Freitag, 13. Januar 2023

DORA – EU macht nächsten Schritt zur verpflichtenden Umsetzung

Der am 27.12.2022 im Amtsblatt der EU veröffentlichte DORA tritt Mitte Januar 2023 in Kraft. Geltung entfaltet die Verordnung ab dem 17.01.2025

Marcus Michel, Vorstand FCH Gruppe AG

Die EU meint es ernst mit ihrer Strategie für ein digitales Finanzwesen

Die Europäischen Union („EU“) stellt mit dem Digital Operational Resilience Act („DORA“) europaweite Sicherheitsanforderungen auf, um den Einsatz von Informations- und Kommunikationstechnologien im Finanzsektor zu regulieren. Der DORA verpflichtet nicht nur Finanzunternehmen, sondern auch alle IT-Dienstleister, die im Finanzsektor tätig sind. Die Verordnung soll die Digitalisierung fördern und gleichzeitig die Stabilität und Resilienz der Finanzmärkte sichern.

Aus der wachsenden Abhängigkeit von Finanzunternehmen von Informations- und Kommunikationstechnologien („IKT“) folgen erhebliche Herausforderungen für die Betriebsstabilität und Leistungsfähigkeit der einzelnen Akteure sowie des Finanzsystems der EU insgesamt („IKT-Risiken“). Der Finanzsektor und die Gesellschaft sind hierdurch anfälliger für Cyberbedrohungen oder IKT-Störungen. 

Der DORA soll als erstes europäisches Regelwerk diesen Gefahren entgegenwirken und einen detaillierten, einheitlichen und umfassenden Regelungsrahmen für alle Finanzunternehmen für die digitale Betriebsstabilität und Resilienz von EU-Finanzunternehmen schaffen. Die Verordnung gilt dementsprechend für sämtliche Akteure des Finanzsektors.

Die Verordnung zielt zunächst auf eine Verbesserung des IKT-Risikomanagements von Finanzunternehmen ab und stellt zahlreiche Vorkehrungen in personeller, technischer sowie physischer Hinsicht sowie gründliche interne und externe Prüfmechanismen auf: Neben internen Governance- und Kontrollmechanismen, die eine umsichtige Steuerung von IKT-Risiken ermöglichen, bedarf es eines umfassenden Risikomanagementrahmens, also Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokollen und IKT-Tools, die die digitale Resilienz sicherstellen und laufend überwachen. Die Gesamtverantwortung für die Cybersicherheit wird ausdrücklich der Geschäftsleitung auferlegt. 

Finanzunternehmen trifft nach der Verordnung zudem die Pflicht, Verfahren und Prozesse einzurichten, um alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen zu überwachen, zu erfassen und weiterzuverfolgen, um sicherzustellen, dass die Ursachen ermittelt, dokumentiert und angegangen werden. Eine bedeutende Neuerung ist zudem die Schaffung eines Mechanismus für die Meldung von schwerwiegenden IKT-Vorfällen, der dazu beitragen soll, den Verwaltungsaufwand für Finanzunternehmen zu verringern und deren Beaufsichtigung durch die zuständigen nationalen Behörden wirksamer zu machen. 

Auslagerung an IT-Dienstleister (IKT) im besonderen Fokus

Der DORA adressiert schließlich das spezifische Risiko, das sich aus der Inanspruchnahme von IKT-Diensten von externen Drittunternehmen („IKT-Drittdienstleister“) ergibt („IKT-Drittparteienrisiko“). Hierfür sieht die Verordnung eine Vielzahl von Pflichten der Finanzunternehmen vor bei Abschluss, Erfüllung und Beendigung von Verträgen mit IKT-Drittdienstleistern. 

Ein Novum ist das Überwachungs- und Aufsichtsregime für solche IKT-Drittdienstleister, die aufgrund ihrer Größe und Systemrelevanz u. a. von der Europäischen Bankenaufsichtsbehörde („EBA“) als „kritische IKT-Drittdienstleister“ eingestuft werden. Hintergrund sind die Finanzstabilitätsrisiken, die von der Nutzung von Big-Techs durch eine Vielzahl von Finanzunternehmen ausgehen können. Der DORA schafft erstmalig eigenständige Überwachungs- und Prüfungsbefugnisse der EBA unmittelbar gegenüber externen IT-Dienstleistern

PRAXISTIPPS

  • Finanzunternehmen und deren IT-Dienstleister sollten sich frühzeitig mit dem neuen Regelwerk vertraut machen.
  • Finanzunternehmen müssen sich auf Abstimmungs-, Schulungs- und Implementierungsaufwände einstellen. 
  • Die Einrichtung von Verfahren zur Befolgung der Meldepflichten stellt für zahlreiche Finanzunternehmen ein Novum dar. 
  • Auch IT-Dienstleistern, die in der Finanzbranche tätig sind, ist zu empfehlen, ihre Prozesse, Systeme und Verfahren darauf zu überprüfen, ob sie den Anforderungen zur Steuerung von IKT-Risiken, die sie für Finanzunternehmen mit sich bringen müssen, entsprechen.

Beitragsnummer: 21964

Beitrag teilen:

Produkte zum Thema:

Produkticon
IT-Anforderungen für die Interne Revision in Kreditinstituten

329,00 € exkl. 19 %

16.02.2023

Produkticon
Fit & Proper Individual – Qualifizierung Leitungsorgan

Beiträge zum Thema:

Beitragsicon
Digital Operational Resilience Act (DORA): Cybersicherheit – ein Muss

Finanzsystem-Teilnehmer werden zu Sicherheitsvorkehrungen verpflichtet, um Cyber-Angriffe und andere IKT-Risiken einzudämmen

20.06.2022

Beitragsicon
Prüfung der Umsetzung der BAIT 2021

In diesem Beitrag werden praxisorientierte Prüfungsansätze für die Interne Revision aufgezeigt, um die komplexen Anforderungen der BAIT effizient zu prüfen.

26.08.2022

Beitragsicon
Prüfung des Internen Kontrollsystems durch die Interne Revision

Möglicher Lösungsansatz zu der Frage: „Wie lässt sich das Sachgebiet prüfen, wenn die Interne Revision doch selbst ein Teil davon ist?“

17.01.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.