Mit dem Digital Operational Resilience Act (DORA) verfolgt die Europäische Union das Ziel, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken und am 17. Januar ist es nun so weit: DORA tritt in Kraft. Mit dem Abschluss der Konsultationsphasen für die gegenüber DORA nachgeordneten Rechtsakte durch die europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA – die ESAs) ist mit der Veröffentlichung der meisten technischen Regulierungs- und Implementierungsstandards ein wichtiger Schritt für die rechtssichere Umsetzung erfolgt.
Herausforderungen in der Umsetzung
Trotz einer generellen guten Vorbereitung der Institute in Deutschland – vor allem, weil viele sich einige Aspekte von DORA, wenn auch mit anderer Perspektive, in bereits bestehenden Regelungen wie z.B. der BAIT, MaRisk und den EBA-Leitlinien zu Auslagerungen wiederfinden – zeichnen sich insbesondere im Herzstück von DORA, dem IKT-Risikomanagement und dem Management von IKT-Drittparteirisiken große Herausforderungen ab. Diese Bereiche erfordern erhebliche Erweiterungen bestehender Maßnahmen - und dies mit einem sehr knappen Zeitrahmen.
Im Bereich des IKT-Risikomanagements müssen Risikobewertungen für alle IKT-Assets durchgeführt werden. DORA setzt hier keine Wesentlichkeitsschwellen, sondern verfolgt bewusst einen weiten IKT-Begriff, der digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, erfasst. Daher müssen beispielsweise auch Quellcodes analysiert und Software zumindest auf Schwachstellen und Anomalien überprüft werden. Einige Institutionen, die bereits Anomalieprüfungen durchführen, sind hier im Vorteil. Generell lässt sich festhalten, dass die Anzahl der IKT-Assets DORA-bedingt um ein Vielfaches steigt, da viele IT-Anwendungen, die früher unter den sonstigen Fremdbezug vielen nun neu eingewertet werden.
Große Herausforderungen bereitet zahlreichen Instituten im Folgeschritt die Einwertung, ob die IKT-Dienste eine kritische oder wichtige Funktion bereitstellen oder zumindest unterstützen. Dies sind Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würden oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würden. Der Gesetzgeber hat sich hier bewusst für einen risikoorientierten und verhältnismäßigen Ansatz entschieden, um u.a. den verschiedenartigen Geschäftsmodellen, Größen und Organisationsformen gerecht zu werden. Viele Häuser gehen in ihrer eigenen Methodik den Weg der Business Impact-Analyse und ihrer entsprechenden Einwertung auf Ebene der Prozesse, ehe sie dann auf die Systeme und im nächsten Schritt auf die Dienstleister übergehen.
Gerade die saubere Einwertung der Kritikalität ist eine wichtige Voraussetzung für das Management von IKT-Drittparteirisiken und der umfangreichen Anforderungen an vertraglichen Vereinbarungen für die erforderliche DORA-Compliance. Als herausfordernd wird dabei u.a. empfunden, dass entgegen der Ankündigung in Art. 30 (v) DORA bisher nicht auf die Verwendung von Standardvertragsklauseln, die von Behörden für bestimmte Dienstleistungen entwickelt werden sollten, zurückgegriffen werden kann. So sind die Institute sowohl in den Inhalten als auch in ihren Vorgehensmodellen auf sich gestellt – und auch die IKT-Dienstleister müssen sich mit einer Fülle von “Standards” auseinandersetzen. Eine vollständige Anpassung aller Verträge bis zum Stichtag ist in der Praxis kaum realistisch.
Die Unklarheiten in diesen vorgelagerten Schritten wirken sich auch auf die interne Revision der Finanzinstitute aus, die gerade diese neuen Anforderungen entsprechen prüfen muß. Der dreijährige Prüfungsrahmen gilt grundsätzlich weiter, so dass Hoffnung besteht, dass man im Verlauf dieses Turnus’ entsprechend Erfahrung sammeln, seine Prozesse anpassen und entsprechend prüfen konnte.
Chancen
Natürlich sind die obigen Herausforderungen für die Häuser eine große Belastung, auch wenn wir dabei nicht außer Acht lassen dürfen, dass die langfristigen Chancen von DORA enorm sind. Gerade durch die Definition standardisierter Anforderungen für den Umgang mit IT-Risiken und Cyber-Sicherheit in der gesamten EU können Finanzinstitute und Drittdienstleister ihre Sicherheitsvorkehrungen besser aufeinander abstimmen und gezielter verbessern. Gerade der besondere Fokus auf Drittdienstleister, die oft eine Schwachstelle im Sicherheitsnetz darstellen, ist essentiell, damit Finanzinstitute überhaupt sicherstellen können, dass auch deren Lieferanten robuste Sicherheitsmaßnahmen implementieren, was die Gesamtsicherheit in der Wertschöpfungskette stärkt. Dafür ist die verpflichtende Einführung von Notfallplänen, Testszenarien und regelmäßigen Simulationen von Cyberangriffen besonders wichtig, um die Fähigkeit von Organisationen zu erhöhen, um auf Cyber-Bedrohungen zu reagieren, so dass die Reaktionszeit und die Schadensbegrenzung bei Vorfällen verbessert wird. Sogenannte verpflichtende "Threat-Led Penetration Tests" (TLPT), die von externen Anbietern durchgeführt werden, können dazu beitragen, dass Schwachstellen systematisch aufgedeckt und behoben werden.
Von diesen Maßnahmen ist es kein weiter Schritt zu der in DORA verankerten zentralen Überwachung der kritischsten IKT-Dienstleister, um systemische Risiken besser zu identifizieren und frühzeitig zu adressieren. Und das nützt am Ende nicht nur der Finanzindustrie, sondern dem gesamten Wirtschaftsraum.
Wir hätten uns sicherlich klare und vereinfachte Anforderungen im Bereich des IKT-Risikomanagements mit angemessenen Übergangsfristen gewünscht, die die Belastungen. Angesichts der Herausforderungen ist eine vollständige Anpassung aller ICT-Outsourcing-Verträge bis Januar 2025 nicht umsetzbar. Die neuen Anforderungen an Kontroll- und Managementaufgaben führen zu verlängerten Verhandlungen und zusätzlichen Kosten für die Institute.
Re-Zertifizierungen von IT-Produkt- oder Dienstanbietern, insbesondere für Cloud-Dienste, könnten eine sinnvolle Entlastung darstellen – insbesondere für Standardsoftware. Wir empfehlen zudem, dass die Aufsichtsbehörden für den Übergangszeitraum nach Inkrafttreten von DORA angemessene Übergangsregelungen und Leitlinien bereitstellen, die von Prüfungsgesellschaften und dem IDW im Rahmen ihrer Prüfungen herangezogen werden können
Des Weiteren betonen wir die Notwendigkeit, das Verhältnismäßigkeitsprinzip, das in DORA verankert ist, in allen delegierten Rechtsakten und in der praktischen Anwendung zu berücksichtigen. Ohne diese Differenzierung würden die Regelungen gleichermaßen auf alle Institute angewandt, ohne die individuellen Umstände ausreichend zu würdigen, was zu unverhältnismäßigen Belastungen führen könnte.
Wir wollen hiermit aufzeigen, dass trotz der bereits laufenden Vorbereitungen im deutschen Finanzsektor dringender Handlungsbedarf besteht. Insbesondere bei der Vertragsgestaltung und dem Risikomanagement bleibt viel zu tun. Die von uns vorgeschlagenen Maßnahmen zielen darauf ab, die Umsetzung von DORA praktikabler zu gestalten und gleichzeitig die betroffenen Institutionen nicht übermäßig zu belasten.
