einzureichen einen Monat nach der letzten Zwischenmeldung.

Die Meldung erfolgt primär über das MVP-Portal der BaFin oder alternativ per E-Mail an ikt-vorfall@bafin.de. Die Einhaltung dieser engen Fristen erfordert schnelle Prozesse, geschulte Melder und eine enge Abstimmung zwischen IT, Compliance und Management.

Ausblick

Die Anforderungen des DORA sind vielfältig und erfordern von Finanzunternehmen erhebliche Anstrengungen bei der Umsetzung. Die meisten Unternehmen haben bereits in den letzten zwei Jahren Maßnahmen ergriffen, wie GAP-Analysen und die Überprüfung von Dokumentationsanforderungen. Auch wenn es weiterhin Interpretationsspielräume geben mag, ist es entscheidend, jetzt bestehende Lücken zu schließen, da es keine Übergangsphasen für die Umsetzung gibt.

Durch klare Prozesse, geschulte Teams und den Einsatz digitaler Unterstützung können Finanzunternehmen im Ernstfall handlungsfähig bleiben, regulatorische Anforderungen zuverlässig erfüllen und letztlich ihre eigene digitale Resilienz nachhaltig stärken.