Die Verordnung (EU) 2022/2554 über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) trat am 16.01.2023 in Kraft.
Für betroffenen Unternehmen ist DORA ab 17.01.2025 anwendbar.
Während im ersten Vortrag zu DORA allgemeine Aspekte (wie Anwendungsbereich und grober Überblick über DORA) behandelt wurden, sollen in diesem Vortrag die inhaltlichen Vorgaben von DORA ausführlich behandelt werden.
1. IKT-Risikomanagement (Kapitel II – Art 5-16)
Um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen, müssen „Finanzunternehmen“ (gemäß Art 2 Abs 2 DORA sind das alle in Art 2 Abs 1 aufgelisteten Unternehmen, mit Ausnahme der IKT (Informations- und Kommunikationstechnologie)-Drittdienstleister) über ein wirksames und umsichtiges Management von IKT-Risiken verfügen. So ist ein gut dokumentierbarere IKT-Risikomanagementrahmen einzuführen, der Teil des Gesamtrisikomanagementsystems sein muss.
Dieser IKT-Risikomanagementrahmen muss Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und- tools umfassen, um alle Informations- und IKT-Assets, einschließlich Computer-Software, Hardware und Server, ordnungsgemäß und angemessen zu schützen. Es ist eine Informationsleitlinie zu erarbeiten und zu dokumentieren.
Darüber hinaus sind alle relevanten physischen Komponenten und Infrastrukturen (wie Räumlichkeiten, Rechenzentren, und ausgewiesene sensible Bereiche) – etwa vor Beschädigungen oder unbefugtem Zugriff - zu schützen.
Die Verantwortung zur Umsetzung dieser Punkte trägt das Leitungsorgan (eine konkrete Auflistung der Aufgaben findet sich in Art 5 Abs 2 Lit a-i DORA).
Auf Anfrage sind der zuständigen Behörde vollständige und aktuelle Informationen über IKT-Risiken und den IKT-Risikorahmen vorzulegen.
Vorzusehen ist ebenfalls eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen.
In Form einer internen Revision ist der IKT-Risikomanagementrahmen regelmäßig einer Kontrolle zu unterziehen. Zudem müssen Finanzunternehmen eine „umfassende“ IKT-Geschäftsfortführungsleitlinie erstellen. Als Teil dieser Leitlinie müssen Finanzunternehmen eine sog. „Business-Impact-Analyse“ (BIA) der bestehenden Risiken für schwerwiegende Betriebsstörungen durchführen.
Finanzunternehmen haben mindestens einmal jährlich zu überprüfen, ob die Klassifizierungen und Dokumentationen des IKT-Risikos noch angemessen sind. Zudem sind Cyberbedrohungen und IKT-Schwachstellen zu ermitteln.
Finanzunternehmen werden zudem dazu verpflichtet, Richtlinien und Verfahren zur Datensicherung und Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden zu entwickeln und zu dokumentieren. Finanzunternehmen müssen über Kapazität und Personal verfügen, um Informationen über Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu sammeln und die wahrscheinlichen Auswirkungen auf die digitale operationale Resilienz zu untersuchen.
Nach Art 16 DORA sollen die Bestimmungen in Art 5-15 (unter anderem) nicht für „kleine und nicht verflochtene“ Wertpapierfirmen oder entsprechend der RL 2015/2366 (idF: „Zahlungsdienste-RL“) ausgenommene Zahlungsinstitute (Art 32 Zahlungsdienste RL) gelten. Aber auch diese treffen in Art 16 Abs 1 und Abs 2 aufgelistete Pflichten in Bezug auf das IKT-Risikomanagement.
2. Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III – Art 17–23)
Finanzunternehmen haben einen Prozess für die Behandlung IKT-bezogener Vorfälle einzurichten. Es müssen (unter anderem) auch Frühwarnindikatoren eingesetzt werden. Weitere Verpflichtungen werden in Art 17 Abs 3 DORA normiert.
Finanzunternehmen müssen zudem IKT-bezogene Vorfälle klassifizieren und deren Auswirkungen bestimmen.
Die Europäischen Aufsichtsbehörden (ESA) müssen nach Art 18 Abs 3 und 4 DORA allgemeine Entwürfe technischer Regulierungsstandards, in denen die Anforderungen an die Finanzunternehmen zur Klassifizierung der IKT-bezogenen Vorfällen präzisiert werden, bis 17.01.2024 der Europäischen Kommission übermitteln.
Finanzunternehmen müssen schwerwiegende IKT-Vorfälle innerhalb einer „angemessenen Frist“, die von der ESA in Form von technischen Regulierungsstandards noch festgelegt werden müssen, in Form von Erst-, Zwischen- und Abschlussberichten vorlegen und der zuständigen Behörde melden.
Der Inhalt sowie Fristen der Meldung sind von der ESA in Abstimmung mit der ENISA (Agentur der Europäischen Union für Cybersecurity) und der EZB in Form von technischen Regulierungsstandards festzulegen. Diese sind der Kommission bis 17.07.2024 vorzulegen.
3. Testen der digitalen Betriebsstabilität (Kapitel IV – Art 24-27)
Finanzunternehmen haben ein solides und umfassendes Programm zur Testung der digitalen operationalen Resilienz zu erstellen und zu pflegen. Testungen sind von unabhängigen, internen oder externen Parteien durchzuführen.
Finanzunternehmen haben Verfahren und Leitlinien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests zutage getretenen Probleme festzulegen.
Bei den IKT-Tools und Systemen beinhalten die Tests Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests.
4. Management des IKT-Drittparteienrisikos (Kapitel V – Art 28-44)
DORA hat auch das Ziel, einen geeigneten Rahmen für ein solides Management von IKT-Drittrisiken zu schaffen. IKT-Drittparteien sind Dienstleister, die aufgrund einer vertraglichen Vereinbarung IKT-Dienstleistungen für die Finanzunternehmen erbringen.
Finanzunternehmen bleiben aber jederzeit und in vollem Umfang für die Einhaltung und Erfüllung der Verpflichtungen aus DORA verantwortlich.
Finanzunternehmen haben eine Strategie für das IKT-Drittparteienrisiko auszuarbeiten und regelmäßig zu überprüfen. Dazu ist ein Informationsregister mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleistern bereitgestellten IKT-Dienstleistungen zu führen. Dieses ist auf Verlangen der zuständigen Behörde vorzulegen.
Zudem ist den Behörden mindestens einmal im Jahr ein Bericht zur Anzahl neuer Vereinbarungen über die Nutzung von IKT-Dienstleistungen zu erstatten.
Nach Art 42 Abs 6 DORA könne die Behörden das Finanzunternehmen dazu zwingen, die Nutzung oder den Einsatz einer IKT-Dienstleistung eines Drittdienstleisters vorübergehend teilweise oder vollständig auszusetzen. Die Behörde kann zudem verlangen, dass der Finanzdienstleister Verträge, die mit kritischen IKT-Drittdienstleistern geschlossen wurden, ganz oder teilweise zu kündigen.
DORA sieht vor, dass vertragliche Vereinbarungen nur dann abgeschlossen werden dürfen, wenn angemessene Standards für Informationssicherheit eingehalten werden. Bei kritischen IKT-Drittdienstleistern muss vor Abschluss einer Vereinbarung berücksichtigt werden, ob der IKT-Drittdienstleister die aktuellen und höchsten Qualitätsstandards für die Informationssicherheit anwendet.
DORA verpflichtet Finanzunternehmen, sicherzustellen, dass vertragliche Vereinbarungen über die Nutzung von IKT-Drittdienstleistungen gekündigt werden können, wenn die in Art 28 Abs 7 lit a-d DORA aufgezählten Umstände (zB erheblicher Verstoß des IKT-Drittdienstleisters gegen geltende Gesetze oder nachweisliche Schwäche des IKT-Drittdienstleisters beim IKT-Risikomanagement) vorliegen.
Die ESA soll bis 17.01.2024 Standardvertragsklauseln erarbeiten, die von Finanzunternehmen und IKT-Drittdienstleistern bei der Aushandlung vertraglicher Vereinbarungen erwogen werden sollten. Für die vertraglichen Vereinbarungen normiert Art 30 Abs 2 lit a-i bzw Art 30 Abs 3 a-f DORA strenge Vorgaben.
Die ESA hat eine Einstufung der IKT-Drittdienstleister, die für Finanzunternehmen als kritisch anzusehen sind, vorzunehmen. DORA sieht für kritische IKT-Drittdienstleister viele gesonderte Bestimmungen vor.
Kritische IKT-Drittdienstleister unterliegen einer strengen Kontrolle der „federführende Überwachungsbehörde“, die gemäß Art 31 Abs 1 lit b von der ESA zu ernennen ist.
5. Vereinbarungen über den Austausch von Informationen (Kapitel VI – Art 45)
Finanzunternehmen können Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen. Dazu müssen die Voraussetzungen in Art 45 Abs 1 lit a-c DORA vorliegen.
6. Zuständige Behörden (Kapitel VII – Art 46-Art 56)
DORA überträgt die Aufsicht zur Einhaltung der Anforderungen an die jeweils zuständigen Behörden, die für die Beaufsichtigung der in den Geltungsbereich fallenden Finanzunternehmen verantwortlich sind. In Österreich wird das in weiten Teilen die FMA sein.
Die Befugnisse umfassen (unter anderem) den Zugriff auf Unterlagen und Daten jeglicher Form, die Durchführung von Vor-Ort-Inspektionen und Untersuchungen einschließlich der Vorladung von Vertretern des Finanzunternehmens.
7. Delegierte Rechtsakte (Kapitel VIII – Art 57)
DORA erteilt der Kommission die Befugnis zum Erlass delegierter Rechtsakte.
8. Übergangs- und Schlussbestimmungen (Kapitel IX – Art 58-Art 64)
Bis 17.01.2028 hat die Kommission ein Überprüfung nach den Vorschriften in Art 58 Abs 1 lit a-e DORA vorzunehmen.