Mit DORA soll den wachsenden Cyberrisiken begegnet werden. Welche Regelungen sind geplant? Wer wird von den Regelungen betroffen sein?
Dieses wollen wir in zwei separaten und aufeinanderfolgenden Blogbeiträgen beleuchten. Im ersten Teil sammeln wir Informationen über Steuerung und Organisation und betrachten die umfangreichen Anforderungen an das IKT-Risikomanagement, die Meldung IKT-bezogener Vorfälle sowie die Risiken durch IKT-Drittanbieter.
Im zweiten Teil geben wir einen Ausblick auf die bevorstehenden Entwicklungen – bis hin zu der Frage, wie US-amerikanische Cloudanbieter dazu motiviert werden können, Niederlassungen in der EU zu erwägen.
Teil 1
Die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament, haben am 22. Mai 2022 eine vorläufige Einigung über den Vorschlag zur digitalen Betriebsstabilität (Digital Operational Resilience Act – DORA) erzielt. DORA rückt somit im Rahmen der Strategie zur Digitalisierung des gesamten europäischen Finanzsektors als ein integraler Bestandteil in den Mittelpunkt. Die Europäische Kommission hatte den Legislativvorschlag zu DORA erstmals am 24. September 2020 im Zuge des Digital Finance Package veröffentlicht. Das Triumvirat aus Kommission, Rat und Parlament hat bereits im September 2020 das Digital Finance Package zur Realisierung einer grenzüberschreitenden Digitalisierung verabschiedet.
Das Digital Finance Package umfasst die folgenden Teile:
- Strategie zur Digitalisierung des Finanzsektors
- Legislativvorschläge zu Kryptowerten (Markets in Crypto Asset Regulation, Distributed-Ledger-Technology-Pilotregelung und die Transfer of Funds Regulation)
- Legislativvorschläge zur Betriebsstabilität digitaler Systeme (DORA) des Finanzsektors
- Strategie für den Massenzahlungsverkehr
Die europäische Strategie zur digitalen Betriebsstabilität wurde mit den beiden wichtigen Kryptoverordnungen Markets in Crypto Assets Regulation (MiCAR) und der Transfer of Funds Regulation (ToFR) komplettiert. Am 30. Juni 2022 gab die Europäische Union grünes Licht für die MiCAR-Verordnung zur Überwachung der Kryptobranche.
Bereits einen Tag zuvor, am 29. Juni 2022, hatte das Europäische Parlament eine Einigung über die ToFR-Verordnung erzielt.
Mit DORA soll das Ziel verfolgt werden, einerseits die Finanzstabilität, den Verbraucherschutz und die Marktintegrität zu gewährleisten und andererseits, regulatorische Hindernisse im Finanzsektor durch eine Rechtsharmonisierung effektiv zu beseitigen. Außerdem wird ein EU-weites, sektorübergreifendes Framework geschaffen, um die Risiken, die im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT-Risken) auftreten, zu steuern und zu mindern. Von der DORA-Verordnung betroffen sind traditionelle Finanzakteure wie Banken, Versicherungen und Investmentgesellschaften, aber auch Fin- und BigTechs, Krypto-Dienstleister und Handelsplätze. Vom Anwendungskreis ausgenommen sind Kleinstunternehmen, die weniger als 10 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet. (Art. 3 S. 1 Ziff. 50 in Verbindung mit Artikel 2 Absatz 3 des Anhangs der Empfehlung 2003/361/EG).
Steuerung und Organisation
Banken und Finanzdienstleister sollten über interne Governance- und Kontrollrahmen verfügen, die eine wirksame und umsichtige Steuerung aller IKT-Risiken gewährleisten (Art. 4 Abs. 1). Banken und Finanzdienstleister sollten über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen verfügen, welcher es ihnen ermöglicht, IKT-Risiken unmittelbar und effizient anzugehen (Art. 5 Abs. 1). Das Leitungsorgan definiert, genehmigt und überwacht den IKT-Risikomanagementrahmen und ist für dessen Umsetzung rechenschaftspflichtig. Um eine gut funktionierende Governance zu gewährleisten, sollten Gelder für Investitionen in IKT-Ressourcen, einschließlich Schulungsmaßnahmen zu IKT-Risiken für Mitarbeitende, bereitgestellt werden (Art. 4 Abs. 2).
Anforderungen an das IKT-Risikomanagement
Die in DORA aufgeführten Anforderungen zur Erfüllung eines angemessenen IKT-Risikomanagements verlangen spezifische Funktionen. Der IKT-Risikomanagementrahmen wird mindestens einmal jährlich, sowie beim Auftreten schwerwiegender IKT-bezogener Vorfälle, die sich aus Prüfungen oder Auditverfahren für die digitale Betriebsstabilität ergeben, dokumentiert und überprüft. Das Ziel ist es, potenzielle Bedrohungen frühzeitig zu identifizieren, Erkenntnisse zu gewinnen und eine kontinuierliche Verbesserung des IT-Risikomanagements zu gewährleisten. (Art. 5 Abs. 9 DORA)
Das IKT-Management muss den Schutz und die Prävention vor Cyberangriffen sicherstellen bzw. die Anfälligkeit für Cybervorfälle auf ein Mindestmaß reduzieren, sowie Strategien und Verfahren implementieren, die die "Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen" und "hohe Standards in Bezug auf Sicherheit, Vertraulichkeit und Integrität von Daten" gewährleisten (Art. 8 Abs. 2).
Banken und Finanzdienstleister sollten eine IKT-Strategie implementieren, die darauf ausgerichtet ist, auf alle IKT-bezogenen Vorfälle, insbesondere Cyberangriffe, unverzüglich, wirksam und angemessen reagieren zu können, sodass Schäden möglichst begrenzt auftreten, die Wiederaufnahme von Tätigkeiten und die Wiederherstellung des Betriebs möglichst gewährleistet werden können (Art. 10 Abs. 2). Die Implementierung von Mechanismen, die sowohl Schwachstellen aufdecken als auch alle IKT-bezogenen Vorfälle aufzeichnen, ist unabdingbar.
Als besonders kundenorientierter und als integer geltender Marktakteur, sollten Banken und Finanzdienstleister über Kommunikationspläne verfügen, die „eine verantwortungsbewusste Offenlegung IKT-bezogener Vorfälle oder erhebliche Anfälligkeiten gegenüber Kunden und anderen Finanzunternehmen, sowie der Öffentlichkeit ermöglichen“ (DORA Art. 13 Abs. 1).
Meldung IKT-bezogener Vorfälle
DORA verlangt von Banken und Finanzdienstleistern die Einführung von Managementverfahren zur Überwachung, Ermittlung, Klassifizierung, Verfolgung, Protokollierung und Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden (Art. 15 Abs. 1).
Adressaten der Meldungen schwerwiegender IKT-Vorfälle sind die zuständigen nationalen Behörden. Banken und Finanzdienstleister müssen anderen Institutionen oder Ämtern – beispielsweise den European Supervisory Authorities (ESA), der Europäischen Zentralbank (EZB) oder den gemäß der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) benannten zentralen Anlaufstellen, sachdienliche Einzelheiten zu den Vorfällen mitteilen. Schwerwiegende IKT-bezogene Vorfälle sind durch die Behörden auf Unionsebene zentralisiert zu melden. Finanzunternehmen werden verpflichtet, Erst-, Zwischen- und Abschlussberichte vorzulegen. Sollte ein IKT-bezogener Vorfall Auswirkungen auf die finanziellen Interessen von Dienstnutzern und Kunden des jeweiligen Finanzunternehmens haben, sollten diese unverzüglich darüber unterrichtet werden (Art. 17 Abs. 2).
Eine wesentliche Aufgabe der ESA ist es, jährlich einen umfassenden Bericht in anonymisierter Form zu veröffentlichen, der Auskunft über die Meldungen zuständiger Behörden zu schwerwiegenden IKT-bezogenen Vorfällen gibt. Dies betrifft die Mindestanzahl schwerwiegender Vorfälle, ihre Art, die Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden, sowie die Kosten (Art. 20 Abs. 2). Darüber hinaus verpflichtet der Verordnungsentwurf Finanzinstitute sicherzustellen, dass Verträge über die Nutzung von IKT-Diensten gekündigt werden, wenn IKT-Drittanbieter gegen geltende Gesetze, Verordnungen oder Vertragsbedingungen verstoßen (Art. 25 Abs. 8).
Prüfung der digitalen Betriebsstabilität
Das IKT-Risikomanagement von Banken und Finanzdienstleistern muss regelmäßig auf die Abwehrbereitschaft und die Aufdeckung von Schwachstellen, Mängeln oder Lücken sowie auf die umgehende Umsetzung von Korrekturmaßnahmen geprüft werden. IKT-Systeme müssen regelmäßig auf Herz und Nieren geprüft werden. Eine solche Überprüfung muss mindestens einmal jährlich durchgeführt und entsprechend dokumentiert werden. Die Durchführung von Präventions-, Erkennungs-, Reaktions- und Wiederherstellungstests sind unabdingbar, um alle Schwachstellen, Mängel oder Lücken umfassend zu beheben (Art. 21 Abs. 5).
Als wichtigste Instrumente für die Prüfung der digitalen Betriebsstabilität sind folgende zu benennen (Art. 22):
- Bewertungen und Überprüfungen der Anfälligkeit
- Analysen von Open-Source-Software
- Bewertungen der Netzsicherheit
- Lückenanalysen
- Analysen der physischen Sicherheit
- Überprüfungen der physischen Sicherheit
- Fragebögen und Scansoftwarelösungen
- Quellcodeprüfungen, soweit durchführbar
- szenariobasierte Tests
- Kompatibilitätstests
- Leistungstests
- End-to-End-Tests
- bedrohungsgesteuerte Penetrationstests
Wie anspruchsvoll die Belastbarkeitstests sein müssen, hängt maßgeblich von der Größe des Geschäfts- und Risikoprofils eines jeden Finanzunternehmens ab.
Besonders hohe Anforderungen für die Prüfungen der digitalen Betriebsstabilität gelten für bedeutende Institute im Zahlungsverkehr, zum Beispiel große Kreditinstitute, große Zahlungsinstitute und große E-Geld-Institute. Dies gilt auch für Teilsektoren, die eine zentrale Rolle im Zahlungsverkehr, im Bankenwesen, im Clearing und in der Abrechnung spielen.
Risiken durch IKT-Drittanbieter
Einen besonderen Fokus legt DORA auf die EU-Aufsicht über sogenannte IKT-Drittanbieter und das damit einhergehende IKT-Drittrisiko. Die Auslagerung von digitalen Funktionen spielt heutzutage eine wichtige Rolle in der IKT-Strategie von Finanzunternehmen. Hier kommen die IKT-Drittanbieter ins Spiel. Sie offerieren den Finanzunternehmen die Bereitstellung von Speicherplatz oder Rechnerleistung (Infrastructure as a Service) bis hin zur Bereitstellung von Softwareapplikationen (Platform as a Service).
Auslagerungen können nur dann funktionieren, wenn die Finanzinstitute die Untervergabeprozesse vollwertig überwachen und kontrollieren können. Finanzunternehmen, die IKT-Dienstleistungen von IKT-Drittanbietern in Anspruch nehmen, sind dafür verantwortlich, dass sich diese an die DORA-Verordnung halten (Art. 25 Abs. 1). Stellt ein Finanzunternehmen indes fest, dass der IKT-Drittanbieter bei der Erbringung von IT-Dienstleistungen gegen geltende Gesetze, Verordnungen oder Vertragsbedingungen verstößt, muss diesem gekündigt werden (Art. 25 Abs. 8). Die Finanzunternehmen müssen Ausstiegsstrategien einrichten, um mit Ausfällen von IKT-Drittanbieter umgehen zu können. Die Vertragskündigung darf der Einhaltung regulatorischer Anforderungen nicht zuwiderlaufen oder die angebotenen Dienstleistungen qualitativ beeinträchtigen (Art. 25 Abs. 9).
Zusammenfassend kann man konstatieren, dass DORA darauf abzielt, dass ein EU-Aufsichtsrahmen für "kritische" IKT-Drittanbieter geschaffen werden soll (Art. 28 Abs. 1). DORA räumt dem Finanzunternehmen das Recht ein, die zu erbringenden Leistungen des IKT-Drittanbieters vollumfänglich zu überwachen (Art. 27 Abs. 2). Dabei können die zuständigen Finanzaufsichtsbehörden die Finanzunternehmen zwingen, ihre Verträge mit IKT-Drittanbietern vorübergehend teilweise oder vollständig auszusetzen, bis die Risiken beseitigt sind. Behörden können von Finanzunternehmen erforderlichenfalls verlangen, die einschlägigen vertraglichen Vereinbarungen, die mit kritischen IKT-Drittanbietern geschlossen wurden, ganz oder teilweise zu kündigen (Art. 37 Abs. 3).
Vor Vertragsschluss mit einem IKT-Drittanbieter müssen Banken und Finanzdienstleister prüfen, ob der jeweilige IT-Lieferant als kritischer Anbieter einzustufen ist oder ob dieser wichtige digitale Funktionen abdeckt. Banken und Finanzdienstleister sollten überprüfen, ob ihr IKT-Drittanbieter ersetzbar ist oder ob mehrere Verträge mit diesem abgeschlossen werden (Art. 25 Abs. 5). Die Beurteilung dieser Kriterien ist insofern wichtig, als dass Finanzunternehmen keine vertraglichen Beziehungen zu kritischen IKT-Drittanbietern unterhalten dürfen, die ihren Sitz außerhalb der EU haben und somit nicht in der EU niedergelassen sind (Art. 28 Abs. 9).
Autoren:
Salar Hydary (Bachelor of Laws/ Werkstudent PPI AG, Consulting Payments, Bereich Regulierung Zahlungsverkehr)
Judith Petersen (Senior Manager PPI AG, Consulting Payments, Leitung Bereich Regulierung Zahlungsverkehr)
