Cybersicherheit & IT-Steuerung

Konkretisierung des Digital Operational Resilience Acts (DORA) auf dem Weg

Die EU-Verordnung zu DORA wurde im Januar 2023 beschlossen und ist nun gesetzlich verankert. Bis zum 17. Januar 2025 müssen Finanzunternehmen – nicht nur Banken und Sparkassen – die Anforderungen erfüllen. Die konkreten Anforderungsdetails werden derzeit über delegierte Rechtsakte der europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) konkretisiert. Das erste Paket mit Anforderungen wurde bereits konsultiert und soll in Kürze durch die EU-Kommission final veröffentlicht werden.

Folgende Inhalte werden hier geregelt:

  • IKT-Risikomanagementrahmen in Bezug auf Artikel 15 (DORA) und vereinfachter IKT-Risikomanagementrahmen in Bezug auf Artikel 16.3,
  • Kriterien für die Klassifizierung von IKT-Vorfällen in Bezug auf Artikel 18.3,
  • Festlegung der Policy des jeweiligen Finanzunternehmens für IKT-Dienstleistungen, die von IKT-Drittanbietern erbracht werden (Bezug zu Artikel 28.1) sowie
  • Festlegung der Vorlagen für das Informationsregister in Bezug auf Artikel 28.9.

Im Dezember 2023 wurde das zweite Paket delegierter Rechtsakte zum Digital Operational Resilience Act (DORA) zur Konsultation gestellt. Anmerkungen können bis zum 4. März 2024 an die europäischen Aufsichtsbehörden übermittelt werden. Konkret werden die nachfolgenden Leitlinien, technischen Regulierungsstandards (RTS) sowie technischen Implementierungsstandards (ITS) konsultiert: 

  • Leitlinien für die Schätzung der aggregierten Kosten und Verluste, verursacht durch schwerwiegende IKT-bezogene Vorfälle (Art. 11 Abs. 11),
  • RTS zur Präzisierung der Meldung von schwerwiegenden IKT-bezogenen Vorfällen (Art. 20 lit. a),
  • ITS zur Festlegung eines Standardformats (Art. 20 lit. b),
  • RTS zur Präzisierung von Aspekten des Threat-led Penetration Testing – TLPT (Art. 26 Abs. 11),
  • RTS zur Präzisierung von Aspekten der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen (Art. 30 Abs. 5),
  • Leitlinien für die Kooperation zwischen den ESAs und den zuständigen Behörden hinsichtlich der Struktur der Überwachung von kritischen IKT-Drittdienstleistern (Art. 32 Abs.7) sowie
  • RTS zur Präzisierung der Durchführung der Überwachung von IKT-Drittdienstleistern (Art. 41 Abs. 2).

Die finalen delegierten Rechtsakte des zweiten Paketes müssen bis zum 17. Juli 2024 an die EU-Kommission gesendet werden. Danach werden diese veröffentlicht. Für die Umsetzung bleibt dann nur noch ein knappes halbes Jahr. Von den umfangreichen Tests der Cyberwiderstandsfähigkeit unter Einbindung externer Threat Intelligence Unternehmen im Rahmen von TLPT dürften im ersten Schritt nur eine Auswahl von Instituten in Deutschland direkt betroffen sein. Insbesondere werden signifikante Institute (SI) in den Fokus genommen. Eine Information der betroffenen Häuser erfolgt über den SSM bzw. die jeweiligen Joint Supervisory Teams (JST) für die von der EZB-beaufsichtigten Häuser bzw. über die BaFin für die betroffenen LSI (Less-significant institutions).

Digital Operational Resilience Act (DORA), Informationssicherheit und IT-Compliance

Die Widerstandsfähigkeit von IT-Infrastrukturen rückt nicht erst mit der seit Januar 2023 veröffentlichten, neuen europäischen DORA-Gesetzgebung immer mehr in den Mittelpunkt der Banken. Aufgrund der zunehmenden Digitalisierung, zusätzlicher Angriffsrisiken und generell einer komplexeren IT-Systemlandschaft rückt die Cyber-Resilienz auch unabhängig von der Regulatorik weiter in den Fokus. Die EZB plant aufsichtlich für 2024 zudem spezifische Stresstests zur Cyberresilienz für die von ihr direkt beaufsichtigten Institute.

Um den Anforderungen gerecht zu werden, rücken neben den nationalen insbesondere auch weltweiten, allgemeinen Standards (bspw. ISO/IEC 270xx für ein ISMS) sowie spezifische Industriestandards bzw. solche von übergreifenden Initiativen (wie bspw. das MITRE Framework zur Klassifizierung von Bedrohungen und Angriffserkennung) in den Fokus der Banken. So können diese darauf basierenden Systeme im Zusammenspiel mit einem Security Information and Event Management (SIEM), angedockt an ein Security Operations Center (SOC) zur Durchführung gezielter Maßnahmen, eine ganzheitliche Betrachtung und einen wichtigen Teilbereich bspw. der IT-Systembezogenen Informationssicherheit abdecken. 

Auf regulatorischer Ebene soll das erste Paket der delegierten DORA-Rechtsakte Mitte Juni 2023 von den europäischen Aufsichtsbehörden EIOPA, EBA, ESMA und den ESAs zur Konsultation gestellt werden. Diese Konsultation läuft bis zum 11. September 2023. Das zweite Paket ist für November/Dezember 2023 angekündigt. Die zeitlichen Eckpunkte stehen bereits fest. So sollen die Rechtsakte des 1. Pakets am 17. Januar 2024 und die des 2. Pakets am 17. Juli 2024 final vorliegen. Alle Anforderungen sind bis zum 17. Januar 2025 umzusetzen bzw. anzuwenden.

Der deutsche Gesetzgeber plant für die DORA-Anwendung ein nationales Begleitgesetz für die den Mitgliedstaaten eingeräumten Optionen und für spezifische Aspekte zur Klarstellung. Dieses soll in Kürze auf den formalen Weg des Gesetzgebungsverfahrens gebracht werden. Neben DORA sollen in diesem Gesetz auch spezifische Aspekte der EU-Regulierung zu Markets in Crypto Assets (MiCA) für Deutschland geregelt werden. 

Wie in DORA generell vorgesehen, ist es für die Mitglieder ganz entscheidend, Handlungsspielräume für die Umsetzung in Abhängigkeit vom jeweiligen Geschäft zu erhalten. Dabei ist die Berücksichtigung von Proportionalität und Verhältnismäßigkeit, u. a. durch die Berücksichtigung von risikobasierten Ansätzen des jeweiligen Instituts, sehr wichtig.