DORA: Neuer Maßstab für Cybersicherheit in der Finanzwirtschaft

Angesichts steigender Bedrohung durch Cyberangriffe wachsen auch die operationellen Risiken in der Finanzbranche. Darauf soll der DORA eine Antwort liefern. DORA setzt bei der Steuerung dieser Risiken nicht auf die Zuweisung von Kapital. DORA fordert, dass Finanzunternehmen künftig konkrete Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung von Vorfällen der in der Informations- und Kommunikationstechnik (IKT) befolgen. Die Verordnung geht davon aus, dass ein Mangel an operationeller Widerstandsfähigkeit die Solidität des gesamten Finanzsystems gefährden kann, selbst wenn dafür ausreichend Kapital vorgehalten wird.

Damit existiert erstmals eine EU-Verordnung, die mit wenigen Ausnahmen für alle europäischen Finanzunternehmen anwendbar ist. Das erhöht auch die Bedeutung der IT bei der Einhaltung der regulatorischen Anforderungen.

Fokus auf IKT-Dienstleister

Der Finanzsektor ist stark abhängig von Informations- und Kommunikationstechnologien (IKT), insbesondere von Infrastrukturen und Cloud-Dienstleistungen. Daher zielt DORA insbesondere auf diese Gruppe von IKT-Drittdienstleistern. Erstmals werden Dienstleister einheitlich reguliert, wenn sie als kritisch eingestuft wurden. Das betrifft insbesondere große Cloud-Anbieter.

DORA konkretisiert und verschärft die bestehenden Anforderungen. Es legt detaillierte Regelungen für Finanzunternehmen fest und hat dabei insbesondere das IKT-Risikomanagement, die Meldung von IKT-Vorfällen und die Überwachung von Risiken durch IKT-Drittdienstleister im Blick. Ziel ist es, die Digitalisierung des Finanzmarktes voranzutreiben, Wettbewerb und Innovationen zu fördern und die die Finanzstabilität zu sichern.

DORA ist dabei als eine lex specialis zur zeitgleich veröffentlichten NIS-2-Richtlinie zu sehen. Der DORA-Überwachungsrahmen für kritische IKT-Drittdienstleister ergänzt die Regelungen von Cloud-Computing-Anbietern nach der NIS-2-Richtlinie.

Erheblicher Umsetzungsbedarf bis Ende 2024

DORA baut auf bereits bestehende IT-Regulierungen und -Standards auf. Es konkretisiert und erweitert sie jedoch in einem Umfang, einen erheblichen Umsetzungsbedarf auslösen kann. Wie hoch dieser Aufwand konkret ist, hängt von der Art des Finanzunternehmens und dem Stand der Umsetzung der aktuellen regulatorischen Anforderungen an die IT ab.

Da ab dem 17. Januar 2025 alle Vorgaben umgesetzt sein müssen, sollten Finanzunternehmen bereits jetzt mit den Anforderungen von DORA vertraut sein, den Handlungsbedarf analysieren und die Umsetzung planen. Vor allem macht DORA deutlich, dass die digitale Resilienz die Zusammenarbeit über Organisationsgrenzen hinweg notwendig macht. Dabei lässt sich die Gesamtverantwortung der Geschäftsleitung für Themen wie das Business Continuity Management nicht an einzelne Organisationseinheiten delegieren. Die Geschäftsleitung muss jetzt identifizieren, welche IKT-Dienstleistungen kritische oder wichtige Funktionen unterstützen.

Umfassendes Vertragsmanagement

Das erfordert es auch, neue Rollen und Verantwortlichkeiten festzulegen, Richtlinien und Strategien anzupassen und einen Prozess zum Management von IKT-Störungen zu etablieren.

Das macht auch das Vertragsmanagement umfassender. Es muss sämtliche IKT-Verträge umfassen und besonderes Augenmerk auf die Anbindung kritischer IKT-Drittdienstleister legen. Dabei spielen Verhandlungen mit den großen US-amerikanischen Anbietern eine wichtige Rolle.

Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.

Bisher zum Thema DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de