Digital Operational Resilience Act (DORA): Verbindliche Maßnahmen bis Januar 2025.
Es ist bekannt, dass der Finanzsektor am stärksten von Cyberkriminalität betroffen ist und besonders anfällig für Angriffe ist.
Ein Risiko, das durch die Veränderungen im Bankensektor, neue digitale Initiativen und digitale Währungen, die jetzt bei vielen Transaktionen verwendet werden, exponentiell gestiegen ist.
Deshalb hielten es die Institutionen selbst für notwendig, ein zunehmend komplexes und risikoreiches Thema mit geeigneten Maßnahmen zu regulieren.
An vorderster Front steht dabei einmal mehr dieEuropäische Union, die den DORA (Digital Operational Resilience Act) erlassen hat, mit dem Ziel, das IKT-Risikomanagement im Finanzdienstleistungssektor umfassend zu behandeln und die bestehenden IKT-Risikomanagementvorschriften in den einzelnen EU-Mitgliedstaaten zu harmonisieren.
Mit der DORA-Verordnung will die EU einen universellen Rahmen für das IKT-Risikomanagement und die Risikominderung im Finanzsektor schaffen.
Ziel ist es, Lücken, Überschneidungen und Konflikte zu beseitigen, die zwischen den verschiedenen Vorschriften in den einzelnen EU-Ländern entstehen könnten, indem die Regeln für das Risikomanagement europaweit harmonisiert werden.
In der Tat kann ein gemeinsamer Satz von Standards die Einhaltung der Vorschriften durch die Finanzunternehmen erleichtern und gleichzeitig die Widerstandsfähigkeit des gesamten europäischen Finanzsystems verbessern, indem sichergestellt wird, dass alle Akteure dieselben Standards einhalten.
Eine Maßnahme, die erstmals im September 2020 von der Europäischen Kommission vorgeschlagen wurde und Teil eines umfassenderen Pakets zur digitalen Finanzierung ist, das auch Initiativen zur Regulierung von Kryptowährungen und zur Verbesserung der Gesamtstrategie der EU für digitale Finanzen umfasst.
Der Rat der Europäischen Union und das Europäische Parlament haben DORA im November 2022 formell verabschiedet, am 27. Dezember 2022 wurde es im Amtsblatt veröffentlicht und am 16. Januar 2023 trat es in Kraft.
Finanzunternehmen und Drittanbieter von IKT-Dienstleistungen haben bis zum 17. Januar 2025 Zeit, um die Anforderungen zu erfüllen, denn dann wird die Verordnung verbindlich.
Die DORA-Verordnung gilt für alle Finanzinstitute in der EU, einschließlich traditioneller Finanzunternehmen wie Banken, Wertpapierfirmen und Kreditinstitute sowie nicht-traditioneller Unternehmen wie Kryptowährungsdienstleister und Crowdfunding-Plattformen, Cloud-Service-Anbieter und Rechenzentren.
Unternehmen, die wichtige Informationsdienste für Dritte anbieten, wie Rating- und Datenanalysedienste, sind ebenfalls von der Verordnung betroffen.
Nach der Frist im Januar 2025 werden die benannten Regulierungsbehörden in jedem Mitgliedstaat für die Umsetzung zuständig sein. Diese zuständigen Behörden werden in der Lage sein, Finanzunternehmen zu verpflichten, bestimmte Sicherheitsmaßnahmen zu ergreifen und etwaige Schwachstellen zu beheben. Sie werden auch in der Lage sein, verwaltungsrechtliche und in einigen Fällen auch strafrechtliche Sanktionen gegen Unternehmen zu verhängen, die die Vorschriften nicht einhalten. Die Sanktionen werden von jedem einzelnen Mitgliedstaat festgelegt und können bis zu 1 % des durchschnittlichen täglichen Gesamtumsatzes betragen, den das sanktionierte Unternehmen im Vorjahr erzielt hat.
Geldbußen können täglich bis zu sechs Monate lang verhängt werden, bis der Lieferant die Vorschriften vollständig erfüllt.
Die 6 Säulen der Verordnung
Die Maßnahmen in DORA sind in 6 Hauptbereiche unterteilt, die für Unternehmen und Organisationen unverzichtbare Punkte zur Verbesserung oder Umsetzung sein sollen:
- IKT-Governance.
Ziel ist es, eine bessere Abstimmung der IKT-Risikomanagementstrategien der Finanzinstitute zu fördern. Der Vorstand wird eine Schlüsselrolle bei der Zuweisung von Verantwortlichkeiten und Rollen für alle IKT-Funktionen, der Kontrolle und Überwachung des IKT-Risikomanagements und schließlich der angemessenen Zuweisung von IKT-Investitionen und -Schulungen spielen; - IKT-Risikomanagement.
In diesem Zusammenhang geht es darum, die Regeln für das IKT-Risikomanagement zu verbessern und zu harmonisieren. Finanzinstitute müssen durch die Identifizierung von IKT-Risiken, die Bereitstellung von Schutz- und Vorbeugungsmaßnahmen, die Erkennung von Bedrohungen, das Management von Zwischenfällen, die Umsetzung von Business-Continuity-Strategien und Disaster-Recovery-Plänen widerstandsfähige IKT-Instrumente und -Systeme einrichten und pflegen; - Störungsmanagement.
Sie sieht besondere Verpflichtungen für das IKT-Vorfallmanagement vor. Die Unternehmen des Sektors müssen ein Kartierungssystem einführen, in dem die verschiedenen Vorfälle auf der Grundlage von Kriterien klassifiziert werden, die in der Verordnung beschrieben und von den ESAs (Europäische Aufsichtsbehörden) weiter definiert werden, um Wesentlichkeitsschwellen festzulegen; - Resilienz-Tests.
Dies ist die größte Neuerung, denn es wird festgelegt, dass Finanzunternehmen regelmäßig getestet werden müssen, um ihren Reifegrad zu ermitteln, Schwachstellen zu identifizieren und mögliche Korrekturmaßnahmen zu definieren. Eine Maßnahme, die das Ziel der Regulierungsbehörde unterstreicht, einen proaktiven Ansatz zu verfolgen, der sich nicht auf ‚reaktive‘ Korrekturmaßnahmen beschränkt. In diesem Stadium sollten Penetrationstests und allgemeinerRed-Teaming-Aktivitäten nur von autorisierten und entsprechend zertifizierten Personen durchgeführt werden. In diesem Zusammenhang kann das von der Europäischen Gemeinschaft zur Verfügung gestellte Rahmenwerk, d.h. TIBER EU, das in Italien als TIBER IT umgesetzt wurde und auch von der Bank von Italien, Consob und IVASS übernommen wurde, für die Durchführung dieser Tests verwendet werden. - Risiken durch Dritte.
Für diesen Bereich legt die Regulierungsbehörde fest, dass die verschiedenen Einrichtungen die Einhaltung von Standards für die Überwachung von IKT-Risiken, die von Dritten ausgehen, gewährleisten und die wesentlichen Elemente der Dienstleistung in allen Phasen des Vertragsabschlusses, der Ausführung, der Beendigung und der nachvertraglichen Phase harmonisieren müssen; - Informationsaustausch.
Hier geht es darum, den Mangel an Kommunikation zwischen den verschiedenen Einrichtungen innerhalb der Europäischen Gemeinschaft auszugleichen. Finanzorganisationen dürfen nämlich Vereinbarungen zum Austausch von Informationen und Daten über Cyber-Bedrohungen treffen, um die Zusammenarbeit zwischen den Mitgliedstaaten zu stärken.
Nach dem 17. Januar 2025 müssen daher alle Beteiligten bestimmte technische und organisatorische Maßnahmen ergreifen.
Insbesondere sind die beteiligten Finanzinstitute aufgefordert, ein IKT-Risikomanagementverfahren einzuführen, mit dem Ziel, Cyberrisiken präventiv zu erkennen und die Auswirkungen von Cybervorfällen zu minimieren.
Diese Last wird dem Leitungsorgan des Unternehmens aufgebürdet, das aufgefordert wird, die „volle und letzte Verantwortung“ zu übernehmen:
- IKT-Risikomanagement;
- die Definition und Genehmigung der Strategie für die digitale operationelle Widerstandsfähigkeit;
- die Überprüfung und Genehmigung der Politik des Unternehmens in Bezug auf die Beauftragung von Drittanbietern für IKT-Dienstleistungen.
Alle Akteure, die unter die DORA-Verordnung fallen, müssen sich daher auf deren Umsetzung bis Januar 2025 vorbereiten, indem sie ihre Verfahren zur Meldung von Vorfällen im Einklang mit den neuen Maßnahmen entwickeln oder aktualisieren. Es handelt sich dabei um eine Reihe von Aufgaben, die Finanzunternehmen erfüllen müssen, um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu gewährleisten, und die ein zusätzliches Wissensgebiet darstellen, das erworben und verwaltet werden muss.
Große Bedeutung kommt dabei der Schulung und Sensibilisierung zu, die die verschiedenen Finanzinstitute systematisch einführen müssen.
Gemäß Punkt 6 des grundlegenden Artikels 13 der Verordnung muss es obligatorische Schulungsmodule für das Personal zum Thema IKT-Sicherheit geben.
Diese Schulungsprogramme müssen für alle Angestellten und Führungskräfte gelten und einen Grad an Komplexität aufweisen, der dem Mandat der jeweiligen Funktion angemessen ist. Erforderlichenfalls müssen die Finanzinstitute auch Drittanbieter von IKT-Dienstleistungen in ihre Schulungsprogramme einbeziehen.
Die Schulung ist daher eine Säule dieser neuen Gesetzgebung, die nicht nur notwendig ist, um die Beteiligten in Sachen IT-Sicherheit unangreifbar zu machen, sondern auch, um unangenehme Sanktionen zu vermeiden.
