Anforderungen an die Bank-IT & EU-Regulierung von DORA

Sie sind hier: Unsere Positionen | Anforderungen an die Bank-IT & EU-Regulierung von DORA

Hohe Cyber-Widerstandsfähigkeit und Informationssicherheit sind zentrale aufsichtsrechtliche und gesetzliche Anforderungen an die IKT-Infrastrukturen im Finanzsektor. Der bereits im Herbst 2020 vorgelegte Legislativvorschlag Digital Operational Resilience Act (DORA) zur Verbesserung der digitalen operationellen Widerstandsfähigkeit des Finanzsektors wurde nunmehr vom Europäischen Parlament und Rat beschlossen.

Die Verordnung wird als „Lex Specialis“ wird am 16. Januar 2023 in Kraft treten und nach 24 Monaten und für nahezu alle Finanzinstitute entsprechend Mitte Januar 2025 zur Anwendung kommen. Der Verordnungsvorschlag beinhaltet eine Vielzahl neuer und konkretisierter Regelungen, insbesondere für das IKT-Sicherheitsrisikomanagement, Cybersicherheitstests und das Reporting von Sicherheitsvorfällen.

Zur Konkretisierung der Umsetzung beauftragt DORA die europäischen Aufsichtsbehörden (ESA) mit der Erarbeitung entsprechender Leitlinien.

Darüber hinaus ist auch die Schaffung eines Aufsichtsrahmens für kritische IKT-Dienstleister, wie z. B. große Cloud-Anbieter, vorgesehen. Für einige der Anforderungspunkte beauftragt der Verordnungsentwurf DORA die europäischen Aufsichtsbehörden (ESA) mit einer Konkretisierung in (technischen) Regulierungsstandards (ITS/RTS), die zugleich wichtige Voraussetzung für die Umsetzung in den Banken und bei den Dienstleistern sein werden.

Unsere Positionen

Wir weisen auf die unbedingte Berücksichtigung des im Verordnungsvorschlag DORA verankerten Proportionalitätsprinzips in allen vorgesehenen aufsichtsrechtlichen Regulierungen zur Umsetzung hin. Erfolgt dies nicht, würden die geplanten Regelungen für alle Banken ohne ausreichende Berücksichtigung der individuellen Gegebenheiten gleichermaßen zur Anwendung kommen und auf diese Weise unverhältnismäßige Mehrbelastungen entstehen.

Wir setzen auf DORA als „Lex Specialis“ für den Finanzsektor, damit insbesondere die aktuell noch fortbestehenden Belastungen in der Folge von Doppel- und Mehrfachregulierung künftig entfallen können. Dies wird insbesondere dann erreicht, wenn Meldungen z. B. zu wesentlichen Sicherheitsvorfällen in Zukunft nur noch an eine Aufsichtsbehörde übermittelt werden müssen.

Wir sprechen uns für klare und zugleich vereinfachende Anforderungen im Umgang mit IKT-Sicherheitsrisiken und IT-Auslagerungen unter der Einhaltung des Proportionalitätsprinzips aus. In einer optionalen Zertifizierung ausgesuchter IT-Produkte oder -Dienstleistungen, wie z. B. die von Cloud-Diensten im Auslagerungsfall, sehen wir ein Potenzial zur unbedingt notwendigen Entlastung der Kreditwirtschaft.

Wir befürworten das Vorhaben der Europäischen Kommission, einen Aufsichtsrahmen für kritische IKT-Dienstleister, insbesondere große international tätige Cloud-Dienstleister, schaffen zu wollen. Dieser sollte unbedingt mit aufsichtsrechtlichen Erleichterungen für Finanzinstitute, z. B. durch die Verpflichtung der Dienstleister zum Nachweis anforderungskonformer Leistungserbringung, einhergehen.