Der EU Digital Operational Resilience Act

Die Autoren

Dr. Patrik Buchmüller, selbständiger Unternehmensberater, Lehrbeauftragter an der Universität Leipzig, Universität Tübingen und Hochschule Worms

Sandra Schmolz, Managing Consultant bei RFC Professionals im Bereich Risiko und Regulatorik

Dr. Jens Gampe, Lehrbeauftragter an der Universität Leipzig. Der Autor ist bei der BaFin tätig und äußert an dieser Stelle ausschließlich seine persönliche Meinung

Die digitale operationale Resilienz im Finanzsektor steht weiterhin im Fokus der Aufsicht

Zunehmende Bedeutung der IT-Sicherheit und Cyberrisiken im Finanzsektor

Die Themen IT-Sicherheit und Cyberrisiken und in diesem Kontext insbesondere auch das Thema BCM gewinnen – nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und pandemiebedingte Arbeit im Homeoffice, sondern auch durch die derzeitige politische Lage im Hinblick auf den Krieg in der Ukraine und der damit verbundenen zunehmenden Bedrohung durch Cyberangriffe – stetig an Bedeutung. Dies zeigt auch der Bericht zur Finanzstabilität an den Deutschen Bundestag vom 28.6.2022. Im Bericht wird auf Seite 6 folgende Einschätzung zu möglichen Auswirkungen des Krieges auf die Finanzstabilität in Deutschland gegeben: „Deutsche Finanzintermediäre könnten durch den Krieg insbesondere über direkte und indirekte Forderungen gegenüber Russland, der Ukraine und Belarus Verluste verzeichnen. Darüber hinaus ist die Gefahr von Cyberangriffen gestiegen.“ 

Auch wenn im Finanzstabilitätsbericht der Bundesbank vom November 2022 das Thema IT-Risiko nur einen geringen Stellenwert eingenommen hat, wies der im Oktober 2022 veröffentlichte Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit  sehr deutlich auf eine Zuspitzung der Risikolage hin und bewertete die „Gefährdungslage im Cyber-Raum“ als so hoch, wie noch nie zuvor. Auf EU-Ebene warnte die European Banking Authority (EBA) in ihrem Risk Assessment  vom Dezember 2022 vor anhaltend hohen IT-Risiken und stellt in diesem Zusammenhang die Bedeutung des Digital Operational Resilience Act heraus. Auch die Europäischen Zentralbank (EZB) ging in ihrem jüngsten Financial Stability Review vom November 2022 intensiv auf die gestiegene Gefahr durch Cyberangriffe und die aus ihrer Sicht notwendigen zusätzlichen Investitionen des Finanzsektors in die IT-Sicherheit ein.

Somit ist auch der bereits seit Längerem wahrzunehmende Fokus der Aufsichtsbehörden und makroprudenziellen Überwachungsinstitutionen auf eine weitere Stärkung der digitalen operationalen Resilienz im Finanzsektor aktuell umso mehr nachvollziehbar. Bereits im Dezember 2021 veröffentlichte das European Systemic Risk Board (ESRB) als Antwort auf die zuletzt gestiegenen Cyberrisiken im Finanzsystem eine Empfehlung zur Entwicklung eines europäischen Kommunikationsprotokolls bei Cybervorfällen und beschäftigte sich unter anderem mit Maßnahmen zur Stärkung der Cyber-Resilienz des Finanzsystems. Die Umsetzung dieser und anderer Vorschläge erfordert allerdings sowohl konkrete Eingriffsmaßnahmen der Aufsichtsbehörden und eine nachgelagerte Standardsetzung durch die Supervisory Authorities (ESAs) als auch dem zugrundeliegend eine klare EU-rechtliche Grundlage in Form von Verordnungen und Richtlinien.

Hintergrund zum EU Digital Operational Resilience Act (DORA)

Bereits im Rahmen der Evaluierungen für eine Richtlinie über die Resilienz kritischer Einrichtungen sowie eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2) im Jahr 2019 wurde deutlich, dass bestehende Vorschriften angesichts der zunehmenden Digitalisierung der Wirtschaft, den zunehmenden Auswirkungen des Klimawandels und den terroristischen Bedrohungen aktualisiert und weiter gestärkt werden müssen. Im Mai und Juni 2022 konnte eine Einigung zu diesen Vorschlägen in EU-Rat und EU-Parlament erzielt werden. Eine Veröffentlichung der finalen NIS-II- Richtlinie erfolgte dann Ende Dezember 2022 im EU-Amtsblatt.

Ergänzend zur Stärkung der IT-Sicherheit von Finanzunternehmen wurde von der Kommission im September 2020 ein Vorschlag für eine Verordnung über die Betriebsstabilität digitaler Systeme (Digital operational resilience Act (DORA)) vorgelegt. Auch hierzu konnte im Mai 2022 eine Einigung in EU-Rat und EU-Parlament erreicht werden.

Im November 2022 wurde schließlich die finale Fassung der „ Verordnung über die digitale operationale Resilienz im Finanzsektor“  von EU-Parlament und EU-Rat verabschiedet. Diese wurde am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht und ist 20 Tage später, am 17.01.2023, in Kraft getreten. Für die Implementierung der 79 Seiten umfassenden DORA-Verordnung (Verordnung (EU) 2022/2554) durch die betroffenen Unternehmen und Behörden ist eine Frist von 24 Monaten bis 17.01.2025 vorgesehen. 

Zeitgleich mit der genannten Verordnung wurde auch die damit verbundene „ Richtlinie zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor“ mit analogen Implementierungsfristen veröffentlicht. Die DORA-Richtlinie (Richtlinie (EU) 2022/2556) enthält jeweils einzelne Anpassungen der genannten Richtlinien, welche im Zusammenhang mit der Verordnung erforderlich wurden. Die lediglich 11 Seiten umfassende DORA-Richtlinie muss nun nach ihrem formellen Inkrafttreten am 16.1.2023 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden und genauso wie die DORA-Verordnung ab dem 17.1.2025 angewandt werden.

DORA: Aktueller Rechtsetzungsstand und Zeitplan

Die folgende Abbildung gibt einen Überblick zum zeitlichen Verlauf der Entwicklung der DORA-Verordnung bis zu deren Anwendung ab dem 17.1.2025.

Neben der DORA-Verordnung und der damit verbundenen Richtlinie gehören zum DORA-Rahmenwerk auf EU-Ebene die Delegierten Rechtsakte sowie die von den zuständigen EU-Aufsichtsbehörden zu erstellenden Leitlinien (Guidelines), technischen Regulierungsstandards (Regulatory Technical Standards, RTS) und technischen Durchführungsstandards (Implementing Technical Standards, ITS).

Zu Abbildung 1: Entwicklungen zur DORA-Verordnung im Zeitverlauf

Die folgenden Ausführungen zu den Kernelementen von DORA beziehen sich auf den am 27.12.2022 veröffentlichten finalen Stand der Verordnung. Bis zur Anwendung ab dem 17.1.2025 sind die folgenden weiteren Detaillierungen über die Erarbeitung und Veröffentlichung diverser technischer Standards durch die ESAs vorgesehen und im Rahmen der Umsetzung zusätzlich zu berücksichtigen:

• weitere Einzelheiten zum IKT-Risikomanagement wie z.B. die wesentlichen Elemente, Anforderungen an Systeme und Netzwerke und an die Notfallplanung bestimmt werden (Entwürfe bis 17.1.2024, ESA-Mandate gem. Art. 15 und Art. 16 (3));
• weitere Details zur Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen (z.B. Schwellenwerte zur Bestimmung schwerwiegender IKT-Vorfälle und Cyberbedrohungen) (Entwürfe bis zum 17.1.2024, ESA-Mandat gem. Art. 18 (3));
• weitere Details zu Berichtspflicht, Meldeterminen, einheitlichen Meldeformaten für schwer-wiegende IKT-Vorfälle sowie Mitteilung wesentlicher Cyberbedrohungen (Entwürfe bis zum 17.7.2024, ESA-Mandat gem. Art. 20);
• Einzelheiten zu erweiterten Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT (Threat Led Penetration Testing, bedrohungsorientierte Penetrationstests) (Entwürfe bis zum 17.7.2024, ESA-Mandat gem. Art. 26);
• weitere Details zum Management des IKT-Drittparteienrisikos wie Vorgaben für ein Register i.S.d. Abs. 3 und für dessen Befüllung, zu internen Richtlinien sowie zur Unterauslagerung von kritischen oder wichtigen Funktionen (Entwürfe bis zum 17.1.2024 nach ESA-Mandate gem. Art. 28 sowie Entwürfe bis zum 17.7.2024 nach ESA-Mandat gem. Art. 30 (5));
• Spezifizierung zur Struktur des Überwachungsrahmens für kritische IKT-Drittdienstleister, zu Art und Umfang der Informationen sowie Berichtsinhalten (Entwürfe bis 17.7.2024, ESA-Mandat gem. Art. 41).

DORA: Betroffene Unternehmen

Gemäß Art. 2 Abs. 1 der DORA-Verordnung gelten die Anforderungen grundsätzlich für alle Versicherungs- und Rückversicherungsunternehmen, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Ratingagenturen Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen sowie für weitere Unternehmen wie Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste – in der Summe als „Finanzunternehmen“ definiert sowie IKT-Drittdienstleister.

Gemäß Art. 2 Abs. 3 der DORA-Verordnung werden allerdings einzelne Unternehmensgruppen wie z.B. Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung vom Anwendungskreis ausgenommen. Zudem können gemäß Art. 2 Abs. 4 der DORA-Vorordnung Institute die EU-Mitgliedsstaaten in Form eines nationalen Wahlrechts solche Institute vom DORA-Anwendungskreis ausnehmen, welche in Art. 2 Abs. 5 der CRD (Capital Requirements Directive) genannt sind. Dies kann z.B. die Kreditanstalt für Wiederaufbau und die staatlichen Förderbanken der Bundesländer betreffen.

Neben Finanzunternehmen sind auch „IKT-Drittdienstleister“ von der DORA-Verordnung betroffen. „IKT-Drittdienstleister“ waren gemäß Art. 3 Nr. 15 des Kommissionsentwurfs der DORA-Verordnung definiert als Unternehmen, welche digitale Dienste und Datendienste erbringen, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren, jedoch unter Ausschluss von Anbietern von Hardwarekomponenten und nach Unionsrecht zugelassener Unternehmen, die elektronische Kommunikationsdienste im Sinne des Artikels 2 Nummer 4 der Richtlinie (EU) 2018/1972 (so genannte EECC-Richtlinie zu Vorgabe eines European Electronic Communications Code (EECC) für elektronische Kommunikationsnetze- und -dienste) erbringen. Diese Definition wurde im Zuge der Trilog-Verhandlungen nochmals überarbeitet.

In der finalen Fassung des Rechtstextes der Verordnung ist ein „IKT-Drittdienstleister“ definiert als „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“. IKT-Dienstleistungen sind relativ weit definiert als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.

Die genannten Punkte zeigen, dass einerseits relativ viele Unternehmen von den neuen Vorgaben betroffen sein können und andererseits die potenziell betroffenen Unternehmen prüfen sollten, ob sie ggf. doch durch eine der in der DORA-Verordnung enthaltenen Legalausnahmen im Einzelfall möglicherweise vom Anwendungsbereich ausgenommen sind. Zudem sind die einzelnen Vorgaben der DORA-Verordnung abhängig von der Größe der Unternehmen umzusetzen. So sind zahlreiche Vorgaben für besonders kleine Unternehmen (so genannte Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme von weniger als 2 Mio. EUR) nicht umzusetzen und für kleine und mittlere, nicht verflochtene Unternehmen nur eingeschränkt relevant. Insofern ist die Prüfung, welche Anforderungen abhängig von der Größe und genauen Tätigkeit des Unternehmens nun wirklich umzusetzen sind, eine der Herausforderungen dieser neuen EU-Vorgaben.

Kernelemente von DORA

Ziel der DORA-Verordnung ist die Schaffung eines Rechtsrahmens mit einheitlichen Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen Dritten, die Dienstleistungen im Bereich IKT (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste bereitstellen. Mit dem EU-weit einheitlichen Rechtsrahmen für die digitale Betriebsstabilität soll sichergestellt werden, dass Unternehmen in der Lage sind, auf Störungen und Bedrohungen in Verbindung mit IKT angemessen reagieren zu können. Auf diese Weise sollen erfolgreiche Cyberangriffe möglichst verhindert bzw. deren Auswirkungen weitestgehend gemindert werden.

Neben dem in Artikel 2 der Verordnung definierten, weit gefassten Anwendungsbereich der Finanzunternehmen beinhaltet die DORA-Verordnung Regelungen zu den folgenden wesentlichen, für Finanzinstitute operativ relevanten Kernthemen:

• IKT-Risikomanagementrahmen inklusive Anforderungen an das Business Continuity Management mit Stärkung des Informationsrisiko- und Informationssicherheitsmanagements (Kapitel II),
• Behandlung von IKT-Vorfällen und deren Meldung (Kapitel III),
• Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen (Kapitel IV) sowie
• Steuerung und Überwachung von IKT-Drittdienstleisterrisiken mit verstärkten Anforderungen an das 3rd & 4th Party Risk Management (Kapitel V).
• das 3rd & 4th Party Risk Management (Kapitel V).

Die nachfolgende Abbildung gibt einen Überblick zu wesentlichen Neuerungen und Anforderungen in den einzelnen Kapiteln.

Zu Abbildung 2: Überblick zu wesentlichen Neuerungen und Anforderungen der DORA-Verordnung

Die Anforderungen in den weiteren Kapiteln, wie zum Beispiel der Informationsaustausch zwischen den Finanzmarktteilnehmern, sind nicht obligatorisch bzw. für die Finanzunternehmen nicht relevant, da an die Aufsicht gerichtet.

Die Umsetzung aufsichtlicher Vorgaben mit IT-Bezug vor DORA in Deutschland

In Deutschland wurden erweiterte Anforderungen an die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) und Banken bzw. deren IT-Dienstleister bereits im Jahr 2021 in verschiedenen rechtlichen Vorgaben umgesetzt.

Im Rahmen des IT-Sicherheitsgesetzes 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) wurde insbesondere die Definition von KRITIS-Betreibern erweitert. Daneben erfolgten inhaltliche Erweiterungen des Instrumentariums des Bundesamtes für Sicherheit in der Informationstechnik (BSI) u.a. bezüglich verstärkter IT-Komponentenprüfung und Sicherheitszertifizierung.

Mit dem Finanzmarktintegritätsstärkungsgesetz (FISG) wurde ein neuer Rechtsrahmen für Auslagerungen im Finanzsektor umgesetzt. Wesentliche Neuerungen dabei sind:

• der direkte Zugriff der BaFin auf Auslagerungsunternehmen, an die Banken wesentliche Aktivitäten und Prozesse – insbesondere IKT-Dienstleistungen – auslagert haben, z.B. über Sonderprüfung nach § 44 Abs. 1 KWG sowie
• die Anzeigepflichten für wesentliche Auslagerungen sowie die Pflicht zur Führung eines Auslagerungsregisters.

Mit der BAIT-Novelle 2021 (Bankaufsichtliche Anforderungen an die IT) wurden neue Anforderungen im Bereich des Informationssicherheitsmanagements auf Basis der EBA-Guidelines on ICT and Security Risk Management von 2019 eingeführt, welche bereits viele Elemente der DORA-VO aufgreifen. Daneben wurden im Kapitel „Operative Informationssicherheit“ bereits Anforderungen bzgl. Durchführung von Penetrationstests integriert. Schließlich ergänzen detaillierte Anforderungen an das IT-Notfallmanagement in den BAIT die mit der MaRisk-Novelle vom 16.8.2021 umfassend überarbeiteten Regelungen zum allgemeinen Notfallmanagement in AT 7.3 MaRisk.

Das Thema IT-Sicherheit gehört bereits seit mehreren Jahren zu den Prioritäten bei Prüfungen u.a. der Bankenaufsicht (ähnliche Anforderungen und Fokusprüfungen betreffen auch Versicherungen, Kapitalanlagegesellschaften und weitere Finanzunternehmen) – auch für die von BaFin und Bundesbank überwachten Less Significant Institutions (LSI). Im Rahmen des bankaufsichtlichen Überprüfungs- und Beurteilungsprozesses (SREP) wurden wesentliche Mängel und Schwachstellen insbesondere in den Bereichen Informationsrisiko- und Informationssicherheitsmanagement aber auch bei Auslagerungen und sonstigem Fremdbezug von IT-Dienstleistungen identifiziert. Als eine Reaktion auf die festgestellten Mängel und die zunehmenden Bedrohungen im Bereich der Auslagerungen wurden unmittelbare Anordnungsmöglichkeiten der BaFin gegenüber Auslagerungenunternehmen, an die Banken wesentliche Aktivitäten und Prozesse ausgelagert haben, in § 25b Abs. 4a KWG sowie Prüfungsmöglichkeiten der Aufsicht für solche Dienstleister in § 44 Abs. 1 KWG verankert. Diese werden auch zunehmend genutzt.

Des Weiteren zeigen auch die Ende 2022 von den Aufsichtsbehörden veröffentlichten Aufsichtsprioritäten der EZB und das Arbeitsprogramm der EBA für 2023 die weiterhin hohe Bedeutung der Überwachung der Risiken im Zusammenhang mit zunehmender Digitalisierung und Einsatz von Künstlicher Intelligenz sowie der Prüfung der operativen Widerstandsfähigkeit für IT-Auslagerungs- und IT-Sicherheits-/Cyberrisiken. Dabei beschäftigt sich die zweite Priorität der EZB mit der Bewältigung der Herausforderungen der Digitalisierung und den Mängeln in den Rahmenwerken für die operative Widerstandsfähigkeit. Die vierte der fünf vertikalen Prioritäten im Arbeitsprogramm der EBA befasst sich mit dem Thema Digital Finance sowie der Lieferung der DORA-Mandate.

Daneben koordiniert die Bundesbank die derzeit freiwilligen Tests bei bedeutenden Finanzunternehmen und deren IT-Dienstleistern in Deutschland im Rahmen von TIBER-DE, der im Jahr 2019 erfolgten Implementierung von TIBER-EU, einem Rahmenwerk für bedrohungsgeleitete Penetrationstests. Das Kürzel TIBER steht dabei für „Threat Intelligence-based Ethical Red Teaming“, ein Verfahren, in dem unternehmensextern beauftragte professionelle Angriffsteams ohne Wissen der unternehmensinternen IT-Sicherheit ganzheitliche Hackerangriffe zu Übungszwecken durchführen. Gemäß den Angaben im jüngsten Jahresbericht des Ausschusses für Finanzstabilität (AFS) vom Juni 2022 haben im Zeitraum vom April 2021 bis März 2022 sieben kritische Finanzunternehmen das Unterstützungsangebot der Bundesbank genutzt und einen TIBER-Test durchgeführt.

DORA: Umsetzungstipps für Finanzunternehmen und IKT-Drittdienstleister

DORA beinhaltet viele Vorgaben, die weitgehend kongruent mit Vorschriften aus bereits bekannten Regularien, wie z. B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/KAIT, ZAIT, EBA-Guidelines on Outsourcing Arrangements und EBA-Guidelines on ICT and Security Risk Management sind. Allerdings enthält DORA auch einige Abweichungen bzw. Detaillierungen und Ergänzungen gegenüber diesen Regularien. Die erweiterten Anforderungen führen insgesamt zu einem umfangreichen Umsetzungsaufwand in der Finanzindustrie. Das individuelle Ausmaß ist dabei abhängig von der Größe und den Risiken aus dem Geschäftsmodell (Proportionalitätsprinzip) und dem Reifegrad der digitalen operationalen Resilienz des jeweiligen Finanzunternehmens.

Finanzunternehmen und einschlägige IKT-Drittdienstleister sollten daher die verbleibende Zeit bis zur Anwendung der DORA-Verordnung nutzen und sich schon frühzeitig mit der Umsetzung der DORA-Anforderungen und ihrer aktuell bestehenden eigenen digitalen operationellen Widerstandsfähigkeit im Sinne einer GAP-Analyse beschäftigen.

Daneben wird eine Orientierung an den aktuellen MaRisk-/BAIT-Anforderungen sowie den EBA Outsourcing Guidelines und der einschlägigen EZB-Prüfungspraxis empfohlen. Zusätzliche Orientierungshilfen geben die Ergebnisse der aktuellen BAIT-Prüfungspraxis sowie die Verfolgung der aktuellen Initiativen von EBA/EZB. Dringend angeraten wird in diesem Zusammenhang eine unmittelbare und wirksame Verankerung und Umsetzung bestehender Melde- und Risikomanagementpflichten nach KWG/ZAG, sowie BAIT/MaRisk im Unternehmen.

Hinsichtlich der geforderten Penetrationstests wird eine Orientierung an TIBER-DE sowie gängigen Praktiken zu Notfallübungen zur Geschäftskontinuitätsplanung empfohlen. In diesem Zusammenhang wird auch eine Überprüfung von Datenschutz und Datensicherheit nahegelegt.

Der Vollständigkeit halber sei darauf hingewiesen, dass gemäß Erwägungsgrund 16 die DORA- Verordnung eine Lex specialis zur Richtlinie (EU) 2022/2555 ( NIS2-Richtlinie) verkörpert, weil mit DORA auch die Harmonisierung in der EU in Bezug auf die verschiedenen Komponenten der digitalen Resilienz erhöht wird, indem Anforderungen an das IKT-Risikomanagement und die Meldung von IKT-Vorfällen eingeführt werden, die strenger sind als diejenigen Regelungen, die bislang im Finanzdienstleistungsrecht der Union galten. In diesem Kontext ist zu erwarten, dass die für bislang als KRITIS-Betreiber im deutschen Finanzsektor beim BSI registrierten Unternehmen zu gegebener Zeit einschlägige zwischen BaFin und BSI abgestimmte Anforderungen in Bezug auf die Meldung von IKT-Störungen gemäß § 8b Abs. 4 BSIG sowie zur Sicherstellung der Anforderungen, die derzeit gemäß § 8a BSIG einzuhalten bzw. umzusetzen sind, kommuniziert werden.