21.12.2023Fachbeitrag

Update Datenschutz Nr. 164

DORA – Ein Jahr vor Ablauf der Umsetzungsfrist werden immer mehr Konkretisierungen bekannt

Vor fast einem Jahr ist der EU Digital Operational Resilience Act (Verordnung (EU) 2022/2554, DORA) in Kraft getreten, die Umsetzungsfrist läuft noch bis zum 17. Januar 2025. Ziel der neuen Verordnung ist die Stärkung der IT-Sicherheit und Resilienz im europäischen Finanzsektor und der Versicherungsbranche durch einheitliche Anforderungen an Betriebsstabilität und Sicherheit von IKT-Systemen (IKT – Informations- und Kommunikationstechnologie). Die zum Teil umfassenden neuen Anforderungen haben in vielen Finanzunternehmen den Bedarf ausgelöst, bestehende Prozesse umzustellen oder Systeme zur Überwachung von IKT-Drittanbietern zu implementieren. Seit Oktober 2023 ist auch die Info-Seite der BaFin zu DORA online verfügbar, außerdem erarbeiten die europäischen Aufsichtsbehörden (European Securities and Markets Authority – ESMA; European Banking Authority – EBA; European Insurance and Occupational Pensions Authority – EIOPA) aktuell technische Regulierungsstandards (RTS), Implementierungsstandards (ITS) und Leitlinien, um DORA weiter zu konkretisieren. Diese befinden sich zurzeit im Entwurfsstadium und sollen im Laufe des Jahres 2024 verabschiedet werden. Zusätzlich soll das nationale Finanzmarktdigitalisierungsgesetz, dessen Referentenentwurf am 23. Oktober 2023 veröffentlich worden ist, der nationalen Durchführung des DORA dienen (Heuking berichtete).

I. Anwendungsbereich

Der Geltungsbereich des DORA erstreckt sich auf nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors. Dies umfasst nicht nur Kredit-, Zahlungs- und E-Geld-Institute, sondern auch Investmentgesellschaften sowie Versicherungs- und Rückversicherungsunternehmen. Zudem enthält die Verordnung Regelungen für IKT-Dienstleister, die digitale Dienste und Datenverarbeitung bereitstellen. Ausnahmen gelten dabei insbesondere für Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme unter EUR 10 Mio., aber auch für kleine und mittlere Unternehmen,  die nicht mit einem größeren Unternehmen verflochten sind.

II. Pflichten

Aus dem DORA selbst, aber auch aus den technischen Regulierungsstandards (RTS) und Implementierungsstandards (ITS), die noch von der Kommission verabschiedet werden müssen und deshalb erst unvollständig und auch nur vorläufig vorliegen, ergeben sich umfassende Pflichten für die betroffenen Unternehmen und Institute. Diese müssen insbesondere die digitale Betriebsstabilität sicherstellen, Risiken dokumentieren und beseitigen, Schutz- und Dokumentationsmaßnahmen implementieren sowie Widerherstellungspläne vorhalten und diese regelmäßig überprüfen. Außerdem bestehen weitere Pflichten bezüglich Behandlung und Meldung von Sicherheitsvorfällen.

1. IKT-Risikomanagement

Die betroffenen Unternehmen sind zunächst dazu verpflichtet, einen IKT-Risikomanagementrahmen zu etablieren, welcher mindestens jährlich dokumentiert und überprüft werden  sowie kontinuierlich verbessert werden muss. Im Falle schwerwiegender IKT-bezogener Vorfälle sowie nach aufsichtsrechtlichen Anweisungen oder Feststellungen sind zusätzliche Evaluierungen vorgesehen. Der IKT-Risikomanagementrahmen beinhaltet Strategien zum Schutz sämtlicher Informations- und IKT-Assets sowie sonstiger relevanter physischer Komponenten und Infrastrukturen, etwa Räumen und Rechenzentren. Diesbezüglich sollen insbesondere Informationen über potentielle IT-Risiken und das jeweilige Risikomanagement enthalten sein. Die Verantwortung für die Umsetzung des IKT-Risikomanagementrahmens liegt dabei bei dem jeweiligen Leitungsorgan des Unternehmens.

Im Zusammenhang mit dem IKT-Risikomanagementrahmen sind außerdem weitere Richtlinien erforderlich. Hierzu zählen Richtlinien zur Informationssicherheit, welche Regeln zum Schutz der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten und der Informations- und IKT-Assets beinhalten, zu Zugangs- und Zugriffsrechten, zum IKT-Änderungsmanagement, zur Datensicherung (einschließlich des Umfangs der zu sichernden Daten und der Mindesthäufigkeit der Sicherung basierend auf der Kritikalität der Informationen oder dem Vertraulichkeitsgrad der Daten), sowie zu Patches und Updates. Außerdem bedarf es einer IKT-Geschäftsfortführungsleitlinie, die eine Business-Impact-Analyse (BIA) sowie IKT-Reaktions- und Wiederherstellungspläne einschließt. Diese dienen dazu, die Fortführung aller kritischen und wichtigen Funktionen des Finanzunternehmens im Falle eines IKT-Vorfalls sicherzustellen. Daneben ist eine interne Strategie für die digitale operationale Resilienz erforderlich, die konkret darlegt, wie das IKT-Risikomanagement umgesetzt wird. Dazu sind insbesondere Risikotoleranzschwellen, klare Ziele für die Informationssicherheit (einschließlich wesentlicher Leistungsindikatoren und Risikokennzahlen) sowie Mechanismen zur Erkennung von IKT-bezogenen Vorfällen festzulegen. Darüber hinaus muss in den betroffenen Unternehmen neben einem visuellen Netzwerkplan eine Struktur für das Netzwerk- und Infrastrukturmanagement vorliegen, die auf dem risikobasierten Ansatz aufbaut. Um sicherzustellen, dass alle internen Richtlinien und Strategien bis zum 17. Januar 2025 vorliegen, ist es ratsam, bereits jetzt mit der Ausarbeitung zu beginnen.

Es sollten außerdem interne Prozesse und Mechanismen etabliert werden, die kontinuierlich die Identifizierung sämtlicher IKT-Risiken und die Bewertung von Cyberbedrohungen und IKT-Schwachstellen sicherstellen, sofern diese für die IKT-gestützten Geschäftsfunktionen, Informations- und IKT-Assets relevant sind. Diese Mechanismen sollten insbesondere mit Alarmschwellen und -kriterien ausgestattet sein, um Reaktionsprozesse bei IKT-bezogenen Vorfällen zu initiieren, und automatische Warnungen für Mitarbeiter bereitstellen, die für die Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen zuständig sind.

Weitere notwendige Maßnahmen betreffen beispielsweise die Schulung der Mitarbeitenden zur IKT-Sicherheit sowie zur digitalen operationalen Resilienz, die Identifikation und Klassifikation von IKT-Systemen und -Informationen, die in Geschäftsfunktionen verwendet werden (auch wenn diese nicht in zentralen Systemen gehalten werden) oder die Verschlüsselung von Daten in allen Zuständen und ein Lifecyle-Management für kryptografische Schlüssel.

2. Tests

Gemäß Art. 25 DORA sind alle Finanzunternehmen dazu verpflichtet, regelmäßig Tests der digitalen operativen Resilienz durchzuführen. Dies umfasst die regelmäßige Prüfung der IKT-Geschäftsfortführungspläne, insbesondere in Bezug auf kritische oder wichtige Funktionen, die an IKT-Drittdienstleister ausgelagert sind. Um eine reibungslose Umsetzung zu gewährleisten, sollte schon jetzt ein entsprechendes Programm implementiert werden. Finanzunternehmen sollten im Voraus insbesondere definieren, in welchen Zeitabständen die Tests erfolgen und welche Szenarien dabei berücksichtigt werden sollen. Es ist außerdem wichtig, grundlegende Anforderungen an die Testprotokolle zu definieren, etwa hinsichtlich der Bewertung von Schwachstellen oder der Netzwerksicherheit. Die Tests selbst werden von unabhängigen internen oder externen Prüfern durchgeführt. Wenn es sich um IKT-Systeme und -Anwendungen handelt, die kritische oder wichtige Funktionen unterstützen, müssen mindestens einmal jährlich angemessene Tests durchgeführt werden.

Bestimmte Finanzunternehmen sind darüber hinaus verpflichtet, erweiterte Tests auf Basis bedrohungsorientierter Penetrationstests (Threat-Led Penetration Testing, TLPT) durchzuführen. Die Identifikation und Benachrichtigung der betroffenen Unternehmen erfolgt durch die zuständigen Aufsichtsbehörden. Bei der Identifizierung spielen die Auswirkungen der erbrachten Leistungen auf den Finanzsektor, die Bedeutung für die Finanzstabilität aufgrund systemischer Merkmale eines Unternehmens sowie das spezifische IKT-Risikoprofil, der IKT-Reifegrad und einschlägige technologische Merkmale eine Rolle. Die Spezifikation dieser Kriterien erfolgt ebenfalls durch einen RTS, dessen öffentliche Konsultation jedoch erst im Dezember 2023 begonnen hat. Die BaFin plant, die betroffenen Institute und Unternehmen frühzeitig zu benachrichtigen. Im Rahmen des TLPT sollen Taktiken, Techniken und Verfahren realer Angreifer nachgebildet werden, um kontrollierte und maßgeschneiderte Live-Tests zu ermöglichen.

3. IKT-Dienstleister

Finanzunternehmen sollten außerdem eine Strategie zum Umgang mit dem IKT-Drittparteienrisiko entwickeln. Unter dem IKT-Drittparteienrisiko wird das Risiko verstanden, das für Finanzunternehmen im Zusammenhang mit der Nutzung von IKT-Dienstleistungen von IKT-Drittdienstleistern oder deren Unterauftragnehmern entstehen kann. Auf der Grundlage dieser Strategie ist im Wege einer vorvertraglichen Risikoanalyse zu prüfen, ob ein IKT-Drittdienstleister angemessene Standards für die Informationssicherheit einhält. Diese Voraussetzung verschärft sich bei dem Einsatz von IKT-Drittanbietern für kritische oder wichtige Funktionen, bei denen Finanzunternehmen prüfen müssen, ob die aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit angewendet werden. Außerdem müssen Art und Anzahl der neuen IKT-Verträge jährlich an die BaFin gemeldet werden. Für die Beauftragung von IKT-Drittanbietern sind zudem die in Art. 30 DORA festgelegten Mindestvertragsinhalte zu beachten. Bestenfalls sollten im Unternehmen standardisierte Vertragsvorlagen existieren, die bei Abschluss eines neuen Vertrages lediglich bedarfsgerecht angepasst werden. Darüber hinaus sollte auch eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen vorhanden sein.

Die Einstufung der IKT-Drittanbieter erfolgt durch die Europäischen Aufsichtsbehörden anhand der Kriterien des Art. 31 Abs. 2 DORA. Demnach liegt ein kritischer IKT-Dienstleister vor, wenn sich die Zusammenarbeit mit diesem systematisch auf die Stabilität, Kontinuität oder Qualität der Services des jeweiligen Finanzunternehmens auswirkt, bei Systemrelevanz der Finanzunternehmen, die den Dienstleister nutzen oder bei Abhängigkeit der Finanzindustrie von dem IKT-Drittdienstleister und der Grand der Substituierbarkeit. Ausgenommen davon sind allerdings rein national oder gruppenintern tätige IKT-Drittdienstleister. Detailliertere Regeln dazu, wann ein IKT-Drittdienstleister als kritisch einzustufen ist, finden sich in einer delegierten Verordnung der EU-Kommission, deren endgültige Verabschiedung nach Abschluss der Konsultationsphase im Juni 2023 ebenfalls noch aussteht (dazu ESAs Discussion Paper on criticality criteria and oversight fees on DORA). Auch wenn die finale Einstufung der jeweiligen IKT-Dienstleister durch die Aufsichtsbehörden erst ab 2025 erfolgt, sollten Finanzunternehmen schon jetzt prüfen oder prüfen lassen, ob die von ihnen eingesetzten Drittanbieter den oben genannten Kriterien entsprechen. Das gilt insbesondere für systemrelevante Finanzunternehmen, da deren IKT-Drittdienstleiter grundsätzlich als kritische IKT-Drittdienstleister gelten. Künftig wird ein besonderes Augenmerk auf Anbieter von Cloud-Dienstleistungen gelegt, weshalb Finanzunternehmen auch bei deren Auswahl besonders sorgfältig vorgehen sollten.

Für die Überwachung der IKT-Dienstleister tragen die Finanzunternehmen grundsätzlich die volle Verantwortung.  Ein kritischer IKT-Drittdienstleister darf beispielsweise nur genutzt werden, wenn dieser innerhalb von 12 Monaten nach seiner Einstufung als kritisch einen Sitz in der EU begründet. Es besteht jedoch keine Pflicht zur Datenhaltung innerhalb der EU. Falls Finanzunternehmen die Risiken eines IKT-Drittdienstleisters nicht oder nicht ausreichend berücksichtigen, kann die nationale Aufsichtsbehörde die Nutzung des kritischen IKT-Drittdienstleisters ganz oder teilweise unterbrechen bis die Risiken behoben sind oder die Verträge mit diesem ganz oder teilweise kündigen. Zusätzlich unterliegen kritische IKT-Drittdienstleister der Überwachung durch die europäischen Aufsichtsbehörden, die Befugnisse zur Anforderung von Informationen und Unterlagen sowie zur Durchführung von (Vor-Ort-)Prüfungen haben. Die Behörden können Empfehlungen aussprechen und bei Nichtbefolgung solcher Empfehlungen Informationen hierüber veröffentlichen. Darüber hinaus können bei sonstigen Verstößen Zwangsgelder verhängt werden. Insgesamt sind die Befugnisse der Aufsichtsbehörden aber geringer als gegenüber Finanzunternehmen.

III. Behandlung und Meldung von Vorfällen

Das dritte Kapitel des DORA enthält Vorgaben für den Umgang mit IKT-bezogenen Vorfällen sowie zur Klassifikation von Vorfällen und Cyberbedrohungen. Ein IKT-bezogener Vorfall ist ein von dem Unternehmen nicht geplantes Ereignis, das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Abs. 1 Nr. 8 DORA). Erfasst sind also die meisten IT-Sicherheitsvorfälle. Um IKT-Störfälle schnell bearbeiten zu können, ist es ratsam, schon jetzt ein Prozess entwickelt werden, der die Identifizierung, Klassifizierung, Behandlung und Meldung von Cyberbedrohungen ermöglicht. Dieser Prozess sollte insbesondere Frühwarnindikatoren und klare Funktionen und Zuständigkeiten für jeden Vorfall beinhalten. Des Weiteren sollte er ein Verfahren zur Ermittlung, Nachverfolgung, Protokollierung, Kategorisierung und Klassifizierung IKT-bezogener Vorfälle gemäß ihrer Priorität und Schwere beinhalten. Im Falle schwerwiegender Vorfälle sollte zudem eine Meldung an die höhere Führungsebene sowie die Geschäftsleitung erfolgen.

Bei schwerwiegenden IKT-bezogenen Vorfällen ist außerdem eine Meldung an die BaFin über das MVP-Portal (Portal zur Melde- und Veröffentlichungsplattform) erforderlich. Ebenso sollten die Kunden informiert werden, sofern der Vorfall Auswirkungen auf ihre finanzielle Interessen hat. Die genauen Klassifikationskriterien werden sich aus einem der RTS ergeben, welcher nach abschließender Beratung im kommenden Jahr veröffentlich werden soll. Die Meldung erheblicher Cyberbedrohungen ist hingegen freiwillig und wird von der BaFin empfohlen, wenn ein Finanzunternehmen der Auffassung ist, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kundinnen und Kunden relevant ist. (Art. 19 Abs. 2 DORA). Ist es infolge eines IKT-bezogenen Vorfalles zu einer Störung der Haupttätigkeit eines Finanzunternehmens gekommen, soll außerdem eine nachträgliche Prüfung erfolgen, um die Ursachen für die Störung zu untersuchen und die IKT-Vorgänge, sofern erforderlich, zu verbessern.

IV. Checkliste

Der DORA verlangt von den betroffenen Finanzunternehmen und Instituten ein umfassendes internes Risikomanagement. Auch wenn einige der erforderlichen Richtlinien oder Handlungsanweisungen bereits aufgrund der Vorgaben der deutschen  Bankaufsichtliche Anforderungen an die IT (BAIT) oder der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) vorliegen dürften, sollten diese schon jetzt auf Grundlage des DORA überarbeitet und ergänzt werden, um sicherzustellen, dass Anfang 2025 alle Vorgaben erfüllt werden. Dies betrifft insbesondere die folgenden Dokumente:

  • IKT-Risikomanagementrahmen;
  • Governance- und Kontrollrahmen;
  • Strategie für die operationale Resilienz einschließlich Leistungsindikatoren und Risikokennzahlen;
  • Informationssicherheitsrichtlinie (bzgl. Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten und der Informations- und IKT-Assets);
  • Richtlinie zu Zugangs- und Zugriffsrechten zu Informations- und IKT-Assets;
  • Richtlinien für Patches und Updates;
  • Richtlinie für die Datensicherung (Inklusive Wiedergewinnung und Wiederherstellung);
  • Richtlinie zum IKT-Änderungsmanagement (bzgl. Änderungen an Software, Hardware, Firmware-Komponenten, den Systemen oder von Sicherheitsparametern, die auf einem Risikobewertungsansatz basieren);
  • IKT-Geschäftsfortführungsleitlinie einschließlich einer Business-Impact-Analyse (BIA), sowie IKT-Reaktions- und Wiederherstellungsplänen;
  • Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer/wichtiger Funktionen;
  • Visueller Netzwerkplan und jährlicher Review der Netzwerkarchitektur;
  • Mustervertrag für IKT-Drittdienstleister, der die Mindestinhalte nach Art. 30 DORA enthält;
  • Dokumentation aller Prozesse, die von IKT-Drittdienstleistern abhängen und Ermittlung aller IKT-Drittdienstleister, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen;
  • Strategie zum Umgang mit dem IKT-Drittparteienrisiko (ab 2025 insbesondere Prüfung, ob diese bereits Empfehlungen der Aufsichtsbehörden nicht oder nicht ausreichend umgesetzt haben);
  • Leitlinie für die Durchführung der vorvertraglichen Risikoanalyse bei Drittanbietern. Dabei ist insbesondere das Konzentrationsrisiko bei mehrfacher Beauftragung des gleichen Dienstleisters zu beachten;
  • Mindestens jährliche Überprüfung des IKT-Risikorahmenwerks (Art. 6 Abs. 5 DORA) und regelmäßige Revision (bei Kleistunternehmen seltener);
  • Entwicklung eines internen Prozesses zur kontinuierlichen Identifizierung von IKT-Risiken und zur Bewertung von Cyberbedrohungen und IKT-Schwachstellen;
  • Definition der Anforderungen an ein Programm zur Durchführung der Tests nach Art. 25 DORA.

Im Zusammenhang mit IKT-Vorfällen sollten außerdem die folgenden Unterlagen vorgehalten werden:

  • Definition von Alarmschwellen und -kriterien, um Reaktionsprozesse bei IKT-bezogenen Vorfällen auszulösen und einzuleiten;
  • Prozess zur Identifizierung, Behandlung und Meldung von Cyberbedrohungen;
  • Richtlinie zur Klassifizierung von IKT-bezogenen Vorfällen insbesondere anhand der Anzahl der Betroffenen und ggf. Wert oder Anzahl der betroffenen Transaktionen, Dauer des Vorfalls, geografischen Ausbreitung, verbundenen Verfügbarkeits-, Authentizitäts-, Integritäts- oder Vertraulichkeitsverlusten von Daten, der Kritikalität und der wirtschaftlichen Auswirkung;
  • Kommunikationspläne und -strategien zur Offenlegung von IKT-Vorfällen gegenüber Kunden, Geschäftspartnern und der Öffentlichkeit.

V.    Ausblick

Bis Ende 2024 sollen die RTS, IST, die ESA-Guidelines sowie die nationalen Rundschreiben und die ESA-Guidelines noch einmal überarbeitet werden, bevor DORA sowie die begleitende Änderungsrichtlinie am 17. Januar 2025 in Kraft treten. Auch wenn so in den nächsten Monaten noch mehr konkrete Informationen zur Umsetzung bekannt werden, sollten Finanzunternehmen schon jetzt mit der Überarbeitung und Ergänzung der IKT-Dokumente beginnen.

 

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.