Digital Operational Resilience Act (DORA)

DORA steht für „Digital Operational Resilience Act“, befasst sich zu Deutsch also mit der digitalen operationalen Resilienz. Dabei handelt es sich um eine finanzsektorweite Regulierung auf EU-Ebene. Mit der Verordnung schafft die EU einheitliche Regelungen, wie Finanzmärkte – und so auch Banken und Versicherungen – das Thema Cybersicherheit angehen und IKT-Risiken (Informations- und Kommunikationstechnologie) minimieren. DORA verschärft somit die Regelungen beim Einsatz von IKT-Systemen.

Die Richtlinien von DORA sind vor allem präventiver Natur. So möchte die EU Unternehmen auf gestiegene Cyberrisiken am Finanzmarkt vorbereiten. Wenn Vorfällen eintreten, sollen Finanzunternehmen durch die DORA-Regelungen besser und vor allem effektiv reagieren können.

Durch die fortschreitende Digitalisierung haben sich in den letzten Jahren die Risiken vermehrt. Sie entstehen im Rahmen der verwendeten IKT-Systeme beziehungsweise -Technologien. Genau von diesen Technologien sind Finanzunternehmen häufig abhängig, da sie diese von IKT-Drittdienstleistern beziehen.

Deshalb setzt DORA verbindliche Anforderungen für Unternehmen am Finanzmarkt hinsichtlich ihrer IKT-Strategien und Zusammenarbeit mit IKT-Unternehmen sowie IKT-Dienstleistern.

Strategien im IKT-Risikomanagement erarbeiten

Mit DORA fordert die EU Banken und Versicherungen sowie weitere Organisationen im Finanzsektor auf, Strategien zur digitalen Resilienz zu erarbeiten. Die Strategien dienen als Rahmenwerk und orientieren sich an den Anforderungen internationaler Standards an das IKT-Risikomanagement. Im IKT-Risikomanagement halten die Finanzunternehmen klare Ziele für die Informationssicherheit fest.

Schwerwiegende IKT-bezogene Vorfälle melden

Finanzunternehmen sind dazu verpflichtet, IKT-Vorfälle zu klassifizieren und zu melden. Als Teil des IKT-Risikomanagementrahmens sieht DORA Kommunikationspläne für Finanzunternehmen vor. Diese sind bei Bedarf offenzulegen, in jedem Fall aber bei schwerwiegenden IKT-bezogenen Vorfällen.

Risiken testen und austauschen

Im gleichen Zuge verpflichtet die EU bestimmte Finanzunternehmen, regelmäßige und unabhängige Tests zu IKT-Vorfällen in Bezug auf die Cybersicherheit durchzuführen. Konkret handelt es sich hier um digitale betriebliche Resilienztests.

Das Testen dient Finanzunternehmen und den Aufsichtsbehörden zu Beobachtungszwecken. Quellcodetests, Performancetests oder Threat-Led-Penetration-Tests zeigen, ob das Ziel der digitalen operationalen Resilienz erreicht ist. Sie sind fester Bestandteil des Risikomanagements.

Um IKT-Risiken im Allgemeinen zu reduzieren, regelt DORA zudem, wie sich Unternehmen innerhalb vertrauenswürdiger Finanzgemeinschaften freiwillig zu IKT-Risiken austauschen können.

Mit IKT-Drittanbietern zusammenarbeiten

Arbeiten Finanzunternehmen mit IKT-Drittanbietern zusammen, betreffen die Maßnahmen auch IKT-Unternehmen. Es sind Informationsregister über die Vertragsbeziehungen zu pflegen und Szenarien zur Vertragsbeendigung zu erarbeiten. In den Fokus treten zudem Strategien, mit denen die kooperierenden Unternehmen Risiken vorbeugen und diese bewältigen. Kurz gesagt: DORA setzt Standards, wie Finanzunternehmen IKT-Services von Drittanbietern nutzen.

DORA betrifft europaweit Unternehmen, die im Finanzsektor arbeiten oder IKT-Dienstleistungen für Unternehmen im europäischen Finanzsektor umsetzen. In Deutschland gilt die DORA-Gesetzgebung für all jene Finanzunternehmen, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reguliert sind, darunter:

• Banken

• Versicherungs- und Rückversicherungsunternehmen

• Traditionelle Zahlungsdienstleister

• Anbieter von Krypto-Dienstleistungen

• E-Geld-Institute

• Kreditinstitute

• Handelsplätze

• Anbieter sonstiger Finanzdienstleistungen

• Kontoinformationsdienstleister

• Wertpapierfirmen

• Investmentfonds und deren Verwaltungen

Das bedeutet DORA für IKT-Dienstleister

Die Bedeutung von DORA ist besonders für IKT-Dienstleister einschneidend. IKT-Unternehmen müssen die DORA-Gesetzgebung nun in ihre Prozesse implementieren und das unabhängig davon, ob sich ihr Firmensitz innerhalb oder außerhalb der EU befindet. Wenn sie innerhalb der EU mit Finanzunternehmen kooperieren, gelten die DORA-Anforderungen auch für sie.

Zusätzlich entsteht aus der Gesetzgebung ein neuer Aufsichtsrahmen für IKT-Dienstleister. Dieser beinhaltet unter anderem, dass die europäischen Aufsichtsbehörden fortan kritische IKT-Dienstleister beaufsichtigen. Das trägt maßgeblich dazu bei, die Regelungsanforderungen auf EU-Ebene zu harmonisieren.

Bis wann ist DORA umzusetzen?

Am 14. Dezember 2022 haben das Europäische Parlament und der Europäische Rat DORA, also die Verordnung (EU) 2022/2554 beschlossen. Zum 17. Januar 2023 ist sie als Teil des Pakets zur Digitalisierung des Finanzwesens offiziell in Kraft getreten. Im gleichen Zuge setzte die EU eine Umsetzungsfrist von 24 Monaten fest.

Angewendet wird DORA also erst ab dem 17. Januar 2025. Ab diesem Tag müssen Finanzunternehmen und im europäischen Finanzsektor tätige IKT-Unternehmen die Gesetze erfüllen.

Hintergrund zu DORA

Hinter DORA steht der Gedanke der Europäischen Kommission, eine digitale operationale Resilienz im Finanzsektor zu schaffen. Diese vier Hauptprobleme konkretisieren den Kerngedanken hinter DORA:

1. Zunahme schwerwiegender Cybervorfälle in Finanzunternehmen: DORA stärkt die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzsektor.

2. Regulatorische Fragmentierung im Umgang mit Cybersicherheitsfragen innerhalb der EU: DORA harmonisiert und standardisiert die Anforderungen für die digitale Betriebsfähigkeit und Cybersicherheit auf EU-Ebene.

3. Schwerwiegende Betriebsunterbrechungen im Zuge von Cyberattacken: DORA setzt Maßstäbe, damit Unternehmen besser auf Cyberrisiken vorbereitet sind und auf diese effektiv reagieren können.

4. Vertrauen in die Finanzbranche aufrechterhalten: DORA trägt dazu bei, dass Verbraucher und Investoren die Finanzbranche weiterhin für vertrauenswürdig halten und als sicher einstufen.

Seitdem die DORA-Verordnung in Kraft getreten ist, erarbeiten die Aufsichtsbehörden Entwürfe für technische Regulierungsstandards (RTS) und Implementierungsstandards (ITS).

Am 17. Januar 2024 wurden die finalen Entwürfe der technischen Regulierungs- und Implementierungsstandards zu DORA veröffentlicht und von der Europäischen Kommission am 13. März 2024 angenommen. Zurzeit befinden sie sich in der dreimonatigen Prüfungsphase.

Da es sich bei DORA um eine EU-Verordnung handelt, ist sie unmittelbar auch im nationalen Recht gültig. Im Rahmen der Digitalisierung des Finanzmarktes hat das Bundesministerium der Finanzen einen Regierungsentwurf vorgelegt. Geplant ist ein Finanzmarktdigitalisierungsgesetz (FinmadiG). Es fasst mehrere Gesetze zusammen, darunter auch das DORA-Paket.

Bis zum 17. Januar 2025 müssen die Regierung, die Aufsichtsbehörde BaFin und die Akteure im Finanzsektor den regulatorischen Rahmen von DORA erfüllen. Als IT-Dienstleister bereiten selbstverständlich auch wir uns auf DORA vor. Zudem kann ein ECM wie die Doxis Plattform wesentlich dazu beitragen, die Anforderungen von DORA zu erfüllen, indem sie die Verwaltung, Sicherheit und Kontinuität von Informationen und Prozessen in Finanzinstituten unterstützen.

Risikomanagement für IKT

Finanzinstitute müssen robuste Systeme und Kontrollen für das Management von IKT-Risiken implementieren. Das um-fasst die Identifizierung, Bewertung und Minderung von Risiken. ECM-Systeme erleichtern die Verwaltung und Nachverfolgbarkeit von Risikomanagementdokumenten und -Prozessen. Durch Automatisierung und Protokollierung wird sicher-gestellt, dass alle Maßnahmen dokumentiert und überprüfbar sind.

• Compliance und Audits: ECM-Systeme können sicherstellen, dass alle notwendigen Dokumente und Aufzeichnungen wie Risikoanalysen, Bewertungen und Mitigationspläne ordnungsgemäß gespeichert und revisionssicher archiviert werden.
• Änderungen und Zugriffe auf Dokumente können mithilfe von Versionierung von Protokollierung lückenlos über-wacht und für spätere Audits dokumentiert werden. Dadurch ist die Nachvollziehbarkeit von Risikomanagementmaßnahmen jederzeit gegeben.
• Genehmigungsprozesse und die Verteilung von Risikoberichten an relevante Stakeholder lassen sich mit vordefinierten Workflows automatisieren und standardisieren.

Meldung von IKT-Vorfällen

Finanzinstitute sind verpflichtet, schwerwiegende IKT-Vorfälle schnell und effizient zu dokumentieren (Incident Documentation) und zu melden, um eine schnelle Reaktion und Behebung zu ermöglichen.

ECM-Systeme unterstützen die schnelle Erfassung und Meldung von IKT-Vorfällen durch standardisierte Vorfallberichte und automatisierte Benachrichtigungen. Dies trägt zur Erfüllung der Meldepflichten bei.

• Incident Management: Zentralisierte Erfassung und Dokumentation von IKT-Vorfällen.
• Benachrichtigungen und Alarme: Automatisierte Benachrichtigung relevanter Personen bei Auftreten eines Vorfalls.
• Berichtserstellung: Erstellung und Speicherung von Vorfallsberichten, die den regulatorischen Anforderungen entsprechen.

Kontinuität der Dienstleistungen

Finanzinstitute müssen Maßnahmen treffen, um sicherzustellen, dass wesentliche Dienstleistungen auch bei schweren Betriebsstörungen fortgeführt werden können. ECM-Systeme tragen zur Geschäftskontinuität bei, indem sie kritische Dokumente sichern und automatisierte Prozesse gewährleisten, die unabhängig von manuellen Eingriffen funktionieren. Dies stellt sicher, dass wichtige Dienstleistungen auch während Störungen verfügbar bleiben.

• Disaster Recovery: ECM-Systeme können Teil der Disaster-Recovery-Planung sein, indem sie mit Backup- und Wiederherstellungsfunktionen sicherstellen, dass kritische Dokumente und Informationen im Falle eines Ausfalls weiterhin zugänglich sind.
• Geschäftskontinuität gewährleisten: Durch die Automatisierung von Workflows können ECM-Systeme sicherstellen, dass Geschäftsprozesse auch bei Störungen weiter- bzw. automatisch wieder anlaufen.

Überwachung und Prüfungen

Finanzinstitute müssen ihre IKT-Systeme regelmäßig überwachen und prüfen, um sicherzustellen, dass sie den Anforderungen der Verordnung entsprechen. ECM-Systeme bieten umfassende Überwachungs- und Prüfungsfunktionen, die sicherstellen, dass alle Aktivitäten dokumentiert und überprüfbar sind. Diese Funktionen unterstützen die regelmäßige Überprüfung der Systemintegrität und -sicherheit.

• Audit Trails: Lückenlose Protokollierung aller Aktionen und Zugriffe auf Dokumente für Prüfungszwecke.
• Echtzeit-Überwachung: ECM-Systeme können in Echtzeit überwachen, wer auf welche Informationen zugreift und welche Änderungen vorgenommen werden. Dies unterstützt die Transparenz und Nachvollziehbarkeit, wie von DORA gefordert.
• Berichtswesen: Die Erstellung von regelmäßigen Berichten über die Systemnutzung und Einhaltung der Vorschriften kann durch ECM-Systeme automatisiert und vereinfacht werden.

Sicherheit und Schutz von Informationen

Finanzinstitute müssen sicherstellen, dass die Sicherheit und Vertraulichkeit von Informationen, einschließlich der Implementierung von Zugangskontrollen und Verschlüsselung gewährleistet sind. ECM-Systeme bieten robuste Sicherheitsfunktionen, die den Schutz und die Vertraulichkeit von Informationen gewährleisten. Durch Zugriffskontrollen und Verschlüsselung wird sichergestellt, dass nur autorisierte Benutzer auf sensible Daten zugreifen können.

• Zugriffskontrollen: ECM-Systeme bieten fein granulierte Steuerungsmöglichkeiten, wer auf welche Informationen zugreifen darf. Sie stellen sicher, dass nur autorisierte Benutzer auf sensible Informationen zugreifen können.
• Sicherheit und Vertraulichkeit: Moderne ECM-Lösungen bieten Funktionen zur Verschlüsselung und Sicherstellung der Datenintegrität, sowohl bei der Speicherung als auch bei der Übertragung.
• Sicherheitsrichtlinien: Implementierung und Durchsetzung von Unternehmensrichtlinien zur Informationssicherheit.