Anna Muri, Spezialistin IT-Risiko-Aufsicht, Bankenaufsicht, österreichische Finanzmarktaufsicht
IT-Risiken im Finanzsektor sind in den letzten Jahren vor allem durch das Fortschreiten der Digitalisierung deutlich gestiegen. Um dieser Entwicklung Rechnung zu tragen, hat der Europäische Gesetzgeber hat einen Vorschlag für eine Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) veröffentlicht, der Teil des Europäischen Pakets zur Digitalisierung des Finanzsektors ist. Der Vorschlag wurde seither im Rahmen des europäischen Gesetzeswerdungsprozesses verhandelt und wird voraussichtlich im Laufe des Jahres 2023 in Kraft treten.
Ziele und Anwendungsbereich
Ziel der Verordnung ist die Verbesserung der Resilienz von Unternehmen im Finanzsektor gegen IT-Risiken und eine einheitliche, koordinierte Regulierung und Beaufsichtigung in diesem Bereich. Erstmals werden in einer europäischen Verordnung detaillierte und umfassende Regelungen zur digitalen Betriebsstabilität festgelegt.
Hauptpunkte des Verordnungsentwurfs sind
- Anforderungen an die IT-Risiko-Governance,
- Anforderungen an das IT-Risikomanagement,
- Meldung IT-bezogener Vorfälle,
- Die Prüfung der digitalen Betriebsstabilität,
- Risiken durch IT-Drittanbieter (IT-Provider) und deren künftige Überwachung.
Der Anwendungsbereich ist ein sehr breiter; u. a. sind die folgenden Kategorien von Unternehmen erfasst (Art und Umfang der Anwendbarkeit noch nicht final):
- Kreditinstitute,
- Zahlungsinstitute,
- E-Geld-Institute,
- Wertpapierfirmen sowie
- Versicherungsunternehmen.
Wesentliche Inhalte
Die Regelungen im Bereich Anforderungen an die IT-Governance sowie das IT-Risikomanagement ähneln im Wesentlichen jenen der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken. Größter Unterschied ist hier die Rechtsqualität des gegenständlichen Entwurfs: Die Verordnung ist direkt anwendbares Recht und braucht – anders als dies bei EBA-Leitlinien der Fall ist – keine weitere nationale Norm zur Rechtsdurchsetzung. Dieser Umstand bewirkt eine größtmögliche europäische Harmonisierung und die Sicherstellung eines Level-Playing-Fields.
Hinsichtlich der Meldung schwerwiegender IKT-bezogener Vorfälle ist zu erwarten, dass die geplante Bestimmung sämtliche national bestehenden Regelungen zur Meldung von schwerwiegenden Betriebs- und Sicherheitsvorfällen obsolet machen bzw. vereinheitlichen wird. Der DORA-Entwurf sieht vor, dass die Europäischen Finanzaufsichtsbehörden (EBA, ESMA und EIPOA) gemeinsam technische Regulierungsstandards im Hinblick auf Details zu den Meldungen entwerfen. Nach Art. 19 des DORA-Entwurfs soll die Durchführbarkeit einer Zentralisierung der Vorfallsmeldungen bewertet und geprüft werden.
Die Prüfung der digitalen Betriebsstabilität ist eine der größten Neuerungen, die der DORA-Entwurf mit sich bringt.
Unter Berücksichtigung des Proportionalitätsprinzips haben alle Unternehmen im Anwendungsbereich von DORA ein Programm zur Überprüfung der Resilienz gegen IT-bezogene Vorfälle zu implementieren (Art. 21 DORA-Entwurf). Zusätzlich zu dieser generellen Verpflichtung, im Rahmen des Risikomanagements die digitale Betriebsstabilität zu testen, sieht Art. 23 des DORA-Entwurfs vor, dass Unternehmen, die von der Aufsicht ausgewählt werden, mindestens alle drei Jahre sog. bedrohungsorientierte Penetrationstests durchführen. Die EZB hat im Jahr 2018 ein Rahmenwerk für derartige Übungen veröffentlicht (TIBER-EU), das bereits in einigen Mitgliedstaaten umgesetzt wurde (für Details siehe www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html). DORA wird möglicherweise auf dieses EZB-Rahmenwerk referenzieren; Modus und weitere Details werden jedoch erst nach Inkrafttreten von DORA in technischen Regulierungsstandards durch die Europäischen Finanzaufsichtsbehörden in Abstimmung mit der EZB ausformuliert werden. Die Bestimmungen zur Prüfung der digitalen Betriebsstabilität werden voraussichtlich erst nach einer noch zu definierenden Übergangsfrist in Kraft treten.
In Kapitel V des DORA-Entwurfs wird die Steuerung des Risikos durch IKT-Drittanbieter behandelt. Hier wird zunächst festgelegt, dass Finanzunternehmen besonderes Augenmerk auf die Steuerung von Risiken zu legen haben, die sich durch die Verwendung von IT-Drittanbietern ergeben. Hierbei werden u. a. Vorgaben zur Bewertung des Konzentrationsrisikos und zu vertraglichen Vereinbarungen gemacht (siehe Art. 25–27 DORA-Entwurf). Ein Paradigmenwechsel i. Z. m. IT-Drittanbietern findet sich sodann in Art. 28 ff. des DORA-Entwurfs: Es wir darin ein Aufsichtsrahmen für kritische IT-Drittanbieter geschaffen. Die Europäischen Finanzaufsichtsbehörden haben in Zukunft kritische IT-Drittanbieter zu benennen, die dann über ein einzurichtendes Aufsichtsforum beaufsichtigt werden. Jedem kritischen Dienstleister wird dazu eine federführende Aufsichtsinstanz (eine der drei Europäischen Finanzaufsichtsbehörden) zugeteilt. Die Befugnisse dieser Aufsichtsinstanzen, die operativ über spezielle Untersuchungsteams tätig werden, werden voraussichtlich in der Durchführung von Untersuchungen und Vor-Ort-Prüfungen sowie Abgaben von Empfehlungen und der Ablehnung von vertraglichen Vereinbarungen zwischen Finanzunternehmen und kritischen Dienstleistern liegen. Zur Rechtsdurchsetzung ist die Möglichkeit der Verhängung von Zwangsgeldern vorgesehen (siehe Art. 31 DORA-Entwurf).
Das genaue Datum des Inkrafttretens von DORA ist noch nicht bekannt, es ist jedoch zu erwarten, dass die Verordnung erst 2023 in Kraft treten wird.
PRAXISTIPPS
- IT-Risiken im Finanzsektor befinden sich seit Jahren im Anstieg; besonderes Augenmerk sollte daher auf IT-Risikomanagement und IT-Governance gelegt werden.
- Das Management von IT-Risiken ist kosten- und ressourcenintensiv. Dieser Umstand sollte sich in Budget-Überlegungen widerspiegeln.
- Es ist zu erwarten, dass die Aufsicht über IT-Risiken in den nächsten Jahren weiter intensiviert werden wird.
Beitragsnummer: 20604