Vor dem Hintergrund muss auch die Anpassung nachgelagerter Cloud-Rechtsakte erfolgen. Der EZB-Leitfaden will daher die rechtlichen Anforderungen und Erwartungen der EZB an beaufsichtigte Banken klären. Dabei steht das Management von Drittparteien als eine zentrale Aufsichtspriorität im Mittelpunkt der EZB.

Wesentliche Inhalte betreffen die folgenden Schwerpunkte:

• Risikomanagement

Die Finanzinstitute müssen regelmäßige Risikoanalysen, insbesondere hinsichtlich Konzentrationsrisiken und Abhängigkeiten von einzelnen Dienstleistern vornehmen. Dazu gehören die Bewertung der Abhängigkeit von spezifischen Anbietern, geografischen Standorten und Funktionalitäten und die Schwierigkeiten beim Wechsel des Dienstleisters.

• Geschäftsfortführung und Notfallwiederherstellung

Es werden regelmäßige Tests der Notfallwiederherstellungspläne der Cloud Service Provider (CSP) verlangt inklusive unangekündigter Spot-Checks. Es sind Mitarbeiterschulungen des Personals vorgesehen, das in Notfallwiederherstellungsverfahren involviert ist. Identifizierte Mängel müssen dokumentiert und analysiert werden, um daraus einen Sanierungsplan zu entwickeln.

• IT-Sicherheit und Datenintegrität

Es werden hohe Verschlüsselungsstandards für Daten bei der Übertragung („in transit“), Speicherung („at rest“) und wenn möglich auch bei der Verwendung („in use“) gesetzt. Die Speicherung und Verarbeitung von Daten soll unter Berücksichtigung rechtlicher und politischer Risiken in akzeptablen Ländern erfolgen.

• Vertragsgestaltung

Es sollen Standardvertragsklauseln für Cloud-Computing-Dienstleistungen genutzt werden, die von Behörden entwickelt werden (wo vorhanden und wenn möglich): Vertragliche Bestimmungen zur Überwachung und Verbesserung der Dienstleistungsqualität werden verlangt. Aus den Verträgen solle klare und transparente Darstellungen der Kosten für Vor-Ort-Audits hervorgehen.

• Compliance und Regulierung

Regelmäßig ist die Einhaltung von regulatorischen Anforderungen und internen Sicherheitsrichtlinien zu überprüfen, alle relevanten Prozesse und Sicherheitsmaßnahmen sind zu dokumentieren. Eine enge Zusammenarbeit mit den zuständigen nationalen und europäischen Aufsichtsbehörden wir erwartet.

Wir haben uns in die Konsultation direkt und auch über die Deutsche Kreditwirtschaft, die European Banking Federation und die European Association of Public Banks mit folgenden Petita eingebracht:

Harmonisierter Ansatz: Der EZB-Leitfaden sollte klar auf DORA abgestimmt sein und keine zusätzlichen Anforderungen einführen, die in der Verordnung nicht enthalten sind. Konsistenz und Kohärenz zwischen DORA und dem EZB-Leitfaden sind notwendig, um eine reibungslose Umsetzung und eine verbesserte digitale Resilienz sicherzustellen.

Umsetzbarkeit: Die Umsetzung verschiedener Anforderungen, wie z.B. der Analyse und Tests vor der Auslagerung oder die Vertragsanpassungen, ist im Entwurf herausfordernd, da die Einhaltung von der Bereitschaft der Anbieter abhängt, die relevanten Daten bereitzustellen. Hier wäre die Nutzung der von DORA bereitgestellten Aufsicht über IKT-Drittanbieter hilfreich.

Risikobasierter Ansatz, Proportionalität: Die DORA und die ergänzenden Standards der ESAs stellen umfangreiche und strenge Anforderungen an alle Finanzunternehmen. Es ist wichtig, dass der EZB-Leitfaden eine risikoorientierte Umsetzung und die Geltung der Verhältnismäßigkeit klar betont.

Verfügbarkeit und Resilienz von Cloud-Leistungen: Die EZB empfiehlt, für die Datensicherung nicht denselben Cloud-Anbieter zu nutzen und fordert Sicherungs- und Wiederherstellungsverfahren. Ein risikobasierter Ansatz sollte holistisch alle relevanten Aspekte berücksichtigen, zudem es auch andere Sicherheitsmaßnahmen jenseits der Einschaltung eines weiteren Cloud-Anbieters gibt.

Rückführung von Daten „on premise“: Gemäß DORA identifizieren Finanzinstitute bereits alternative Lösungen und entwickeln Übergangspläne. Eine Klausel, die die Rückführung von Daten „on premise“ vorschreibt, würde die Vorteile der Cloud in Frage stellen und finanziell nicht tragbar machen.

Exit-Strategie: Die EZB-Leitlinie beschreibt Veränderungen, die zu einem Kündigungsgrund führen könnten, wie der Umzug eines Datenzentrums oder veränderte nationale gesetzliche Regelungen. Vielmehr sollte mit solchen Klauseln dem CSP die Möglichkeit geben, den Vertrag ordnungsgemäß zu erfüllen.

Bei allen Banken laufen die Vorbereitungen für die DORA-Umsetzung auf Hochtouren – die zeitlichen Vorgaben sind kaum zu schaffen. Vor dem Hintergrund wünschen wir uns für unsere Mitgliedsinstitute klare Vorgaben, damit DORA effizient und wirkungsvoll seine Ziele erreichen kann.

Das neue NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich in einer fortgeschrittenen Gesetzgebungsphase. Die Europäische Kommission adressiert damit verschiedene Kritikpunkte:

• Unzureichende Cyberresilienz von Unternehmen in der EU.

• Inkonsistente Widerstandsfähigkeit zwischen Mitgliedstaaten und Sektoren.

• Unzureichendes gemeinsames Verständnis der Bedrohungen und Herausforderungen.

• Fehlende gemeinsame Krisenreaktion.

Bedeutung für die Finanzindustrie

Die Finanzindustrie wird durch das NIS2UmsuCG in mehrfacher Hinsicht beeinflusst:

1. DORA als spezialisierte Regulierung: Der Digital Operational Resilience Act (DORA) regelt Cybersicherheit, IKT-Risiken und digitale Resilienz speziell für den Finanzsektor als lex specialis gegenüber dem NIS2UmsuCG.

2. Anwendungsbereich des NIS2UmsuCG: Finanzunternehmen sind aber zusätzlich wichtige bzw. besonders wichtige Einrichtungen im Sinne des NIS2UmsuCG. Daher fallen aufgrund niedriger Schwellenwerte (50 Mitarbeiter und mindestens 10 Mio. EUR Umsatz oder Bilanzsumme) alle Banken und Sparkassen unter die NIS2UmsuCG-Regulierung.

3. Registrierung beim BSI: Daher müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und eine Kontaktstelle benennen - unabhängig von der BaFin. Dies gilt auch unabhängig von festgestellten KRITIS-Diensten.

4. Keine Betreiberstatus: Finanzunternehmen werden durch die Registrierung und Nennung der Kontaktstelle aber keine Betreiber, da es ihnen aufgrund einer bisher ausschließlich für den Sektor Finanzwirtschaft genutzten Definition im Gegensatz zu anderen Betreibern an der tatsächlichen Sachherrschaft fehlt. Vielmehr liegt die tatsächliche Sachherrschaft oft bei IT-Dienstleistern, an die die IT ausgelagert ist. Diese IT-Dienstleister sind gemäß der BSI-KRITIS-Verordnung zuständig für Vorfallsmeldungen.

5. Meldepflichten nach DORA: Finanzunternehmen müssen vielmehr gemäß DORA schwerwiegende IKT-bezogene und Zahlungssicherheitsvorfälle an die BaFin oder die EZB melden. Die BaFin leitet diese Informationen künftig auch an das BSI weiter.

Wir setzen uns für folgende Punkte ein:

• Befreiung von Doppelmeldungen: IT-Dienstleister, die für Finanzunternehmen tätig sind, sollen von direkten Meldepflichten ans BSI befreit werden, um Doppelmeldungen und Doppelregulierung zu vermeiden. Diese Meldungen erfolgen ausschließlich durch die Finanzunternehmen über DORA an die EZB oder BaFin.

• Vereinfachung der Registrierung: Informationen zur Registrierung und Nennung einer Kontaktstelle beim BSI sollen über die BaFin als „single point of contact“ hinterlegt werden können, um parallele Meldungen zu vermeiden.

Durch diese Maßnahmen wollen wir die Komplexität und den bürokratischen Aufwand für Finanzunternehmen minimieren und gleichzeitig den gestiegenen Anforderungen an wirkungsvolle Cyberresilienz gerecht werden.