DORA: Anforderungen an die Behandlung von IKT-Vorfällen
DORA setzt neue Standards im Finanzsektor, um auf Cyberangriffe und andere Störungen im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) angemessen reagieren zu können. Seit meinem ersten Artikel über die Behandlung von IKT-Vorfällen im Juni 2023 hat sich einiges weiterentwickelt. Auch die BaFin bietet nun detaillierte Informationen zum DORA an. In diesem Teil meiner DORA-Serie stelle ich die neuesten Entwicklungen im Umgang mit IKT-Vorfällen vor.
IKT-Vorfälle
DORA fordert von den Finanzunternehmen, Systeme für den Umgang mit IKT-Problemen zu entwickeln, die das Erkennen, das Managen und die Meldung solcher Vorfälle abdecken. Ein IKT-Vorfall betrifft jedes unerwartete Ereignis, das die Sicherheit der Systeme bedroht und negative Auswirkungen auf Daten oder Dienstleistungen hat.
Laut BaFin ist ein IKT-bezogener Vorfall ein von dem Institut oder Unternehmen nicht geplantes Ereignis bzw. eine Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Absatz 1 Nr. 8 DORA).
Meldepflichten
Solche Vorfälle und Bedrohungen müssen protokolliert und nach den Kriterien des DORA kategorisiert werden. Kritische Vorfälle müssen der BaFin und möglicherweise auch den Kunden gemeldet werden.
Mit der Einführung des DORA müssen nicht mehr nur Kredit- und Zahlungsinstitute ein Meldewesen für Betriebs- oder Sicherheitsvorfälle etabliert haben. Für manche Finanzunternehmen wie etwa Kapitalverwaltungsgesellschaften ist ein solches Meldewesen gänzlich neu.
Die Finanzunternehmen sind verpflichtet, der BaFin Erst-, Zwischen- und Abschlussberichte vorzulegen, wobei die europäischen Behörden weitere Leitlinien und Formate vorgeben werden. Eine einheitliche EU-Meldeplattform ist in Planung.
Klassifikationskriterien
Ein solcher Vorfall ist dann zu melden, wenn der Vorfall die entsprechenden Klassifikationskriterien erfüllt. Der Klassifikationsprozess sowie die Klassifikationskriterien basieren auf den in Artikel 18 DORA genannten Anforderungen und werden in einem Regulatory Technical Standard (RTS) genauer geregelt. Den finalen Entwurf des RTS zu den Kriterien für die Klassifizierung finden Sie hier: (Bafin-PDF)
Die BaFin leitet die Meldungen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI), an die jeweilige Europäische Aufsichtsbehörde (EIOPA, ESMA oder EBA) und gegebenenfalls weitere Akteure (z. B. die Europäische Zentralbank) weiter.
Wenn ein schwerwiegender IKT-bezogener Vorfall eintritt, der sich auf die finanziellen Interessen von Kunden auswirkt, informieren die Finanzunternehmen ihre Kunden unverzüglich über den Vorfall und über die ergriffenen Maßnahmen. Bei einer erheblichen Cyber-Bedrohung unterrichten die Finanzunternehmen gegebenenfalls ihre potenziell betroffenen Kunden über geeignete Schutzmaßnahmen.
Lex-specialis-Regelung
Wenn sowohl DORA als auch die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS2-Richtlinie, nationale Umsetzung unter anderem im BSIG) Vorgaben definieren, müssen die spezifischeren Anforderungen in DORA vorrangig beachtet werden. Dadurch sind die Finanzunternehmen, welche sowohl unter die NIS2-Richtlinie als auch unter DORA fallen, nur zu einer Vorfallmeldung gemäß DORA an die BaFin verpflichtet.
Finanzunternehmen können die Berichtspflichten an einen externen Dienstleister auslagern. Im Falle einer solchen Auslagerung bleibt das Finanzinstitut in vollem Umfang für die Erfüllung der Meldepflichten für Vorfälle verantwortlich.
IKT-Drittparteimanagement
Die BaFin nimmt Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor
Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher zum Thema DORA erschienen:
DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
DORA: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz
DORA: Neuer Maßstab für Cybersicherheit in der Finanzwirtschaft
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de