DORA – Digital Operational Resilience Act Teil 2: Ausblick und Ziele

Mit DORA soll den wachsenden Cyberrisiken begegnet werden. Welche Regelungen sind geplant? Wer wird von den Regelungen betroffen sein?

Dieses wollen wir in zwei separaten und aufeinanderfolgenden Blogbeiträgen beleuchten. Im ersten Teil sammeln wir Informationen über Steuerung und Organisation und betrachten die umfangreichen Anforderungen an das IKT-Risikomanagement, die Meldung IKT-bezogener Vorfälle sowie die Risiken durch IKT-Drittanbieter.

Im zweiten Teil geben wir einen Ausblick auf die bevorstehenden Entwicklungen – bis hin zu der Frage, wie US-amerikanische Cloudanbieter dazu motiviert werden können, Niederlassungen in der EU zu erwägen.


Teil 2

Das Europäische Parlament und der Rat werden den offiziellen Verordnungstext, voraussichtlich im Herbst 2022 annehmen und anschließend wird dieser im Amtsblatt der Europäischen Union veröffentlicht. Erwartet wird, dass die DORA-Verordnung Ende 2024 in der gesamten EU gilt. Bereits zum jetzigen Zeitpunkt sollten sich Banken und Finanzdienstleister über die Umsetzung eines angemessenen IKT-Risikomanagements Gedanken machen und geeignete Maßnahmen in Betracht ziehen.

Finanzunternehmen im Zahlungsverkehr haben ein intrinsisches Interesse daran, ihre digitale Betriebsstabilität zu schützen und resilienter gegenüber Cyberangriffe zu machen, weil Betriebsstörungen zu erheblichen Umsatzeinbußen und – damit einhergehend – zu immensen Reputationsschäden führen können. Die Tatsache, dass große Kreditinstitute und Fin- und BigTechs eine große Projektionsfläche für Hackerangriffe darstellen und die exponenziell voranschreitende Digitalisierung immer relevanter wird, untermauern die Erfordernis, EU-Maßnahmen zur Stärkung der digitalen Betriebsstabilität von Finanzunternehmen zu implementieren.

Dadurch, dass Finanzunternehmen in der Regel sehr stark miteinander vernetzt sind, kann schon ein lokal begrenzter Cybervorfall enorme Systemrisiken für den Finanzsektor bergen und die Finanzstabilität gefährden. Die von Finanzunternehmen bereitgestellten Produkte und Dienstleistungen sind oft elementar für das Funktionieren einer Gesellschaft. Die Kosten, die durch einen Cyberangriff entstehen, bedeuten oft sehr hohe Kosten für Gesellschaft und Finanzunternehmen.

Einerseits könnten Finanzunternehmen angesichts von Meldekosten und möglichen Reputationsschäden abgeschreckt sein, Cybervorfälle an die zuständigen Behörden zu melden. Andererseits könnten Meldungen über Cybervorfälle einen erheblichen externen Nutzen dahingehend erzeugen, dass andere Finanzunternehmen Sicherheitslücken erkennen und schließen könnten. Dem Verordnungsvorschlag mangelt es jedoch an der Verhältnismäßigkeit. Das IKT-Risikomanagement von Finanzunternehmen sollte sich lediglich auf kritische Elemente der digitalen Betriebsstabilität konzentrieren. DORA umfasst hingegen alle physischen Komponenten, Infrastrukturen, Räumlichkeiten und Rechenzentren, unabhängig von deren operationellem Risiko. 

DORA verpflichtet Finanzunternehmen, Verträge mit kritischen IKT-Drittanbietern zu kündigen, wenn diese gegen Gesetze, Verordnungen, Richtlinien oder Vertragsbedingungen verstoßen oder wenn sie von einer Finanzaufsichtsbehörde dazu gezwungen werden.

Das dürfte das operationelle Risiko für Finanzunternehmen erhöhen, weil es schwierig sein dürfte, ad hoc geeignete alternative Anbieter zu finden. Stattdessen sollte DORA, die enge Abstimmung der betroffenen Akteure fördern, einen Sanktionsstufenkatalog artikulieren und zumindest Übergangsfristen vorsehen. Ein striktes Vertragskündigungsmandat sollte das letzte Mittel sein.

Die Beschränkung, IT-Lieferverträge mit kritischen IKT-Drittanbietern aus Drittländern abzuschließen, ist ein starker Eingriff in die Vertragsfreiheit der europäischen Finanzunternehmen. Diese Maßnahme könnte der Stärkung der digitalen Betriebsstabilität paradoxerweise zuwiderlaufen, weil sich Finanzunternehmen gezwungen sehen könnten, Verträge mit Anbietern abzuschließen, die einen geringeren Cyberreifegrad aufweisen. Diese Einschränkung hat das Potenzial, die Auswahl und den Zugang zu cybersicheren und innovativeren IKT-Lösungen, Produkten und Dienstleistungen zu begrenzen.

Die Ziele der EU-Kommission, die Abhängigkeit des europäischen Finanzsektors von US-amerikanischen Cloud-Anbietern zu vermindern, sollte nicht in Aktionismus umschlagen. Eine zielgerichtetere Maßnahme wäre es, diese Anbieter durch regulatorische Maßnahmen dazu zu veranlassen, Niederlassungen in der EU zu gründen, damit diese effektiver von den hiesigen Aufsichtsbehörden im Zusammenhang mit operationellen Risiken überwacht werden könnten.

In 2023 obliegt der European Banking Authority (EBA) das Mandat, die regulatorischen Rahmenbedingungen für MiCAR und DORA zu schaffen. Neben der Aufsichtspflicht ist die EBA mit der Aufgabe betraut, Aufsichtsrichtlinien und Verfahren zu entwickeln, sowie Guidelines zu erstellen, die den Informationsaustausch zwischen allen relevanten Parteien sicherstellen sollen. Dazu gehören unter anderem beaufsichtigte Emittenten von Krypto-Assets, die zuständigen nationalen Behörden, die EZB und andere relevante Zentralbanken. Die Zeit hierfür ist knapp bemessen, da alles noch vor dem Anwendungsdatum von MiCAR und DORA passieren muss. Das zu entwickelnde Framework für DORA wird einen aufsichtsrechtlichen Rahmen bilden, um die Überwachung und die Eindämmung von Cyberrisiken und IKT-bezogenen Vorfällen zu gewährleisten. Für die MiCAR-Verordnung hingegen wird die EBA spezifische Anforderungen zur Ausgabe von Krypto-Assets und das Angebot von Kryptodienstleistungen ausarbeiten müssen.

Quelle der Abbildung: EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Autoren:
Salar Hydary (Bachelor of Laws/ Werkstudent PPI AG, Consulting Payments, Bereich Regulierung Zahlungsverkehr)
Judith Petersen (Senior Manager PPI AG, Consulting Payments, Leitung Bereich Regulierung Zahlungsverkehr)

0 Kommentare:

Kommentar veröffentlichen