Digital Operational Resilience Act (DORA)
Welche Anforderungen auf Banken und Versicherer zukommen
Die Anzahl von Cyberrisiken steigt, gleichzeitig werden Finanzunternehmen immer abhängiger von digitalen Technologien. Daher hat die Europäische Union Ende 2022 die EU-Verordnung DORA beschlossen. Sie harmonisiert die Sicherheits- und Resilienzpraktiken von Finanzunternehmen in der EU.
Wir zeigen in diesem Artikel, was DORA bedeutet und wen die Verordnung betrifft. Zudem geben wir einen Überblick, wie Unternehmen die Vorschriften umsetzen, um bei schwerwiegenden Vorfällen weiterhin den Betrieb und das Sicherheitsnetz ihrer Informationssysteme aufrechtzuerhalten.
Was ist DORA?
DORA steht für „Digital Operational Resilience Act“, befasst sich zu Deutsch also mit der digitalen operationalen Resilienz. Dabei handelt es sich um eine finanzsektorweite Regulierung auf EU-Ebene. Mit der Verordnung schafft die EU einheitliche Regelungen, wie Finanzmärkte – und so auch Banken und Versicherungen – das Thema Cybersicherheit angehen und IKT-Risiken (Informations- und Kommunikationstechnologie) minimieren. DORA verschärft somit die Regelungen beim Einsatz von IKT-Systemen.
Unverzichtbarer Leitfaden für die Modernisierung von Altsystemen im Banken-, Versicherungs- und Finanzsektor
Wie Sie mithilfe eines ECM-Systems ein schlankes, zukunftssicheres und digitales Unternehmen aufbauen und welche Rolle künstliche Intelligenz dabei spielt.
Jetzt Whitepaper lesenWelche Richtlinien beinhaltet DORA?
Die Richtlinien von DORA sind vor allem präventiver Natur. So möchte die EU Unternehmen auf gestiegene Cyberrisiken am Finanzmarkt vorbereiten. Wenn Vorfälle eintreten, sollen Finanzunternehmen durch die DORA-Regelungen besser und vor allem effektiv reagieren können.
Durch die fortschreitende Digitalisierung haben sich in den letzten Jahren die Risiken vermehrt. Sie entstehen im Rahmen der verwendeten IKT-Systeme beziehungsweise -Technologien. Genau von diesen Technologien sind Finanzunternehmen häufig abhängig, da sie diese von IKT-Drittdienstleistern beziehen.
Deshalb setzt DORA verbindliche Anforderungen für Unternehmen am Finanzmarkt hinsichtlich ihrer IKT-Strategien und Zusammenarbeit mit IKT-Unternehmen sowie IKT-Dienstleistern.
Strategien im IKT-Risikomanagement erarbeiten
Mit DORA fordert die EU Banken und Versicherungen sowie weitere Organisationen im Finanzsektor auf, Strategien zur digitalen Resilienz zu erarbeiten. Die Strategien dienen als Rahmenwerk und orientieren sich an den Anforderungen internationaler Standards an das IKT-Risikomanagement. Im IKT-Risikomanagement halten die Finanzunternehmen klare Ziele für die Informationssicherheit fest.
Schwerwiegende IKT-bezogene Vorfälle melden
Finanzunternehmen sind dazu verpflichtet, IKT-Vorfälle zu klassifizieren und zu melden. Als Teil des IKT-Risikomanagementrahmens sieht DORA Kommunikationspläne für Finanzunternehmen vor. Diese sind bei Bedarf offenzulegen, in jedem Fall aber bei schwerwiegenden IKT-bezogenen Vorfällen.
Risiken testen und austauschen
Im gleichen Zuge verpflichtet die EU bestimmte Finanzunternehmen, regelmäßige und unabhängige Tests zu IKT-Vorfällen in Bezug auf die Cybersicherheit durchzuführen. Konkret handelt es sich hier um digitale betriebliche Resilienztests.
Das Testen dient Finanzunternehmen und den Aufsichtsbehörden zu Beobachtungszwecken. Quellcodetests, Performancetests oder Threat-Led-Penetration-Tests zeigen, ob das Ziel der digitalen operationalen Resilienz erreicht ist. Sie sind fester Bestandteil des Risikomanagements.
Um IKT-Risiken im Allgemeinen zu reduzieren, regelt DORA zudem, wie sich Unternehmen innerhalb vertrauenswürdiger Finanzgemeinschaften freiwillig zu IKT-Risiken austauschen können.
Mit IKT-Drittanbietern zusammenarbeiten
Arbeiten Finanzunternehmen mit IKT-Drittanbietern zusammen, betreffen die Maßnahmen auch IKT-Unternehmen. Es sind Informationsregister über die Vertragsbeziehungen zu pflegen und Szenarien zur Vertragsbeendigung zu erarbeiten. In den Fokus treten zudem Strategien, mit denen die kooperierenden Unternehmen Risiken vorbeugen und diese bewältigen. Kurz gesagt: DORA setzt Standards, wie Finanzunternehmen IKT-Services von Drittanbietern nutzen.
Wen betrifft DORA?
DORA betrifft europaweit Unternehmen, die im Finanzsektor arbeiten oder IKT-Dienstleistungen für Unternehmen im europäischen Finanzsektor umsetzen. In Deutschland gilt die DORA-Gesetzgebung für all jene Finanzunternehmen, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reguliert sind, darunter:
-
Banken
-
Versicherungs- und Rückversicherungsunternehmen
-
Traditionelle Zahlungsdienstleister
-
Anbieter von Krypto-Dienstleistungen
-
E-Geld-Institute
-
Kreditinstitute
-
Handelsplätze
-
Anbieter sonstiger Finanzdienstleistungen
-
Kontoinformationsdienstleister
-
Wertpapierfirmen
-
Investmentfonds und deren Verwaltungen
Das bedeutet DORA für IKT-Dienstleister
Die Bedeutung von DORA ist besonders für IKT-Dienstleister einschneidend. IKT-Unternehmen müssen die DORA-Gesetzgebung nun in ihre Prozesse implementieren und das unabhängig davon, ob sich ihr Firmensitz innerhalb oder außerhalb der EU befindet. Wenn sie innerhalb der EU mit Finanzunternehmen kooperieren, gelten die DORA-Anforderungen auch für sie.
Zusätzlich entsteht aus der Gesetzgebung ein neuer Aufsichtsrahmen für IKT-Dienstleister. Dieser beinhaltet unter anderem, dass die europäischen Aufsichtsbehörden fortan kritische IKT-Dienstleister beaufsichtigen. Das trägt maßgeblich dazu bei, die Regelungsanforderungen auf EU-Ebene zu harmonisieren.
Bis wann ist DORA umzusetzen?
Am 14. Dezember 2022 haben das Europäische Parlament und der Europäische Rat DORA, also die Verordnung (EU) 2022/2554 beschlossen. Zum 17. Januar 2023 ist sie als Teil des Pakets zur Digitalisierung des Finanzwesens offiziell in Kraft getreten. Im gleichen Zuge setzte die EU eine Umsetzungsfrist von 24 Monaten fest.
Angewendet wird DORA also erst ab dem 17. Januar 2025. Ab diesem Tag müssen Finanzunternehmen und im europäischen Finanzsektor tätige IKT-Unternehmen die Gesetze erfüllen.
Hintergrund zu DORA
Hinter DORA steht der Gedanke der Europäischen Kommission, eine digitale operationale Resilienz im Finanzsektor zu schaffen. Diese vier Hauptprobleme konkretisieren den Kerngedanken hinter DORA:
-
Zunahme schwerwiegender Cybervorfälle in Finanzunternehmen: DORA stärkt die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzsektor.
-
Regulatorische Fragmentierung im Umgang mit Cybersicherheitsfragen innerhalb der EU: DORA harmonisiert und standardisiert die Anforderungen für die digitale Betriebsfähigkeit und Cybersicherheit auf EU-Ebene.
-
Schwerwiegende Betriebsunterbrechungen im Zuge von Cyberattacken: DORA setzt Maßstäbe, damit Unternehmen besser auf Cyberrisiken vorbereitet sind und auf diese effektiv reagieren können.
-
Vertrauen in die Finanzbranche aufrechterhalten: DORA trägt dazu bei, dass Verbraucher und Investoren die Finanzbranche weiterhin für vertrauenswürdig halten und als sicher einstufen.
So setzt die EU DORA um
Seitdem die DORA-Verordnung in Kraft getreten ist, erarbeiten die Aufsichtsbehörden Entwürfe für technische Regulierungsstandards (RTS) und Implementierungsstandards (ITS).
Am 17. Januar 2024 wurden die finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards zu DORA veröffentlicht und von der Europäischen Kommission am 13. März 2024 angenommen. Zurzeit befinden sie sich in der dreimonatigen Prüfungsphase.
Mit Doxis EU-rechtskonform Prozesse steuern
Wie Sie die Anforderungen der EU-DSGVO an das Informationsmanagement erfüllen und wie die ECM-Plattform Doxis beim Datenschutz hilft.
Jetzt Broschüre lesenSo setzt Deutschland DORA um
Da es sich bei DORA um eine EU-Verordnung handelt, ist sie unmittelbar auch im nationalen Recht gültig. Im Rahmen der Digitalisierung des Finanzmarktes hat das Bundesministerium der Finanzen einen Regierungsentwurf vorgelegt. Geplant ist ein Finanzmarktdigitalisierungsgesetz (FinmadiG). Es fasst mehrere Gesetze zusammen, darunter auch das DORA-Paket.
Auf DORA vorbereiten und BaFin-konform zusammenarbeiten
Bis zum 17. Januar 2025 müssen die Regierung, die Aufsichtsbehörde BaFin und die Akteure im Finanzsektor den regulatorischen Rahmen von DORA erfüllen. Als IT-Dienstleister bereiten selbstverständlich auch wir uns auf DORA vor. Zudem kann ein ECM wie die Doxis Plattform wesentlich dazu beitragen, die Anforderungen von DORA zu erfüllen, indem sie die Verwaltung, Sicherheit und Kontinuität von Informationen und Prozessen in Finanzinstituten unterstützen.
Wie ein ECM-System dazu beiträgt, DORA-konform zu sein
Risikomanagement für IKT
Finanzinstitute müssen robuste Systeme und Kontrollen für das Management von IKT-Risiken implementieren. Das umfasst die Identifizierung, Bewertung und Minderung von Risiken. ECM-Systeme erleichtern die Verwaltung und Nachverfolgbarkeit von Risikomanagementdokumenten und -Prozessen. Durch Automatisierung und Protokollierung wird sichergestellt, dass alle Maßnahmen dokumentiert und überprüfbar sind.
- Compliance und Audits: ECM-Systeme können sicherstellen, dass alle notwendigen Dokumente und Aufzeichnungen wie Risikoanalysen, Bewertungen und Mitigationspläne ordnungsgemäß gespeichert und revisionssicher archiviert werden.
- Änderungen und Zugriffe auf Dokumente können mithilfe von Versionierung von Protokollierung lückenlos überwacht und für spätere Audits dokumentiert werden. Dadurch ist die Nachvollziehbarkeit von Risikomanagementmaßnahmen jederzeit gegeben.
- Genehmigungsprozesse und die Verteilung von Risikoberichten an relevante Stakeholder lassen sich mit vordefinierten Workflows automatisieren und standardisieren.
Meldung von IKT-Vorfällen
Finanzinstitute sind verpflichtet, schwerwiegende IKT-Vorfälle schnell und effizient zu dokumentieren (Incident Documentation) und zu melden, um eine schnelle Reaktion und Behebung zu ermöglichen.
ECM-Systeme unterstützen die schnelle Erfassung und Meldung von IKT-Vorfällen durch standardisierte Vorfallberichte und automatisierte Benachrichtigungen. Dies trägt zur Erfüllung der Meldepflichten bei.
- Incident Management: Zentralisierte Erfassung und Dokumentation von IKT-Vorfällen.
- Benachrichtigungen und Alarme: Automatisierte Benachrichtigung relevanter Personen bei Auftreten eines Vorfalls.
- Berichtserstellung: Erstellung und Speicherung von Vorfallsberichten, die den regulatorischen Anforderungen entsprechen.
Kontinuität der Dienstleistungen
Finanzinstitute müssen Maßnahmen treffen, um sicherzustellen, dass wesentliche Dienstleistungen auch bei schweren Betriebsstörungen fortgeführt werden können. ECM-Systeme tragen zur Geschäftskontinuität bei, indem sie kritische Dokumente sichern und automatisierte Prozesse gewährleisten, die unabhängig von manuellen Eingriffen funktionieren. Dies stellt sicher, dass wichtige Dienstleistungen auch während Störungen verfügbar bleiben.
- Disaster Recovery: ECM-Systeme können Teil der Disaster-Recovery-Planung sein, indem sie mit Backup- und Wiederherstellungsfunktionen sicherstellen, dass kritische Dokumente und Informationen im Falle eines Ausfalls weiterhin zugänglich sind.
- Geschäftskontinuität gewährleisten: Durch die Automatisierung von Workflows können ECM-Systeme sicherstellen, dass Geschäftsprozesse auch bei Störungen weiter- bzw. automatisch wieder anlaufen.
Überwachung und Prüfungen
Finanzinstitute müssen ihre IKT-Systeme regelmäßig überwachen und prüfen, um sicherzustellen, dass sie den Anforderungen der Verordnung entsprechen. ECM-Systeme bieten umfassende Überwachungs- und Prüfungsfunktionen, die sicherstellen, dass alle Aktivitäten dokumentiert und überprüfbar sind. Diese Funktionen unterstützen die regelmäßige Überprüfung der Systemintegrität und -sicherheit.
- Audit Trails: Lückenlose Protokollierung aller Aktionen und Zugriffe auf Dokumente für Prüfungszwecke.
- Echtzeit-Überwachung: ECM-Systeme können in Echtzeit überwachen, wer auf welche Informationen zugreift und welche Änderungen vorgenommen werden. Dies unterstützt die Transparenz und Nachvollziehbarkeit, wie von DORA gefordert.
- Berichtswesen: Die Erstellung von regelmäßigen Berichten über die Systemnutzung und Einhaltung der Vorschriften kann durch ECM-Systeme automatisiert und vereinfacht werden.
Sicherheit und Schutz von Informationen
Finanzinstitute müssen sicherstellen, dass die Sicherheit und Vertraulichkeit von Informationen, einschließlich der Implementierung von Zugangskontrollen und Verschlüsselung gewährleistet sind. ECM-Systeme bieten robuste Sicherheitsfunktionen, die den Schutz und die Vertraulichkeit von Informationen gewährleisten. Durch Zugriffskontrollen und Verschlüsselung wird sichergestellt, dass nur autorisierte Benutzer auf sensible Daten zugreifen können.
- Zugriffskontrollen: ECM-Systeme bieten fein granulierte Steuerungsmöglichkeiten, wer auf welche Informationen zugreifen darf. Sie stellen sicher, dass nur autorisierte Benutzer auf sensible Informationen zugreifen können.
- Sicherheit und Vertraulichkeit: Moderne ECM-Lösungen bieten Funktionen zur Verschlüsselung und Sicherstellung der Datenintegrität, sowohl bei der Speicherung als auch bei der Übertragung.
- Sicherheitsrichtlinien: Implementierung und Durchsetzung von Unternehmensrichtlinien zur Informationssicherheit.
Die häufigsten Fragen zu DORA
Jetzt zum Newsletter anmelden
Die neusten Digitalisierungstrends, Gesetze und Richtlinien sowie hilfreiche Tipps direkt in Ihrem Postfach.
Wie können wir helfen?
+49 (0) 228 90896-789Ihre Nachricht hat uns erreicht!
Wir freuen uns über Ihr Interesse und melden uns in Kürze bei Ihnen.