Ausgewogene Anforderungen an die IT für notwendige Resilienz digitaler Systeme

Im Januar 2023 wurde das EU-Gesetz zur operativen Widerstandsfähigkeit von Finanzunternehmen im EU-Amtsblatt veröffentlicht und ist ab 17. Januar 2025 verpflichtend (EU 2022/2254). Die konkreten Anforderungen werden derzeit über die delegierten Rechtsakte der europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA) detailliert. Die ersten Anforderungen wurden bereits konsultiert und sollen demnächst durch die EU-Kommission final veröffentlicht werden, die Folgendes regeln:

• den Rahmen für ein vereinfachtes IKT-Risikomanagement

• die Kriterien zum Klassifizieren von IKT-Vorfällen

• das Festlegen der Policy für IKT-Dienstleistungen durch das Institut

• das Festlegen der Vorlagen für das Informationsregister für IKT-Auslagerungen

Von Dezember 2023 bis 4. März 2024 konsultieren die europäischen Aufsichtsbehörden das zweite Paket der delegierten Rechtsakte zu DORA. Es wurden die nachfolgenden Leitlinien, technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) konsultiert:

• Leitlinien für das Schätzen der Kosten und Verluste, verursacht durch schwerwiegende IKT-Vorfälle

• Standards zum Präzisieren der Meldung von schwerwiegenden IKT-Vorfällen

• Konkretisieren des Threat-Led Penetration Testing,

• Präzisierung der Untervergabe (Subcontracting) von kritischen oder wichtigen IKT-Dienstleistungen eines Finanzunternehmens

• Rahmenbedingungen für die Kooperation von europäischen und nationalen Aufsichtsbehörden zur Struktur der Überwachung von kritischen IKT-Drittdienstleistern sowie Standards für ihre Überwachung

Die finalen delegierten Rechtsakte des zweiten Pakets müssen nach der Konsultation von den Aufsichtsbehörden bis 17. Juli 2024 an die EU-Kommission übermittelt werden. Für deren Umsetzung bleibt dann nur noch knapp ein halbes Jahr Zeit.

Unsere Positionen

Wir plädieren für Förderbanken aufgrund des besonderen risikoarmen Geschäfts für die Nutzung des vereinfachten IKT-Risikomanagementrahmens, wie dies auch in DORA angelegt ist. Cyberresilienztests in Form eines TLPT stellen zudem einen erheblichen Aufwand unter Einbindung von wenigen aktuell auf dem Markt befindlichen Anbietern dar. Anforderungen an externe Anbieter müssen praktikabel definiert werden, sodass auch neue Anbieter mit geeigneten Fachkräften in den Markt eintreten können.

Wir sprechen uns für klare und zugleich vereinfachende Anforderungen im Umgang mit IKT-Auslagerungen aus. Eine vollständige Anpassung von allen IKT-Auslagerungsverträgen bis Januar 2025 ist in der Praxis nicht realistisch. Zudem werden sich die Verhandlungen auch aufgrund der neuen Anforderungen (Kontroll- und Steuerungsaufgaben) verlängern und auch zu neuen Konditionsforderungen und damit zusätzlichem Kostendruck für Institute führen. Verträge für wichtige und kritische Funktionen könnten mit Priorität angepasst werden. Hier wären auch mit Blick auf die Wirtschaftsprüfer Leitlinien für die Übergangsphase wichtig.

 

Wir finden, dass eine grundsätzliche Bewertung der internen Bank-IT als „zero trust“-Umgebung nicht praxisgerecht ist. Dies muss im Verhältnis zum jeweiligen Geschäft und zur Kritikalität der Prozesse stehen. Der infrastrukturelle Aufwand für die Umstellung und den dauerhaften Betrieb ist insofern nicht angemessen, wenn dies als Grundsatz angewendet wird. Beispielsweise ist die Anforderung nach einer vollständigen Verschlüsselung auch der internen Kommunikation eher ein theoretisches Modell und noch nicht in der Breite praxiserprobt. Die notwendigen, erheblichen Infrastrukturumbauten sind bis 2025 nicht umsetzbar, sondern eher sehr langfristig denkbar.