Die Finanzmärkte in der EU sollen existierende und neue Cybersicherheits- und IKT-Risiken in Zukunft effektiv beherrschen. Dazu müssen die betroffenen Unternehmen den Betrieb wesentlicher Systeme auch bei IKT-Vorfällen (Cybersicherheit) gewährleisten. Die Zeit zur Umsetzung der neuen Richtlinie DORA drängt.

Mit DORA (Digital Operational Resilience Act) hat die EU zum ersten Mal unionsweite und sektorübergreifende Regelungen für das Management und die Minderung der IKT-Risiken bei Banken, Versicherungen, Asset Managern und deren Dienstleistern geschaffen. Neu dabei sind vor allem die Vereinheitlichung über Ländergrenzen hinweg und auch die Einbeziehung der Dienstleister. Gerade dieses Element sorgt für einen erheblichen Aufwand bei der Umsetzung, schließlich verfügen in der Regel selbst kleinere Häuser über sehr viele Dienstleister. DORA erweitert zudem die Definition von IKT-Dienstleistern und jedes Institut muss seine Verträge auf den Bezug von IKT-Dienstleistungen überprüfen und bewerten. In der Regel wird sich die Anzahl der zu überwachenden Verträge im Gegensatz zu den bisherigen wesentlichen Auslagerungen mehr als verzehnfachen. In Zukunft gelten klare Standards für die Beziehungen zu Dritten. Die Banken als Auftraggeber müssen diese zum einen vertraglich regeln und zum anderen deren Einhaltung nachweisen. Insgesamt fallen EU-weit schätzungsweise 15.000 Dienstleister unter die neue Definition.

Das Prinzip von DORA heißt Bewertung von Risiken und Prozessen nach deren Bedeutung für das jeweilige Finanzunternehmen. Dabei legen die Regulierer Wert auf die Beachtung der Verhältnismäßigkeit. Deshalb muss nun jedes Institut analysieren, welche Dienstleistungen und welche IKT-Systeme wesentlich für den eigenen Geschäftsbetrieb sind. Resilienz heißt also, dass vor allem die wesentlichen Prozesse und Leistungen auch bei einem IKT-Vorfall weitgehend stabil laufen müssen. Das Prinzip lässt sich etwa am Wertpapierkauf oder dem Girokonto verdeutlichen. So muss die Kundschaft auch während einer schwerwiegenden Betriebsunterbrechung weiterhin Orders absetzen oder den Kontostand abfragen können – und zwar nicht erst mit einer Verzögerung von einigen Stunden oder sogar Tagen. Als weniger kritisch lässt sich etwa eine Depot- oder Kontoeröffnung werten, hierbei dürfte die Aufsicht gewisse Ausfallzeiten tolerieren. An diesem Beispiel zeigt sich auch der gesellschaftliche Aspekt von DORA: Banken sollen ihre wesentliche Rolle beim Funktionieren unseres Allgemeinwesens weitgehend unterbrechungsfrei wahrnehmen können und ihre digitale Resilienz soll mit dazu beitragen, dass im Ernstfall keine Panik entsteht.

Cybersicherheit: Governance ist zentraler Aspekt von DORA

Dieser Fokus auf dem Prinzip der Verhältnismäßigkeit sorgt dafür, dass DORA einen Schwerpunkt auf das Thema Governance legt – viel stärker als schon geltende Vorschriften wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) oder die EBA-Guidelines on ICT Risk Management. So fordern die neuen Regeln einen „internen Governance- und Kontrollrahmen zur Gewährleistung eines umsichtigen Managements von IKT-Risiken“. Es geht also um eine End-to-End-Bewertung der Unternehmensrisiken im Zusammenhang mit den IKT-Systemen.

Eine integrierte Betrachtung kritischer Dienstleistungen sowie der dafür notwendigen IKT-Assets ist unerlässlich. Die Betrachtung einzelner IT-Aspekte reicht nicht mehr aus.

Als Kernanforderung verlangt DORA die Implementierung von Schlüsselprinzipien, mit deren Regeln und Prozessen sich IKT-Risiken angemessen managen lassen. Diese Vorgaben beschränken sich nicht auf die Technik, der Mensch steht ebenfalls im Fokus.

So müssen die Finanzinstitute beispielsweise ihre Beschäftigten in die Lage versetzen, bei Eintritt eines Vorfalls die richtigen Maßnahmen ergreifen zu können. Derartige Vorfälle im Sinne von DORA können einen kriminellen Hintergrund haben, zum Beispiel Cyberangriffe. Ebenso dazu gehören jedoch Unfälle oder Störungen wie etwa das vom Bagger durchtrennte Kabel.

Das Thema Mensch geht jedoch noch weiter. So wird der Vorstand in Zukunft eine konkretere Rolle beim Thema IKT spielen. Stärker als bisher obliegt dem Leitungsorgan die Letztverantwortung für das Management der diesbezüglichen Risiken. Vorgesehen sind zum Beispiel jährliche Aufsichtsgespräche. Darin muss der Vorstand Auskunft geben über IT-Themen wie etwa über die praktische Umsetzung der Maßnahmen zur Sicherstellung der digitalen operationalen Resilienz in seinem Unternehmen. Es sind also umfassende Kenntnisse und Fähigkeiten erforderlich, um diese Aufgaben adäquat wahrnehmen zu können. Wer hier nicht ausreichend mitspielt oder fachliche Lücken erkennen lässt, sieht sich gegebenenfalls mit schmerzhaften Sanktionen konfrontiert. So droht DORA Strafzahlungen in Höhe von bis zu einem Prozent des täglichen Umsatzes an, zusätzlich kann der Vorstand sogar persönlich haftbar gemacht werden.

Interne Voraussetzungen schaffen

Dieser Fokus auf die Verantwortlichkeiten ist zwar keine Neuerfindung von DORA, die nunmehr erforderliche, umfassende End-to-End-Betrachtung der Risiken gab es bisher jedoch nicht in dieser Form. Sie kommt auch nicht von ungefähr, denn die Verantwortlichkeiten für den IKT-Betrieb sind häufig in Silos verteilt. So liegen beispielsweise IT, Verträge oder das Business Continuity Management meist bei verschiedenen Einheiten. Für die Erfüllung der neuen Vorgaben spielt es keine Rolle, ob die DORA-Vorgaben dezentral umgesetzt werden oder ob eine übergeordnete DORA-Funktion zum Einsatz kommt. Entscheidend ist vielmehr, dass Banken eine ganzheitliche Betrachtung der IKT-Risiken (Cybersicherheit) unter Einbeziehung ihrer gesamten Lieferketten und ihrer internen Organisation gewährleisten können.

Bei dieser Aufgabe handelt es sich nicht nur um eine technische und organisatorische Herausforderung, unserer Erfahrung nach braucht es darüber hinaus kulturelle Veränderungen. Eine wichtige Rolle bei diesem Wandel spielt ein passendes Zielbild, das diese Ausrichtung auf digitale Resilienz auf den Punkt bringt. Damit es sich gut und wirksam kommunizieren lässt, darf es gerne plakativ sein. Nur so lassen sich die Stakeholder motivieren und einbeziehen. Zweitens ist ein realistischer und risikobasierter Ansatz erforderlich. Dieser sollte die Anpassung der für die Resilienz der Finanzunternehmen besonders kritischen Prozesse priorisieren und erst dann die weniger schwerwiegenden Themen in Angriff nehmen.

Fazit

Wer Risiken und die Cybersicherheit konsequent priorisiert und die für das Institut wesentlichen Dienstleistungen und Produkte bei der Umsetzung im Auge behält, schafft ein tragfähiges Fundament für digitale, operationelle Resilienz und kann seinen Betrieb auch im Falle einer schwerwiegenden Betriebsunterbrechung aufrechterhalten. Mit dieser Herangehensweise signalisiert die Bank in Richtung Aufsichtsbehörden, dass sie ihre Risiken analysiert hat, das Management funktioniert und die wesentlichen Aufgaben erledigt sind.