DORA: Einheitliche Standards für mehr Cyber-Schutz in der Finanzwelt

Mit der Verordnung DORA, die im Januar 2023 in Kraft getreten ist, will die EU die Finanzwirtschaft resilienter gegen größere IT-Störungen machen, die etwa durch Cyber-Angriffe ausgelöst werden können. Für die Unternehmen bedeutet das zwar mehr Arbeit, aber es bieten sich ihnen auch Chancen. 

 Die Finanzwelt wird immer digitaler – und damit auch anfälliger für Angriffe aus dem Netz. Das haben auch die Gesetzgeber der Europäischen Union (EU) erkannt und eine neue Verordnung verabschiedet: Die „Digital operational resilience for the financial sector and amending regulations“, bisher bekannt als „Digital Operational Resilience Act“ – DORA. Im Januar 2023 ist sie in Kraft getreten und muss bis 17. Januar 2025 umgesetzt sein.

Ziel dieser neuen Verordnung ist es, die Finanzwirtschaft widerstandsfähiger zu machen, insbesondere gegen Cyber-Attacken, und so die Betriebsstabilität zu verbessern. Dabei setzt DORA nicht nur auf quantitative Maßnahmen wie die angemessene Bereitstellung finanzieller Mittel für die operationelle Sicherheit, sondern auf Handlungsanweisungen, um die Resilienz zu erhöhen, etwa beim Risikomanagement oder der Meldung von Vorfällen.

Für die Unternehmen bedeutet das auf der einen Seite mehr Arbeit, schließlich müssen sie die Vorgaben der neuen Verordnung umsetzen. Aber die Anpassungen bringen auch Chancen mit sich. Was kommt auf die Unternehmen zu – und wie können sie profitieren?

Einheitlicher und weitreichender als die bisherige Regulatorik

Im Wesentlichen wurde DORA auf den Weg gebracht, um die bereits bestehenden Regeln zu Betriebsstabilität und Sicherheit digitaler Systeme im Finanzsektor EU-umfassend zu harmonisieren. Die Unternehmen der Finanzbranche können sich also darauf verlassen, dass EU-weit und über die Sektoren hinweg Regeln weiter harmonisiert werden. Ein Teil der DORA-Anforderungen ist zudem bereits aus den bestehenden Regulierungen wie etwa den EBA-Guidelines beziehungsweise den BAIT bekannt. Wer also aufsichtsrechtliche Anforderungen erfüllt und die internationalen Standards wie beispielsweise der ISO-27xxx-Familie befolgt, hat für die Umsetzung der neuen Verordnung eine gute Ausgangslage.

Mit DORA werden diese Regeln nun konkretisiert, erweitert und um neue Aspekte ergänzt. So betrifft die Verordnung nicht nur regulierte Finanzunternehmen, sondern auch kritische IKT-Drittdienstleister wie etwa Cloud-Dienstleister. Und auch innerhalb der Finanzbranche bezieht DORA mehr Player ein. Demnach sind neben Kreditinstituten, Versicherungen oder Wertpapierfirmen jetzt auch Kryptodienstleister oder Ratingagenturen betroffen.

Veränderungen in vier wesentlichen Bereichen

Die größten Anpassungen werden diese Unternehmen in vier Bereichen vorfinden: dem IKT-Risikomanagement, der digitalen operationellen Widerstandsfähigkeit, der Berichterstattung über Vorfälle sowie dem Management des Drittdienstleisterrisikos.

Das IKT-Risikomanagement soll in Zukunft stärker im Gesamtrisikomanagement verankert werden. Dadurch ist das Management gefragt, diese Prozesse zu steuern. Belastbare IKT-Systeme und -Tools können hier helfen, Risiken zu minimieren, deren Quellen kontinuierlich und komplett zu identifizieren, Schutz- und Präventionsmaßnahmen zu etablieren und ungewöhnliche Aktivitäten aufzuspüren. Zudem helfen sie, Richtlinien und Vorgaben für die Geschäftsfortführung stärker mit etablierten Schnittstellenfunktionen zu vereinen.

Um sicherzustellen, dass die Integrität der Systeme gewahrt ist und diese auch einwandfrei funktionieren, muss die Widerstandsfähigkeit regelmäßig geprüft werden. Neben konkret definierten allgemeinen Testanforderungen setzt die Verordnung auf bedrohungsbasierte Penetrationstests. Tests, die die spezifische Bedrohungslage der Institute berücksichtigen, einen gezielten Cyber-Angriff simulieren und deren Abwehr so immer wieder auf die Probe stellen. DORA ermöglicht eine verhältnismäßige Umsetzung der Anforderungen an diese Tests je nach Größe sowie Geschäfts- und Risikoprofil. Die Simulationen reichen von Schwachstellenscans der IKT-Systeme für kleinere Häuser bis zu komplexeren Versuchen auf der Grundlage von Threat-Led Penetration Testing für Institute, die nach Kriterien wie dem spezifischen IKT-Risikoprofil oder der Finanzstabilität ausgewählt werden.

Im Bereich der Berichterstattung müssen Finanzunternehmen Prozesse aufsetzen, die IKT-Vorfälle erkennen, behandeln, überwachen und protokollieren. Sehr schwerwiegende Attacken sind in einer von den Regulatoren noch zu präzisierenden Vorlage aufzubereiten und an die zuständigen Behörden zu melden. Damit diese Meldungen konform erfolgen, ist eine Klassifizierung nach festgelegten Kriterien notwendig.

In Sachen IKT-Drittdienstleisterrisiko soll DORA eine solide Überwachung sicherstellen. So definiert sie prinzipienbasierte Regeln und vereinheitlicht Schlüsselelemente von Services und Beziehungen zu den Anbietern. Dazu zählen Mindestaspekte für eine vollständige Überwachung des IKT-Drittparteienrisikos durch das Finanzunternehmen – entlang des gesamten Lebenszyklus der Auslagerung und sonstigen Services der IKT-Drittdienstleister inklusive der Vertragsverhältnisse. DORA setzt auf eine eigenständige oder integrierte Strategie für das IKT-Drittparteienrisiko samt Leitlinie und auf erweiterte Mindestinhalte für Vertragsdokumente. Es gelten erweiterte Anforderungen zur vollständigen Dokumentation der IKT-Drittdienstleister für die Bewertung des Risikos auch der Sub-Dienstleister sowie an die Exit-Strategien für Services, die kritische oder wichtigen Funktionen unterstützen.

Viel Arbeit, aber auch viele Vorteile

Es braucht also eine überarbeitete Strategie und angepasste Definitionen, Vorgaben und Prozesse. Aber der Einsatz lohnt sich. Das zeigt der Blick auf die Chancen, die entstehen, wenn DORA gut umgesetzt wird.

Wenn die Cyber-Sicherheit innerhalb des gesamten Unternehmens verbessert wird, ist die Organisation automatisch resilienter gegen Attacken aus dem Netz. Das kann nur gut sein, denn nicht selten verursacht ein Schaden am Ende höhere Kosten als die Investitionen in Sicherheitsmaßnahmen. Zudem werden durch DORA einzelne Bereiche im Unternehmen gezwungen, bei der Cyber-Abwehr enger zusammenzuarbeiten. Um die Zusammenarbeit in diesen Disziplinen zu stärken, gilt es jetzt, etwaige Silos abzubauen und einheitliche Ziele und Abläufe für mehr Resilienz zu etablieren. Das macht die Cyber-Sicherheit effizienter.

Auf diese Weise wird DORA zu einer Art Mediator aller Einzel-Resilienz-Disziplinen – sowohl bei Finanzunternehmen und ihren IKT-Drittdienstleister als auch in der EU-Finanzbranche, die durch die neue Verordnung ein ganzes Stück resilienter wird. Somit wächst nicht nur die Gefahr aus dem Netz, sondern auch die Schutzfunktion, die ihr begegnet.