Am 10. November 2022 genehmigte das Europäische Parlament den Vorschlag für eine Verordnung über die operative Widerstandsfähigkeit digitaler Systeme im Finanzsektor, bekannt als Digital Operational Resilience Act (DORA). Diese Vereinbarung schafft einen spezifischen Rahmen, um die Widerstandsfähigkeit zu stärken und mit den wachsenden Herausforderungen umzugehen. Veröffentlicht im Amtsblatt der EU (ABlEU) am 27. Dezember 2022, trat die Verordnung zu Beginn des Jahres 2023 in Kraft und gilt für alle 27 EU-Mitgliedstaaten ab 2025. Doch welche Auswirkungen hat dies auf den Finanzsektor und warum muss die Branche diese neue EU-Verordnung einhalten?
DORA: Regulatorischer Kontext und strategische Ziele
Was ist der regulatorische Kontext?
Das Digital Operational Resilience Act (DORA) für den Finanzsektor ist eine Verordnung des Europäischen Parlaments, die darauf abzielt, einheitliche Anforderungen für die Erreichung eines hohen Masses an digitaler operativer Widerstandsfähigkeit festzulegen.
Was ist operative Widerstandsfähigkeit? Wieso DORA?
Digitale operative Widerstandsfähigkeit bezeichnet die Fähigkeit von Unternehmen, ihre Betriebsintegrität trotz ICT-bedingten Störungen aufrechtzuerhalten. Die EU-Verordnung DORA, legt einen einheitlichen Rahmen für die digitale operative Widerstandsfähigkeit fest und vereinheitlicht die Richtlinien für alle regulierten Finanzinstitute. Es stellt die erste gesetzliche Konsolidierung gemeinsamer Richtlinien für ICT-bezogene Risiken im Finanzsektor dar. Zudem führt DORA ein EU-weites Aufsichtssystem für Drittanbieter von ICT-Diensten ein, die als "kritisch" für Finanzunternehmen betrachtet werden, um eine angemessene europäische Überwachung sicherzustellen.
Was sind die Ziele von DORA?
Das Ziel von DORA ist es, eine klarere Grundlage für die EU-Finanzregulierungs- und -aufsichtsbehörden zu schaffen, um ihre Rolle auszuweiten. Neben der finanziellen Widerstandsfähigkeit der Unternehmen soll DORA sicherstellen, dass sie auch im Falle einer schwerwiegenden Störung ihrer IT-Systeme ihre Betriebsabläufe störungsfrei aufrechterhalten. Der Zweck der Initiative ist einen wettbewerbsfähigen europäischen Finanzsektor zu schaffen, der Verbrauchern Zugang zu innovativen und sicheren Finanzprodukten bietet, gleichzeitig jedoch die Gesamtstabilität des Finanzsystems gewährleistet. Ein Schlüsselelement von DORA ist seine Fähigkeit, potenzielle Lücken zu identifizieren und dann entsprechende Behebungsmassnahmen in die digitalen Programme der Unternehmen zu integrieren.
Insbesondere die Auswirkungen von DORA auf Unternehmen im Finanzsektor werden voraussichtlich erheblich sein. Diese Gesetzgebung legt einen entscheidenden Rahmen fest, indem sie die digitale operative Widerstandsfähigkeit stärkt. Dazu stellt sie sicher, dass Finanzinstitutionen die Störungen im Zusammenhang mit der Informationstechnologie und der zunehmenden Vernetzung zwischen den Akteuren effektiv bewältigen können. Bei RSM liegt unsere Aufgabe darin, regulierte Unternehmen bei der Umsetzung von DORA zu unterstützen. RSM stellt sicher, dass sie wettbewerbsfähig und innovativ bleiben, sowie ihre finanzielle Stabilität aufrechterhalten können und weiterhin die gesetzlichen Vorschriften erfüllen. RSM unterstützt und berät eine Vielzahl von Unternehmen des privaten und öffentlichen Sektors bei der Verbesserung ihrer Cybersicherheit und bei der Durchführung der notwendigen Massnahmen zur Einhaltung der Anforderungen und Grundsätze von DORA, worunter auch die folgenden Dienstleistungen fallen:
- Implementierung von ISMS (ISO 27001),
- Sicherheitsaudits,
- Schulung und Aufklärung,
- Informationsmanagement und Sicherheit,
- Bewertung des Reifegrads des Vorfallsmanagements,
- Intrusionstest
- ...
Welches sind die 5 Säulen der digitalen operativen Widerstandsfähigkeit?
DORA zielt darauf ab, die Regeln für das Risikomanagement von ICT zu vereinfachen und zu aktualisieren. Der Schwerpunkt liegt dabei auf das Melden von Vorfällen, das Testen der digitalen operativen Widerstandsfähigkeit, den Informationsaustausch und das Risikomanagement in der Lieferkette Dritter. Das Ziel besteht vor allem darin, eventuelle Defizite zu evaluieren und Behebungsmassnahmen in ihre eigenen digitalen Programme zu integrieren. Die wichtigsten Anforderungen und Überlegungen im Rahmen von DORA sind unter fünf Hauptthemen zusammengefasst:
1 - Management von ICT-Risiken
DORA erfordert die Umsetzung eines umfassenden Rahmens für das IT-Risikomanagement, dieser dient als Grundlage, um die Widerstandsfähigkeit von Finanzorganisationen zu stärken. Es liegt in der Verantwortung des Managements, letztendlich für das ICT-Risikomanagement innerhalb der Finanzinstitution zu sorgen. Die Schaffung eines kohärenten Governance- und Kontrollrahmens ist beispielsweise eine konkrete Initiative, die ein wirksames Vorgehen gegen ICT-Risiken gewährleistet. Integriert in ein Gesamtrisikomanagement-Framework, bildet es einen Teil einer Strategie für digitale operative Widerstandsfähigkeit.
2 - Systeme zum Informationsaustausch
Um das Bewusstsein für die zunehmenden ICT-Risiken zu schärfen und ihre Auswirkungen zu begrenzen und gleichzeitig die Abwehrfähigkeiten der Unternehmen zu unterstützten, sieht die Verordnung vor, dass die Unternehmen Systeme zum gegenseitigen Informationsaustausch über Cyberangriffe und andere Cyberbedrohungen sowie Erkenntnisse über spezifische IT-Plattformen einrichten.
3 - Risikomanagement bezüglich Drittanbietern von ICT-Dienstleistungen
Die Anforderungen richten sich nach nationalen, internationalen und branchenspezifischen Standards, Richtlinien und Empfehlungen und basieren auf spezifischen ICT-Risikomanagementfunktionen:
- Identifizierung,
- Schutz und Prävention,
- Aufdeckung,
- Reaktion und Wiederherstellung,
- Lernen,
- Entwicklung und Kommunikation.
Um gegenüber ICT-Risiken widerstandsfähig zu sein, müssen Finanzunternehmen über ein dokumentiertes, robustes und umfassendes Verfahren verfügen, dass alle externen Faktoren berücksichtigt, die ihr Geschäft langfristig zum Stillstand bringen könnten.
4 - Prüfung der digitalen operativen Widerstandsfähigkeit
DORA stellt die Anforderung zur Umsetzung eines angemessenen, risikobasierten Programms zur Prüfung der digitalen operative Widerstandsfähigkeit als integralen Bestandteil des Risikomanagement-Frameworks. Das Programm umfasst die Durchführung einer Vielzahl geeigneter Tests wie Schwachstellenbewertungen und Scans, Scans von Open-Source-Quellen und Beurteilungen der Netzsicherheit, um Bedrohungen zu beseitigen.
5 - Verwalten, Klassifizieren und Melden von ICT-Vorfällen
Die Einführung eines einheitlichen Meldeverfahrens bei Vorfällen soll die Verwaltungslast für Finanzunternehmen verringern und damit die Wirksamkeit der Überwachung erhöhen. Der Meldebericht folgt einem standardisierten Modell und einem harmonisierten Verfahren zur optimalen Bearbeitung: Erkennung, Verwaltung und Meldung von ICT-Vorfällen. Schwerwiegende Vorfälle müssen der Geschäftsleitung und den verschiedenen Organen sowie den zuständigen Behörden gemeldet werden. Diese Meldung erfolgt auf der Grundlage einer Vorlage, die von der ESA (Europäische Aufsichtsbehörde) definiert wird. Die Unternehmen können auch fortgeschrittene Cyberbedrohungen freiwillig melden.
Abschliessend ist festzuhalten, dass die Schlüsselthemen wie, Governance, Informationsaustausch, Risikomanagement von Cyber-Risiken Dritter, das Testen der operativen Widerstandsfähigkeit und Vorfallberichterstattung, die Grundpfeiler der Verordnung sind. Sie verdeutlichen die Notwendigkeit des Aufbaus einer widerstandsfähigen und sicheren digitalen Infrastruktur. RSM bietet Ihnen für jeden Bereich Lösungsvorschläge.
Das Konzept der operativen Widerstandsfähigkeit des europäischen Gesetzgebers unterstreicht somit die Notwendigkeit, die Herangehensweise des Risikomanagements der Unternehmen zu ändern. Der Ansatz konzentriert sich nicht mehr auf die Vermeidung von Risiken und die Begrenzung von Verlusten, sondern auf einen globaleren und proaktiven Ansatz. Der europäische Gesetzgeber hat erkannt, dass selbst die unwahrscheinlichsten Vorfälle eintreten können und wir darauf vorbereitet sein müssen damit umzugehen, um die Kontinuität kritischer oder wichtiger Aktivitäten und Dienstleistungen sicherzustellen.
Welche Auswirkungen wird DORA auf Organisationen haben?
Welche Unternehmen sind betroffen?
Die DORA-Regeln sollen ein sehr breites Spektrum von Unternehmen im Finanzsektor sowie von ICT-Dienstleistern abdecken, die innerhalb der Europäischen Union tätig sind. Die zu erfüllenden Anforderungen richten sich dabei nach der Grösse und dem Profil des Unternehmens. Die folgende Liste ist nicht abschliessend und umfasst die von DORA betroffenen Organisationen:
- Kreditinstitute
- Zahlungsverkehrs- und E-Geld-Institute
- Anbieter von Krypto-Asset-Dienstleistungen
- Zentrale Verwahrungsstellen
- Handelsplattformen
- Investmentfondsmanager und Verwaltungsgesellschaften
- IT-Dienstleister
- Versicherungs- und Rückversicherungsunternehmen sowie Vermittler
- Pensionsfonds
- Ratingagenturen
- Gesetzliche Wirtschaftsprüfer und Prüfungsgesellschaften
- Administratoren kritischer Referenzzinssätze
- ...
DORA richtet sich daher an einen sehr breiten Nutzerkreis und legt einen einheitlichen Rahmen fest, in den Banken, Versicherungen, Zahlungsdienstleister und andere Akteure des Finanzsektors eingebunden sind. Nur "Kleinstunternehmen" mit weniger als 10 Beschäftigten und einem Jahresumsatz von 2 Mio. EUR sind von der Richtlinie ausgeschlossen.
Welche wichtigen Daten sind zu beachten?
Mit ihrer unmittelbaren Anwendung ab dem 17. Januar 2025 vereinheitlicht die Richtlinie die europäischen Normen für alle EU-Mitgliedstaaten.
Es ist zu beachten, dass diese Verordnung durch eine Richtlinie (2022/2556) begleitet wird, die Verweise auf den bestehenden EU-Rechtsrahmen enthält, einschliesslich CRD IV, DSP2, BRRD, Solvabilität 2, IORP2, MiFID 2 und AIFM, neben anderen. Die Verordnung muss von den Mitgliedstaaten bis zum 17. Januar 2025 umgesetzt werden.
Um diese Veränderungen zu bewältigen, sollten die betroffenen Marktteilnehmer und IKT-Dienstleister bereits jetzt mit den internen Vorbereitungen beginnen, indem sie die operativen und strategischen Auswirkungen dieser neuen Vorschriften bewerten und eine geeignete Richtlinie festlegen.
Um den Übergang zu erleichtern, wird die Europäische Kommission in Zusammenarbeit mit den europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA) eine Reihe von technischen Regulierungs- und Umsetzungsstandards (RTS und ITS) veröffentlichen. Die Veröffentlichung der RTS und ITS erfolgt in zwei Schritten, der erste Teil im Januar 2024 und der zweite im Juli 2024.
Unten finden Sie ein Diagramm der verschiedenen Einführungsphasen von DORA:
Zusammenfassend zeigen die Kernpunkte dieser Regelung, wie Governance, Informations- und Datenaustausch, Risikomanagement von Drittanbietern, Prüfung der operativen Widerstandsfähigkeit und Prozesse zur Meldung von Zwischenfällen, wie bedeutsam der Aufbau einer widerstandsfähigen und sicheren digitalen Infrastruktur ist.