Resilienz im Fokus: Der DORA im Kurzprofil

Pia Streicher, Senior Consultant & Topic Lead, IT-Security, ADWEKO Consulting GmbH

In den vergangenen Jahren hat die Cybersicherheit zunehmend an Bedeutung gewonnen. Eine Entwicklung, die durch beständig steigende Digitalisierung, auch aufgrund der COVID-19-Pandemie im Jahr 2020 und durch die aktuelle geopolitische Situation weiter vorangetrieben wurde und wird. Im jüngsten Lagebericht des Bundesamts für Sicherheit in der Informationstechnik zur IT-Sicherheit in Deutschland[1] wird die Bedrohung als „so hoch wie nie zuvor“ eingeschätzt. Nicht nur national steigt der Bedarf nach Sicherheitsmaßnahmen und Resilienz, auch die Europäische Bankenaufsichtsbehörde setzt diese Themen in ihrem Arbeitsprogramm für 2024[2] auf die aufsichtliche Agenda.

Steigerung der Cyberresilienz auf Institutsebene und im europäischen Finanzsystem

Mit dem Digital Operational Resilience Act (DORA) hat es sich der europäische Gesetzgeber zum Ziel gemacht, die Resilienz von Instituten und dem gesamten Finanzsystem zu verbessern.

In der DORA-Verordnung[3] trifft der Gesetzgeber Regelungen im Kontext der Nutzung von Informations- und Kommunikationstechnologien (IKT). Diese Vorgaben werden durch die DORA-Richtlinie[4] ergänzt, die notwendige Veränderungen an bestehenden Richtlinien vorgibt. Davon betroffen ist u.a. die Kapitaladäquanzrichtlinie CRD IV[5]. 

Aufwandstreiber für Finanzunternehmen sind in erster Linie die Vorgaben der DORA-Verordnung, die ab Januar 2025 gelten werden.

Regelungsinhalte der DORA-Verordnung

Die Regelungsinhalte der Verordnung sind überwiegend heute schon in die Regulierung eingebunden, werden aber auf ein gesetzliches Level angehoben und spezifiziert. Dazu ist die Verordnung in neun Kapitel untergliedert, die sich schwerpunktmäßig den folgenden Themen widmen:

1. IKT-Risikomanagement (insb. Kapitel II)
2. IKT-Bedrohungs- und IKT Incident Management (insb. Kapitel III)
3. IKT-Krisen- und IKT-Notfallmanagement (insb. Kapitel III)
4. IKT-Testmanagement und bedrohungsorientierte Penetrationstests (insb. Kapitel IV)
5. IKT-Dienstleistersteuerung und -risiken (insb. Kapitel V)
6. Informationsaustausch zu IKT-Bedrohungen (insb. Kapitel VI) 

Neu ist dabei vor allem, dass Dienstleister mit einer systemischen Relevanz (sog. kritische IKT-Drittdienstleister) direkt unter die Überwachung der Finanzaufsichtsbehörden gestellt werden. Sie unterliegen damit zwar keiner Aufsicht, es bestehen aber dennoch einige Durchgriffsmöglichkeiten der Aufsichtsbehörden auf solche Dienstleister.

Die in der Verordnung aufgegriffenen Anforderungen werden in sog. Level 2-Rechtsakten (delegierten Rechtsakten) mit weiteren Details unterlegt. Diese Rechtsakte werden in zwei Wellen adressiert. Die erste Welle wurde bereits im Entwurf zur Konsultation gestellt und ist im Januar 2024 für die finale Veröffentlichung geplant. Die zweite Welle soll bis Ende 2023 als Entwurf erscheinen und im Juli 2024 final veröffentlicht werden.

In der ersten Welle werden folgende Inhalte adressiert[6]:

1. IKT-Risikomanagementrahmen und vereinfachter IKT-Risikomanagementrahmen (Art. 15, 16 Abs. 3 DORA)
2. Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3 DORA)
3. Informationsregister (Art. 28 Abs. 9 DORA)
4. Leitlinie zum Bezug von kritischen und wichtigen IKT-Dienstleistungen (Art. 28 Abs. 10 DORA)

Die zweite Welle greift folgende Themen auf[7]: 

1. Bestimmung der aggregierten Kosten und Verluste bei IKT-bezogenen Vorfällen (Art. 11 Abs. 1 DORA)
2. Melden von bedeutenden IKT-bezogenen Vorfällen (Art. 20 lit. a), b) DORA)
3. Zentralisierung des Incident Reportings (Art. 21 DORA)
4. Spezifikation bedrohungsorientierter Penetrationstests (Art. 26 Abs.1 DORA)
5. Identifikation kritischer und wichtiger IKT-Dienstleistungen (Art. 30 Abs. 5 DORA)

Auf nationaler Ebene werden sich diese Neuregelungen auch in den Mindestanforderungen an das Risikomanagement (MaRisk) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) wiederfinden. Die Veröffentlichung dieser Vorgaben ist allerdings erst nach dem Geltungsbeginn der DORA für Mitte 2025 geplant[8].

Die Implementierung von DORA

Wie im regulatorischen Umfeld üblich liegen zwischen der geplanten finalen Veröffentlichung aller relevanten aufsichtsrechtlichen Anforderungen und dem Ende des Umsetzungszeitraums nur wenige Monate. Dies hat zur Folge, dass eine Umsetzung schon vor der Finalisierung der regulatorischen Anforderungen beginnen sollte und im Idealfall schon begonnen hat. 

Klassischerweise bietet sich hier eine Gap-Analyse zwischen dem aktuellen Zustand und dem Zielbild an, die Handlungsbedarfe aufzeigt. Diese können dann geplant und umgesetzt werden. Diverse Inhalte der ersten veröffentlichten Dokumente wurden im Rahmen der Konsultation kontrovers diskutiert[9], sodass eine vollständige Implementierung zu diesem Zeitpunkt noch verfrüht erscheint. Dennoch ist es empfehlenswert, sich bereits jetzt mit den Inhalten der delegierten Rechtsakte vertraut zu machen und diese in der Umsetzung einzuplanen. Mit der Veröffentlichung der ersten finalen Version und der zweiten Welle an Entwürfen kann dann mit der inhaltlichen Umsetzung dieser Themen begonnen werden.

PRAXISTIPPS 

• Mit DORA werden keine neuen Themenbereiche definiert, sondern in erster Linie bekannte Anforderungen genauer geregelt. Dementsprechend kann bei der Umsetzung auf Bestehendes aufgesetzt werden.
• Zwischen der Finalisierung aller Regelungen und dem Geltungsbeginn ist nicht viel Zeit. Es empfiehlt sich, die Regelungsinhalte zeitnah zu sichten, mögliche Handlungsfelder zu identifizieren und ihre Umsetzung einzuplanen. 
• Nutzen Sie kostenfreie Ressourcen zur Einarbeitung in die DORA-Themen. Unter anderem hat die Bundesanstalt für Finanzdienstleistungsaufsicht eine Webseite[10] eingerichtet, auf der sich die wesentlichen Informationen finden. Darüber hinaus veröffentlichen diverse Beratungshäuser oft kostenfreie Inhalte zum Einstieg.