Die DORA kommt

Die DORA kommt

Article Digital Business & Innovation Organizational Excellence & Transformation Sourcing Advisory Technology & Platforms

Wie Finanzinstitute und IKT-Drittanbieter bis 2025 durch Regulierung digital resilienter werden sollen.

Kernbotschaften

  1. DORA kurz und knapp
  2. Hintergründe der neuen Verordnung
  3. Unternehmen im Geltungsbereich
  4. Operative Umsetzung der Anforderungen

DORA kurz und knapp:

Finanzinstitute sollen durch Regulierung nicht nur digitaler, sondern auch resilienter werden

Bereits am 16.01. dieses Jahres trat der EU Digital Operational Resilience Act, kurz DORA (Verordnung über die digitale operative Resilienz im Finanzsektor[1]), in Kraft.

Ziel der Verordnung ist die Stärkung der Resilienz des europäischen Finanzsektors gegen Risiken der Informations- und Kommunikationstechnologie (IKT), wie z.B. IT-Ausfälle und Cyberangriffe, durch einheitliche Anforderungen an die Sicherheit der Netz- und Informationssysteme.

DORA ist Teil eines bereits am 24. September 2020 vorgelegten Massnahmenpakets zur Digitalisierung des Finanzsektors, mit dem die Europäische Kommission die Wettbewerbsfähigkeit und Innovation stärken will.

Mit einem europäischen Ansatz soll einerseits die Entwicklung und Nutzung neuer Technologien und Produkte gefördert und andererseits die Finanzstabilität sowie der Verbraucher- bzw. Anlegerschutz sichergestellt werden. Über die neue Regulierung will die Aufsicht nicht nur die IT-Sicherheit und Cyberabwehr in der europäischen Finanzwirtschaft, sondern auch die eigenen damit verbundenen Aufsichtsmöglichkeiten verbessern.

DORA (Digital Operational Resilience Act) zielt darauf ab, einen umfassenden und sektorübergreifenden Rahmen für die digitale operationelle Resilienz mit Regeln für alle regulierten Finanzinstitute zu schaffen. Banken, Börsen, Clearingstellen und Fintechs werden strenge Standards einhalten müssen, um die Auswirkungen von IKT-bezogenen Risiken zu verhindern und zu begrenzen.

DORA, Etappen des Gesetzgebungsverfahrens

Den betroffenen Unternehmen im Finanzdienstleistungsbereich bleibt eine Frist von 24 Monaten für die Umsetzung.

Back to top

Hintergründe der neuen Verordnung:

Die Nutzung innovativer Technik rückt neue Arten von Risiken in den Fokus der Aufsicht

Die Digitalisierung ist, und nicht erst seit Corona, aus der Bankenbranche nicht mehr wegzudenken.

  • Die Nutzung digitaler Angebote ist bereits heute für die meisten Kunden selbstverständlich – und längst vorbei die Zeiten, als die rein digitale Kontoeröffnung eine aufseh enerregende Innovation darstellte.
  • Ohne die Hebung von Effizienzen aus der Nutzung neuer Technologien wie Automatisierung Cloud oder BigData und DataMining sind Anbieter von Finanzdienstleistungen nicht mehr wettbewerbsfähig oder werden es zumindest bald nicht mehr sein.
  • Die durch Digitalisierung gewonnene Flexibilität in der täglichen Arbeit spielt nicht zuletzt auch eine bedeutsame Rolle bei der Gewinnung und Bindung von Arbeitskräften.

Doch mit der Erschliessung und Nutzung von innovativer Technik entstehen auch neue Arten von Risiken.

IT-Sicherheit als Schwerpunktthema der Bankenaufsicht

Die zunehmende Digitalisierung und Nutzung von IT-Produkten erhöht die Abhängigkeit bei Finanzunternehmen von Informations- und Kommunikations- Technologie und macht sie besonders anfällig für damit verbundene Störungen oder Bedrohungen. In der Folge kann es zu Beeinträchtigungen der Informationssicherheit,
zu Datenverlusten oder Einschränkungen der Geschäftstätigkeit kommen.

Vor dem Hintergrund des Verbraucherschutzes sowie aufgrund möglicher Auswirkungen auf betroffene Finanzinstitute und mit Ihnen verbundene weiterer Unternehmen rückt die digitale operative Resilienz im Finanzsektor zunehmend in den Fokus der Bankenaufsicht.
Cyberrisiken standen im Jahr 2022[2] und „Risiken aus Cyberattacken mit gravierenden Auswirkungen“ stehen auch im Jahr 2023[3] als eines von sechs genannten Risikoschwerpunkten im Fokus der BaFin.

Zudem hat die BaFin die „Digitalisierung der Finanzbranche“ als einen von drei wesentlichen Zukunftstrends ausgemacht, die Risiken bergen, mit denen sich die BaFin und die von ihr beaufsichtigten Unternehmen intensiv befassen müssen.[4]

Mit der Verordnung über die digitale operative Resilienz will die Aufsicht nun für mehr „digitale Betriebsstabilität“ im Finanzsektor sorgen.

Back to top

Unternehmen im Geltungsbereich:

Von der DORA sind neben Finanzunternehmen auch IKT-Drittanbieter betroffen

Zusätzlich zu bestehenden Regelungen will die Aufsicht mit der DORA sicherstellen, dass neue Technologien und Produkte in den Geltungsbereich der Finanzmarktregulierung und der Regelungen zur Steuerung der operationellen Risiken von in der EU tätigen Unternehmen fallen.

Um dies zu erreichen, ergänzt die DORA bisher geltende Anforderungen und Vorgaben für die regulierten Banken, Versicherungen und Zahlungs­dienstleister.
Die erforderlichen Sicherheitsmassnahmen für die Prävention und Absicherung gegen die Auswirkungen von IKT-Ausfällen sowie von Cybervorfällen
werden präzisiert bzw. ergänzt.

Zusätzlich wir der Kreis der Unternehmen im Anwendungsbereich deutlich erweitert. Der in Absatz 2 Artikel (1) der Verordnung definierte Geltungsbereich umfasst u.a. auch Krypto-Dienstleister, Handelsplätze, Ratingagenturen und Datenbereitstellungsdienste sowie Versicherungsvermittler. Aufgrund der Abhängigkeit des Finanzsektors von Dritt- (Viert-, …) Anbietern und deren IT-Sicherheit wird zudem mit der Nennung von „IKT-Drittdienstleister“ der Aufsichtsrahmen auch auf im Finanzsektor tätige IKT-Drittanbieter ausgeweitet.

Von der DORA betroffen sind alle Unternehmen, die IT-Dienstleistungen an Finanzunternehmen bereitstellen. Die Definition dieser Dienstleistungen umfasst „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschliesslich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.

Damit unterliegen Unternehmen, die digitale Dienste und Datendienste erbringen, Anbieter von Cloud-Computing-Diensten, Software, Datenanalysedienste und Rechenzentren für Finanzunternehmen zukünftig unmittelbar der neuen Regulierung. Nach dem Proportionalitätsprinzip gelten dabei weniger Vorgaben für kleinere Unternehmen (so genannte Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme von weniger als 2 Mio. EUR). 

Von der bis zum 17.01.2025 umzusetzenden neuen Verordnung sind damit nicht nur Finanzunternehmen betroffen, sondern auch Unternehmen, die bislang nicht unmittelbar reguliert waren. Für potenziell betroffene Unternehmen sollte aufgrund der enthaltenen Legalausnahmen sowie der Abhängigkeit bestimmter Anforderungen von der Grösse und genauen Tätigkeit des Unternehmens der erste Schritt darin bestehen, zunächst zu prüfen ob und in welchem Umfang sie tatsächlich betroffen sind.

Back to top

Operative Umsetzung der Anforderungen:

Die operative Umsetzung in den betroffenen Unternehmen involviert verschiedene Einheiten

Die umzusetzenden Anforderungen betreffen verschiedene Themenbereiche und erfordern damit eine Beteiligung verschiedener Organisationseinheiten.
Hauptsächlich betroffen sind IT, Informationssicherheitsmanagement, Business Continuity Management und das (zentrale) Auslagerungsmanagement.

Die Verordnung erfordert die Umsetzung in vier Themenschwerpunkten:

  • IKT-Risikomanagement mit Anforderungen an IT-Sicherheit, ISM und BCM;
  • Vorgaben zu Incidentmanagement und Meldung IKT bezogener Vorfälle;
  • Anforderungen an das Testen der digitalen operationalen Resilienz;
  • Management von Drittparteirisiken in der gesamten Weiterverlagerungskette

Die danach folgenden Kapitel definieren nicht obligatorische oder an die Aufsicht gerichtete Anforderungen.

Überblick über die fünf Schwerpunkte des Digital Operational Resilience Act DORA

Überblick über die fünf Schwerpunkte des Digital Operational Resilience Act DORA

Back to top

Den Unternehmen und Instituten bleibt eine Frist von 24 Monaten für die Umsetzung

Denn betroffenen Unternehmen bleibt jetzt ein Zeitfenster von nicht ganz zwei Jahren bis zum 17.01.2025, dem Tag ab dem die Verordnung angewendet und die Umsetzung von den nationalen Aufsichtsbehörden geprüft bzw. die Einhaltung durchgesetzt wird.

Teile des DORA-Rahmenwerks befinden sich allerdings momentan noch in Ausarbeitung:

  • die auf EU-Ebene delegierten Rechtsakte
  • die von den zuständigen EU-Aufsichtsbehörden zu erstellenden Leitlinien (Guidelines), technischen Regulierungsstandards (Regulatory Technical Standards, RTS) und technischen Durchführungsstandards (Implementing Technical Standards, ITS)

Trotzdem sollten Unternehmen im Geltungsbereich frühzeitig ihre Umsetzungsprojekte starten und die Umsetzungsfrist von 24 Monaten ausnutzen.

Dies gilt auch für bereits regulierte Unternehmen wie Banken, Versicherungen und Zahlungs­dienstleister, obwohl viele Vorgaben der DORA deckungsgleich mit den geltenden regulatorischen Richtlinien und damit vermeintlich bereits abgedeckt sind. Denn selbst mit einem hohen Reifegrad in der Umsetzung geltender Anforderungen müssen diese Unternehmen aufgrund der Präzisierungen und Erweiterungen durch die neue Verordnung mit einem erheblichen Umsetzungsaufwand rechnen. Zudem müssen sie sicherstellen, dass auch ihre IKT-Drittanbieter die DORA angemessen umsetzen oder sich ggf. bis zum Stichtag von ihnen trennen.

Die Umsetzung sollte zunächst mit einer Scope Analyse starten, um den jeweiligen Geltungsumfang für das betroffene Unternehmen zu definieren. Durch eine Verortung der umzusetzenden Anforderungen in der bestehenden Organisation werden die verantwortlichen Einheiten identifiziert, die in ein übergreifendes Umsetzungsprojekt für die Gap-Analyse, die Umsetzungsplanung und den Rollout einzubinden und zu koordinieren sind.

Im Anschluss empfiehlt sich eine Prüfung der „Audit Readiness“ um für die anstehenden Prüfungen gewappnet zu sein.

DORA Implementierung in 6 Schritten

DORA Implementierung in 6 Schritten

Back to top

Die Autoren

Stefanie Förster, Senior Manager
stefanie.foerster@eraneos.com

Florian Eglinski, Manager
Florian.Eglinski@eraneos.com

Ihre Experten zum Thema “DORA” in der Schweiz

Roman Regenbogen Eraneos Switzerland Banking Financial Services

Roman Regenbogen

Senior Manager

Financial Services | Banking

+41 58 123 93 20 LinkedIn
Adrian Anderegg

Adrian Anderegg

Partner, Financial Services

Financial Services | Technologie, Medien & Telekommunikation

Sourcing Advisory

+41584119614 LinkedIn

[1] chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022R2554
[2]https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Pressemitteilung/2022/pm_2022_03_02_Risiken_im_Fokus.html
[3]https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Pressemitteilung/2023/pm_2023_01_23_PK_Risiken_im_Fokus.html
[4] ebenda

Roman Regenbogen
By Roman Regenbogen
Partner
Adrian Anderegg
By Adrian Anderegg
Partner , Financial Services
Knowledge Hub Übersicht

Verwandte Inhalte

Alle verwandten Inhalte
Über die Sicherheitsimplikationen generativer KI
Whitepaper

Über die Sicherheitsimplikationen generativer KI

Resilienz als Antwort auf “Never normal”?
Article

Resilienz als Antwort auf “Never normal”?

Nachhaltigkeits-Event 2023 in der Umweltarena Spreitenbach
Article

Nachhaltigkeits-Event 2023 in der Umweltarena Spreitenbach