Posts mit dem Label DORA werden angezeigt. Alle Posts anzeigen
Posts mit dem Label DORA werden angezeigt. Alle Posts anzeigen

DORA – Digital Operational Resilience Act Teil 2: Ausblick und Ziele

Mit DORA soll den wachsenden Cyberrisiken begegnet werden. Welche Regelungen sind geplant? Wer wird von den Regelungen betroffen sein?

Dieses wollen wir in zwei separaten und aufeinanderfolgenden Blogbeiträgen beleuchten. Im ersten Teil sammeln wir Informationen über Steuerung und Organisation und betrachten die umfangreichen Anforderungen an das IKT-Risikomanagement, die Meldung IKT-bezogener Vorfälle sowie die Risiken durch IKT-Drittanbieter.

Im zweiten Teil geben wir einen Ausblick auf die bevorstehenden Entwicklungen – bis hin zu der Frage, wie US-amerikanische Cloudanbieter dazu motiviert werden können, Niederlassungen in der EU zu erwägen.


Teil 2

Das Europäische Parlament und der Rat werden den offiziellen Verordnungstext, voraussichtlich im Herbst 2022 annehmen und anschließend wird dieser im Amtsblatt der Europäischen Union veröffentlicht. Erwartet wird, dass die DORA-Verordnung Ende 2024 in der gesamten EU gilt. Bereits zum jetzigen Zeitpunkt sollten sich Banken und Finanzdienstleister über die Umsetzung eines angemessenen IKT-Risikomanagements Gedanken machen und geeignete Maßnahmen in Betracht ziehen.

Finanzunternehmen im Zahlungsverkehr haben ein intrinsisches Interesse daran, ihre digitale Betriebsstabilität zu schützen und resilienter gegenüber Cyberangriffe zu machen, weil Betriebsstörungen zu erheblichen Umsatzeinbußen und – damit einhergehend – zu immensen Reputationsschäden führen können. Die Tatsache, dass große Kreditinstitute und Fin- und BigTechs eine große Projektionsfläche für Hackerangriffe darstellen und die exponenziell voranschreitende Digitalisierung immer relevanter wird, untermauern die Erfordernis, EU-Maßnahmen zur Stärkung der digitalen Betriebsstabilität von Finanzunternehmen zu implementieren.

Dadurch, dass Finanzunternehmen in der Regel sehr stark miteinander vernetzt sind, kann schon ein lokal begrenzter Cybervorfall enorme Systemrisiken für den Finanzsektor bergen und die Finanzstabilität gefährden. Die von Finanzunternehmen bereitgestellten Produkte und Dienstleistungen sind oft elementar für das Funktionieren einer Gesellschaft. Die Kosten, die durch einen Cyberangriff entstehen, bedeuten oft sehr hohe Kosten für Gesellschaft und Finanzunternehmen.

Einerseits könnten Finanzunternehmen angesichts von Meldekosten und möglichen Reputationsschäden abgeschreckt sein, Cybervorfälle an die zuständigen Behörden zu melden. Andererseits könnten Meldungen über Cybervorfälle einen erheblichen externen Nutzen dahingehend erzeugen, dass andere Finanzunternehmen Sicherheitslücken erkennen und schließen könnten. Dem Verordnungsvorschlag mangelt es jedoch an der Verhältnismäßigkeit. Das IKT-Risikomanagement von Finanzunternehmen sollte sich lediglich auf kritische Elemente der digitalen Betriebsstabilität konzentrieren. DORA umfasst hingegen alle physischen Komponenten, Infrastrukturen, Räumlichkeiten und Rechenzentren, unabhängig von deren operationellem Risiko. 

DORA verpflichtet Finanzunternehmen, Verträge mit kritischen IKT-Drittanbietern zu kündigen, wenn diese gegen Gesetze, Verordnungen, Richtlinien oder Vertragsbedingungen verstoßen oder wenn sie von einer Finanzaufsichtsbehörde dazu gezwungen werden.

Das dürfte das operationelle Risiko für Finanzunternehmen erhöhen, weil es schwierig sein dürfte, ad hoc geeignete alternative Anbieter zu finden. Stattdessen sollte DORA, die enge Abstimmung der betroffenen Akteure fördern, einen Sanktionsstufenkatalog artikulieren und zumindest Übergangsfristen vorsehen. Ein striktes Vertragskündigungsmandat sollte das letzte Mittel sein.

Die Beschränkung, IT-Lieferverträge mit kritischen IKT-Drittanbietern aus Drittländern abzuschließen, ist ein starker Eingriff in die Vertragsfreiheit der europäischen Finanzunternehmen. Diese Maßnahme könnte der Stärkung der digitalen Betriebsstabilität paradoxerweise zuwiderlaufen, weil sich Finanzunternehmen gezwungen sehen könnten, Verträge mit Anbietern abzuschließen, die einen geringeren Cyberreifegrad aufweisen. Diese Einschränkung hat das Potenzial, die Auswahl und den Zugang zu cybersicheren und innovativeren IKT-Lösungen, Produkten und Dienstleistungen zu begrenzen.

Die Ziele der EU-Kommission, die Abhängigkeit des europäischen Finanzsektors von US-amerikanischen Cloud-Anbietern zu vermindern, sollte nicht in Aktionismus umschlagen. Eine zielgerichtetere Maßnahme wäre es, diese Anbieter durch regulatorische Maßnahmen dazu zu veranlassen, Niederlassungen in der EU zu gründen, damit diese effektiver von den hiesigen Aufsichtsbehörden im Zusammenhang mit operationellen Risiken überwacht werden könnten.

In 2023 obliegt der European Banking Authority (EBA) das Mandat, die regulatorischen Rahmenbedingungen für MiCAR und DORA zu schaffen. Neben der Aufsichtspflicht ist die EBA mit der Aufgabe betraut, Aufsichtsrichtlinien und Verfahren zu entwickeln, sowie Guidelines zu erstellen, die den Informationsaustausch zwischen allen relevanten Parteien sicherstellen sollen. Dazu gehören unter anderem beaufsichtigte Emittenten von Krypto-Assets, die zuständigen nationalen Behörden, die EZB und andere relevante Zentralbanken. Die Zeit hierfür ist knapp bemessen, da alles noch vor dem Anwendungsdatum von MiCAR und DORA passieren muss. Das zu entwickelnde Framework für DORA wird einen aufsichtsrechtlichen Rahmen bilden, um die Überwachung und die Eindämmung von Cyberrisiken und IKT-bezogenen Vorfällen zu gewährleisten. Für die MiCAR-Verordnung hingegen wird die EBA spezifische Anforderungen zur Ausgabe von Krypto-Assets und das Angebot von Kryptodienstleistungen ausarbeiten müssen.

Quelle der Abbildung: EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Autoren:
Salar Hydary (Bachelor of Laws/ Werkstudent PPI AG, Consulting Payments, Bereich Regulierung Zahlungsverkehr)
Judith Petersen (Senior Manager PPI AG, Consulting Payments, Leitung Bereich Regulierung Zahlungsverkehr)

DORA – Digital Operational Resilience Act: Teil 1: Warum die digitale Betriebsstabilität einheitlich auf EU-Ebene zu bewerten ist

Mit DORA soll den wachsenden Cyberrisiken begegnet werden. Welche Regelungen sind geplant? Wer wird von den Regelungen betroffen sein?
Dieses wollen wir in zwei separaten und aufeinanderfolgenden Blogbeiträgen beleuchten. Im ersten Teil sammeln wir Informationen über Steuerung und Organisation und betrachten die umfangreichen Anforderungen an das IKT-Risikomanagement, die Meldung IKT-bezogener Vorfälle sowie die Risiken durch IKT-Drittanbieter.
Im zweiten Teil geben wir einen Ausblick auf die bevorstehenden Entwicklungen – bis hin zu der Frage, wie US-amerikanische Cloudanbieter dazu motiviert werden können, Niederlassungen in der EU zu erwägen.

Teil 1

Die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament, haben am 22. Mai 2022 eine vorläufige Einigung über den Vorschlag zur digitalen Betriebsstabilität (Digital Operational Resilience Act – DORA) erzielt. DORA rückt somit im Rahmen der Strategie zur Digitalisierung des gesamten europäischen Finanzsektors als ein integraler Bestandteil in den Mittelpunkt. Die Europäische Kommission hatte den Legislativvorschlag zu DORA erstmals am 24. September 2020 im Zuge des Digital Finance Package veröffentlicht. Das Triumvirat aus Kommission, Rat und Parlament hat bereits im September 2020 das Digital Finance Package zur Realisierung einer grenzüberschreitenden Digitalisierung verabschiedet.
Das Digital Finance Package umfasst die folgenden Teile:

  • Strategie zur Digitalisierung des Finanzsektors
  • Legislativvorschläge zu Kryptowerten (Markets in Crypto Asset Regulation, Distributed-Ledger-Technology-Pilotregelung und die Transfer of Funds Regulation)
  • Legislativvorschläge zur Betriebsstabilität digitaler Systeme (DORA) des Finanzsektors
  • Strategie für den Massenzahlungsverkehr  

Die europäische Strategie zur digitalen Betriebsstabilität wurde mit den beiden wichtigen Kryptoverordnungen Markets in Crypto Assets Regulation (MiCAR) und der Transfer of Funds Regulation (ToFR) komplettiert. Am 30. Juni 2022 gab die Europäische Union grünes Licht für die MiCAR-Verordnung zur Überwachung der Kryptobranche.
Bereits einen Tag zuvor, am 29. Juni 2022, hatte das Europäische Parlament eine Einigung über die ToFR-Verordnung erzielt.
Mit DORA soll das Ziel verfolgt werden, einerseits die Finanzstabilität, den Verbraucherschutz und die Marktintegrität zu gewährleisten und andererseits, regulatorische Hindernisse im Finanzsektor durch eine Rechtsharmonisierung effektiv zu beseitigen. Außerdem wird ein EU-weites, sektorübergreifendes Framework geschaffen, um die Risiken, die im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT-Risken) auftreten, zu steuern und zu mindern. Von der DORA-Verordnung betroffen sind traditionelle Finanzakteure wie Banken, Versicherungen und Investmentgesellschaften, aber auch Fin- und BigTechs, Krypto-Dienstleister und Handelsplätze. Vom Anwendungskreis ausgenommen sind Kleinstunternehmen, die weniger als 10 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet. (Art. 3 S. 1 Ziff. 50 in Verbindung mit Artikel 2 Absatz 3 des Anhangs der Empfehlung 2003/361/EG).

Steuerung und Organisation
Banken und Finanzdienstleister sollten über interne Governance- und Kontrollrahmen verfügen, die eine wirksame und umsichtige Steuerung aller IKT-Risiken gewährleisten (Art. 4 Abs. 1). Banken und Finanzdienstleister sollten über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen verfügen, welcher es ihnen ermöglicht, IKT-Risiken unmittelbar und effizient anzugehen (Art. 5 Abs. 1). Das Leitungsorgan definiert, genehmigt und überwacht den IKT-Risikomanagementrahmen und ist für dessen Umsetzung rechenschaftspflichtig. Um eine gut funktionierende Governance zu gewährleisten, sollten Gelder für Investitionen in IKT-Ressourcen, einschließlich Schulungsmaßnahmen zu IKT-Risiken für Mitarbeitende, bereitgestellt werden (Art. 4 Abs. 2). 

Anforderungen an das IKT-Risikomanagement
Die in DORA aufgeführten Anforderungen zur Erfüllung eines angemessenen IKT-Risikomanagements verlangen spezifische Funktionen. Der IKT-Risikomanagementrahmen wird mindestens einmal jährlich, sowie beim Auftreten schwerwiegender IKT-bezogener Vorfälle, die sich aus Prüfungen oder Auditverfahren für die digitale Betriebsstabilität ergeben, dokumentiert und überprüft. Das Ziel ist es, potenzielle Bedrohungen frühzeitig zu identifizieren, Erkenntnisse zu gewinnen und eine kontinuierliche Verbesserung des IT-Risikomanagements zu gewährleisten. (Art. 5 Abs. 9 DORA)
Das IKT-Management muss den Schutz und die Prävention vor Cyberangriffen sicherstellen bzw. die Anfälligkeit für Cybervorfälle auf ein Mindestmaß reduzieren, sowie Strategien und Verfahren implementieren, die die "Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen" und "hohe Standards in Bezug auf Sicherheit, Vertraulichkeit und Integrität von Daten" gewährleisten (Art. 8 Abs. 2).
Banken und Finanzdienstleister sollten eine IKT-Strategie implementieren, die darauf ausgerichtet ist, auf alle IKT-bezogenen Vorfälle, insbesondere Cyberangriffe, unverzüglich, wirksam und angemessen reagieren zu können, sodass Schäden möglichst begrenzt auftreten, die Wiederaufnahme von Tätigkeiten und die Wiederherstellung des Betriebs möglichst gewährleistet werden können (Art. 10 Abs. 2). Die Implementierung von Mechanismen, die sowohl Schwachstellen aufdecken als auch alle IKT-bezogenen Vorfälle aufzeichnen, ist unabdingbar.
Als besonders kundenorientierter und als integer geltender Marktakteur, sollten Banken und Finanzdienstleister über Kommunikationspläne verfügen, die „eine verantwortungsbewusste Offenlegung IKT-bezogener Vorfälle oder erhebliche Anfälligkeiten gegenüber Kunden und anderen Finanzunternehmen, sowie der Öffentlichkeit ermöglichen“ (DORA Art. 13 Abs. 1). 

Meldung IKT-bezogener Vorfälle
DORA verlangt von Banken und Finanzdienstleistern die Einführung von Managementverfahren zur Überwachung, Ermittlung, Klassifizierung, Verfolgung, Protokollierung und Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden (Art. 15 Abs. 1).
Adressaten der Meldungen schwerwiegender IKT-Vorfälle sind die zuständigen nationalen Behörden. Banken und Finanzdienstleister müssen anderen Institutionen oder Ämtern – beispielsweise den European Supervisory Authorities (ESA), der Europäischen Zentralbank (EZB) oder den gemäß der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) benannten zentralen Anlaufstellen, sachdienliche Einzelheiten zu den Vorfällen mitteilen. Schwerwiegende IKT-bezogene Vorfälle sind durch die Behörden auf Unionsebene zentralisiert zu melden. Finanzunternehmen werden verpflichtet, Erst-, Zwischen- und Abschlussberichte vorzulegen. Sollte ein IKT-bezogener Vorfall Auswirkungen auf die finanziellen Interessen von Dienstnutzern und Kunden des jeweiligen Finanzunternehmens haben, sollten diese unverzüglich darüber unterrichtet werden (Art. 17 Abs. 2).

Eine wesentliche Aufgabe der ESA ist es, jährlich einen umfassenden Bericht in anonymisierter Form zu veröffentlichen, der Auskunft über die Meldungen zuständiger Behörden zu schwerwiegenden IKT-bezogenen Vorfällen gibt. Dies betrifft die Mindestanzahl schwerwiegender Vorfälle, ihre Art, die Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden, sowie die Kosten (Art. 20 Abs. 2). Darüber hinaus verpflichtet der Verordnungsentwurf Finanzinstitute sicherzustellen, dass Verträge über die Nutzung von IKT-Diensten gekündigt werden, wenn IKT-Drittanbieter gegen geltende Gesetze, Verordnungen oder Vertragsbedingungen verstoßen (Art. 25 Abs. 8). 

Prüfung der digitalen Betriebsstabilität
Das IKT-Risikomanagement von Banken und Finanzdienstleistern muss regelmäßig auf die Abwehrbereitschaft und die Aufdeckung von Schwachstellen, Mängeln oder Lücken sowie auf die umgehende Umsetzung von Korrekturmaßnahmen geprüft werden. IKT-Systeme müssen regelmäßig auf Herz und Nieren geprüft werden. Eine solche Überprüfung muss mindestens einmal jährlich durchgeführt und entsprechend dokumentiert werden. Die Durchführung von Präventions-, Erkennungs-, Reaktions- und Wiederherstellungstests sind unabdingbar, um alle Schwachstellen, Mängel oder Lücken umfassend zu beheben (Art. 21 Abs. 5).

Als wichtigste Instrumente für die Prüfung der digitalen Betriebsstabilität sind folgende zu benennen (Art. 22):

  • Bewertungen und Überprüfungen der Anfälligkeit
  • Analysen von Open-Source-Software
  • Bewertungen der Netzsicherheit
  • Lückenanalysen
  • Analysen der physischen Sicherheit
  • Überprüfungen der physischen Sicherheit
  • Fragebögen und Scansoftwarelösungen
  • Quellcodeprüfungen, soweit durchführbar
  • szenariobasierte Tests
  • Kompatibilitätstests
  • Leistungstests
  • End-to-End-Tests
  • bedrohungsgesteuerte Penetrationstests


Wie anspruchsvoll die Belastbarkeitstests sein müssen, hängt maßgeblich von der Größe des Geschäfts- und Risikoprofils eines jeden Finanzunternehmens ab.
Besonders hohe Anforderungen für die Prüfungen der digitalen Betriebsstabilität gelten für bedeutende Institute im Zahlungsverkehr, zum Beispiel große Kreditinstitute, große Zahlungsinstitute und große E-Geld-Institute. Dies gilt auch für Teilsektoren, die eine zentrale Rolle im Zahlungsverkehr, im Bankenwesen, im Clearing und in der Abrechnung spielen. 

Risiken durch IKT-Drittanbieter
Einen besonderen Fokus legt DORA auf die EU-Aufsicht über sogenannte IKT-Drittanbieter und das damit einhergehende IKT-Drittrisiko. Die Auslagerung von digitalen Funktionen spielt heutzutage eine wichtige Rolle in der IKT-Strategie von Finanzunternehmen. Hier kommen die IKT-Drittanbieter ins Spiel. Sie offerieren den Finanzunternehmen die Bereitstellung von Speicherplatz oder Rechnerleistung (Infrastructure as a Service) bis hin zur Bereitstellung von Softwareapplikationen (Platform as a Service).
Auslagerungen können nur dann funktionieren, wenn die Finanzinstitute die Untervergabeprozesse vollwertig überwachen und kontrollieren können. Finanzunternehmen, die IKT-Dienstleistungen von IKT-Drittanbietern in Anspruch nehmen, sind dafür verantwortlich, dass sich diese an die DORA-Verordnung halten (Art. 25 Abs. 1). Stellt ein Finanzunternehmen indes fest, dass der IKT-Drittanbieter bei der Erbringung von IT-Dienstleistungen gegen geltende Gesetze, Verordnungen oder Vertragsbedingungen verstößt, muss diesem gekündigt werden (Art. 25 Abs. 8). Die Finanzunternehmen müssen Ausstiegsstrategien einrichten, um mit Ausfällen von IKT-Drittanbieter umgehen zu können. Die Vertragskündigung darf der Einhaltung regulatorischer Anforderungen nicht zuwiderlaufen oder die angebotenen Dienstleistungen qualitativ beeinträchtigen (Art. 25 Abs. 9).
Zusammenfassend kann man konstatieren, dass DORA darauf abzielt, dass ein EU-Aufsichtsrahmen für "kritische" IKT-Drittanbieter geschaffen werden soll (Art. 28 Abs. 1). DORA räumt dem Finanzunternehmen das Recht ein, die zu erbringenden Leistungen des IKT-Drittanbieters vollumfänglich zu überwachen (Art. 27 Abs. 2). Dabei können die zuständigen Finanzaufsichtsbehörden die Finanzunternehmen zwingen, ihre Verträge mit IKT-Drittanbietern vorübergehend teilweise oder vollständig auszusetzen, bis die Risiken beseitigt sind. Behörden können von Finanzunternehmen erforderlichenfalls verlangen, die einschlägigen vertraglichen Vereinbarungen, die mit kritischen IKT-Drittanbietern geschlossen wurden, ganz oder teilweise zu kündigen (Art. 37 Abs. 3).
Vor Vertragsschluss mit einem IKT-Drittanbieter müssen Banken und Finanzdienstleister prüfen, ob der jeweilige IT-Lieferant als kritischer Anbieter einzustufen ist oder ob dieser wichtige digitale Funktionen abdeckt. Banken und Finanzdienstleister sollten überprüfen, ob ihr IKT-Drittanbieter ersetzbar ist oder ob mehrere Verträge mit diesem abgeschlossen werden (Art. 25 Abs. 5). Die Beurteilung dieser Kriterien ist insofern wichtig, als dass Finanzunternehmen keine vertraglichen Beziehungen zu kritischen IKT-Drittanbietern unterhalten dürfen, die ihren Sitz außerhalb der EU haben und somit nicht in der EU niedergelassen sind (Art. 28 Abs. 9).

Quelle der Abbildung: EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Autoren:
Salar Hydary (Bachelor of Laws/ Werkstudent PPI AG, Consulting Payments, Bereich Regulierung Zahlungsverkehr)
Judith Petersen (Senior Manager PPI AG, Consulting Payments, Leitung Bereich Regulierung Zahlungsverkehr)