Anforderungen an die Bank-IT & EU-Regulierung von DORA
Hohe Cyber-Widerstandsfähigkeit und Informationssicherheit sind zentrale aufsichtsrechtliche und gesetzliche Anforderungen an die IKT-Infrastrukturen im Finanzsektor. Der bereits im Herbst 2020 vorgelegte Legislativvorschlag Digital Operational Resilience Act (DORA) zur Verbesserung der digitalen operationellen Widerstandsfähigkeit des Finanzsektors betrifft nahezu alle Finanzunternehmen, nicht nur Banken.
Die Verordnung ist als „Lex Specialis“ im Januar 2023 in Kraft getreten. Bis Anfang 2025 werden alle Elemente zur Anwendung kommen. Aktuell werden die Entwürfe für regulatorisch-technische sowie die Implementierungsstandards als Leitlinien durch die europäischen Aufsichtsbehörden (ESA) auf Level 2 erarbeitet. Die Entwürfe werden Mitte des Jahres erwartet. Die EU-Verordnung beinhaltet eine Vielzahl
von Regelungsbereichen, insbesondere für das IKT(Informationsund Kommunikationstechnologie)-Risikomanagement, IKT-Vorfallmeldungen und Auswirkungsanalysen, Cybersicherheitstests, das Management von IKT-Drittparteienrisiken sowie den Austausch von Informationen zu Cyberbedrohungen und das Reporting von Sicherheitsvorfällen.
Darüber hinaus ist auch die Schaffung eines Aufsichtsrahmens für kritische IKT-Dienstleister, wie z. B. große Cloud-Anbieter, vorgesehen. Für einige der Anforderungspunkte beauftragt DORA die europäischen Aufsichtsbehörden (ESA) mit einer Konkretisierung in (technischen) Regulierungsstandards (ITS/RTS), die zugleich wichtige Voraussetzung für die Umsetzung in den Banken und bei den Dienstleistern sein werden.
Unsere Positionen
Wir weisen auf die unbedingte Berücksichtigung des im Verordnungsvorschlag DORA verankerten Proportionalitätsprinzips in allen vorgesehenen aufsichtlichen Standards zur Umsetzung hin. Erfolgt dies nicht, würden die geplanten Regelungen für alle Banken ohne ausreichende Berücksichtigung der individuellen Gegebenheiten gleichermaßen zur Anwendung kommen und auf diese Weise unverhältnismäßige Mehrbelastungen entstehen.
Wir setzen auf DORA als „Lex Specialis“ für den Finanzsektor, damit insbesondere die aktuell noch fortbestehenden Belastungen in der Folge von Doppel- und Mehrfachregulierung beispielsweise über die geplante Harmonisierung des Meldewesens künftig auch tatsächlich entfallen können. Dies wird insbesondere dann erreicht, wenn Meldungen z.B. zu wesentlichen Sicherheitsvorfällen in Zukunft nur noch an eine Aufsichtsbehörde übermittelt werden müssen. Cyber-Resilienztests müssen bei kleinen Instituten auch als Inhouse-Tests möglich sein, um den enormen Aufwand zu begrenzen.
Wir sprechen uns für klare und zugleich vereinfachende Anforderungen im Umgang mit IKT-Sicherheitsrisiken und IT-Auslagerungen unter der Einhaltung des Proportionalitätsprinzips aus. In einer optionalen Zertifizierung ausgesuchter IT-Produkte oder -Dienstleistungen, z.B. die von Cloud-Diensten im Auslagerungsfall, sehen wir ein Potenzial zur unbedingt notwendigen Entlastung der Kreditwirtschaft.
Wir befürworten das Vorhaben der Europäischen Kommission, einen Aufsichtsrahmen für kritische IKT-Dienstleister, insbesondere große international tätige Cloud-Dienstleister, zu definieren. Dieser sollte unbedingt mit aufsichtsrechtlichen Erleichterungen für Finanzinstitute, z.B. durch die Verpflichtung der Dienstleister zum Nachweis anforderungskonformer Leistungserbringung, einhergehen.