Digitale Resilienz und ihre angemessene Umsetzung

Mit dem Digital Operational Resilience Act (DORA) soll die digitale Resilienz in sechs Bereichen gestärkt werden:

  • IKT-Risikomanagement
  • Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
  • Testen der digitalen operationellen Resilienz, einschließlich des bedrohungsorientierten Testens (Threat-led Penetration Testing – TLPT)
  • Management des IKT-Drittparteienrisikos
  • Überwachung für kritische IKT-Drittdienstleister
  • Vereinbarungen über den Austausch von Informationen sowie über Cyberrisiken und Notfallübungen

Mit dem Abschluss der Konsultationsphase für das zweite Paket durch die europäischen Aufsichtsbehörden (EBA, ESMA, EIOPA – die ESAs) sollen sämtliche technischen Regulierungsstandards, Implementierungsstandards und Leitlinien nach dem 17. Juli 2024 veröffentlicht werden. Die Zeit für die Umsetzung auf dieser Grundlage ist bis zum 17. Januar 2025 insofern knapp.

Auch wenn die Institute in Deutschland grundsätzlich gut vorbereitet sind, da sich Teile der DORA mit bereits bekannten Regularien (z. B. BAIT und MaRisk sowie bestehenden EBA-Leitlinien) überschneiden, zeigt sich, dass die Themen IKT-Risikomanagement und Management des IKT-Drittparteienrisikos die Institute vor die größten Umsetzungsherausforderungen stellen. Hier sind wesentliche Erweiterungen enthalten.

Beim IKT-Risikomanagement gilt es u. a. für sämtliche IKT-Assets eine Risikobewertung durchzuführen. DORA kennt keine Wesentlichkeitsgrenzen, so dass beispielsweise auch Quellcodes zu analysieren sind bzw. Software mindestens auf Verwundbarkeit und Anomalien zu untersuchen ist. Einige Institute führen schon heute Anomalieprüfungen durch und haben hier einen großen Vorteil.

Im Rahmen des Drittparteirisikomanagements sind die Herausforderungen an die Vertragsanforderungen aufgrund ihrer Vielzahl enorm hoch. So gibt es Anforderungen für vertragliche Vereinbarungen zu IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, und Anforderungen, die für alle vertraglichen Vereinbarungen gelten. Der umfangreiche Katalog geht von der Beschreibung der Dienstleistung bis hin zu Ausstiegsstrategien. Auch hier ist eine vollständige Umsetzung bis zum Inkrafttreten in der Praxis nicht realistisch.

Unsere Positionen

Wir sprechen uns gerade auch vor dem Hintergrund der oben genannten Umsetzungsherausforderungen für klare und zugleich vereinfachende Anforderungen im Umgang mit IKT-Auslagerungen aus. Eine vollständige Anpassung von allen IKT-Auslagerungsverträgen bis Januar 2025 ist in der Praxis nicht realistisch. Verhandlungen werden sich aufgrund der neuen Anforderungen (Kontroll- und Steuerungsaufgaben) verlängern und zu zusätzlichen Kosten für Institute führen. Wir sehen in einer optionalen, regelmäßigen (Re-)Zertifizierung durch die Anbieter von IT-Produkten oder -Dienstleistungen, z. B. bei Nutzung von Cloud-Diensten, Potenzial zur Entlastung der Finanzinstitute – insbesondere bei Standardsoftware.

 

Wir regen gleichermaßen insbesondere für den Übergang nach dem Inkrafttreten bis zur vollumfänglichen Umsetzung an, dass die Aufsichtsbehörden adäquate Übergangshinweise und Handlungsempfehlungen formulieren, die von Wirtschaftsprüfungsgesellschaften und dem IDW im Rahmen ihrer Aufgaben genutzt werden können.

Wir betonen daher weiter die Notwendigkeit der Berücksichtigung des in DORA verankerten Proportionalitätsprinzips in allen delegierten Rechtsakten sowie in der Praxisanwendung und -prüfung. Ohne dieses würden die geplanten Regelungen für alle Banken gleichermaßen ohne ausreichende Berücksichtigung der individuellen Gegebenheiten zur Anwendung kommen und auf diese Weise unverhältnismäßige Mehrbelastungen entstehen.