DORA - Teil 8: Behandlung von IKT-Vorfällen

Der Regulierungsrahmen DORA (Digital Operational Resilience Act) gibt detaillierte Regeln für das operationelle Risikomanagement im Finanzsektor vor. Der Rechtsrahmen soll dafür sorgen, dass Unternehmen auf Störungen und Bedrohungen etwa durch Cyberangriffe in Verbindung mit IKT angemessen reagieren können. 

In diesem achten Teil der Artikelserie stelle ich die Anforderungen von DORA an die Behandlung von IKT-Vorfällen vor.

Störungsmanagement

Laut DORA müssen Finanzunternehmen einen Prozess für das Management von IKT-Vorfällen festlegen, einführen und umsetzen. In Kapitel III wird beschrieben, wie das konkret zu erfolgen hat. Dabei erfassen Finanzunternehmen alle IKT-bezogenen Vorfälle und erheblichen Cyber-Bedrohungen. Sie richten geeignete Verfahren und Prozesse ein, um eine kohärente und integrierte Überwachung, Behandlung und Weiterverfolgung von IKT-Vorfällen zu gewährleisten. Zudem sollen sie sicherzustellen, dass die Ursachen ermittelt, dokumentiert und angegangen werden, um das Wiederauftreten solcher Vorfälle zu verhindern.

Das Verfahren sieht konkret folgendermaßen aus:

• Frühwarnindikatoren einrichten,

• Verfahren zur Ermittlung, Verfolgung, Protokollierung, Kategorisierung von IKT-Vorfällen einführen. Die Einstufung erfolgt dabei nach ihrer Priorität und Schwere sowie nach der Kritikalität der betroffenen Dienste,

• Rollen und Zuständigkeiten zuweisen,

• Kommunikationspläne für alle Stakeholder aufstellen: Mitarbeiter, externe Interessengruppen und Medien, Kunden, gegebenenfalls Bereitstellung von Informationen für Finanzinstitute, die als Gegenpartei fungieren,

• Verfahren zur Reaktion auf IKT-bezogene Vorfälle einrichten, um die Auswirkungen zu mindern und sicherzustellen, dass die Dienste rechtzeitig wieder betriebsbereit und sicher sind.

Meldung von IKT-bezogenen Vorfällen

Finanzunternehmen sind angehalten, größere IKT-Vorfälle an die jeweils zuständige Behörde zu melden. Wenn ein Finanzunternehmen durch mehr als eine nationale Behörde beaufsichtigt wird, so benennen die Mitgliedstaaten eine einzige zuständige Behörde. Die nationale Behörde leitet die Meldung unverzüglich an die EZB weiter.

Für die Meldungen gibt es Vorlagen zur Übermittlung. Die Mitgliedstaaten können zusätzlich festlegen, dass einige oder alle Finanzinstitute die Berichte auf der Basis der bereitgestellten Vorlagen auch den zuständigen Behörden oder den Reaktionsteams für Computer-Sicherheitsvorfälle (CSIRTs) übermitteln müssen.

Wenn ein schwerwiegender IKT-bezogener Vorfall eintritt, der sich auf die finanziellen Interessen von Kunden auswirkt, informieren die Finanzunternehmen ihre Kunden unverzüglich über den Vorfall und über die ergriffenen Maßnahmen. Bei einer erheblichen Cyber-Bedrohung unterrichten die Finanzunternehmen gegebenenfalls ihre potenziell betroffenen Kunden über geeignete Schutzmaßnahmen.

Die zuständige Behörde erhält

• eine Erstmeldung,

• einen Zwischenbericht, sobald wesentliche Veränderungen eingetreten sind,

• einen Abschlussbericht, wenn die Ursachen analysiert wurden.

Finanzunternehmen können die Berichtspflichten an einen externen Dienstleister auslagern. Im Falle einer solchen Auslagerung bleibt das Finanzinstitut in vollem Umfang für die Erfüllung der Meldepflichten für Vorfälle verantwortlich.

Meldeweg innerhalb der Behörden

Nach Eingang der ersten Meldungen übermittelt die zuständige Behörde den folgenden Empfängern im Rahmen ihrer jeweiligen Zuständigkeiten rechtzeitig Einzelheiten zu dem schwerwiegenden IKT-bezogenen Vorfall:

• EBA, ESMA oder EIOPA,

• die EZB,

• die zuständigen Behörden, einheitlichen Ansprechpartner oder CSIRTs gemäß Richtlinie (EU) 2022/2555,

• die Abwicklungsbehörden, wenn diese Angaben Vorfälle betreffen, die ein Risiko für die Gewährleistung kritischer Funktionen darstellen,

• andere einschlägige öffentliche Behörden nach nationalem Recht.

Die EBA, die ESMA oder die EIOPA und die EZB bewerten in Absprache mit der ENISA und in Zusammenarbeit mit der jeweils zuständigen Behörde, ob der schwerwiegende IKT-bezogene Vorfall für die zuständigen Behörden in anderen Mitgliedstaaten relevant ist und unterrichten die betreffenden zuständigen Behörden entsprechend.

Die von der ESMA vorzunehmende Meldung lässt die Verantwortung der zuständigen Behörde unberührt, die Einzelheiten des schwerwiegenden IKT-bedingten Vorfalls unverzüglich an die zuständige Behörde des Aufnahmemitgliedstaats zu übermitteln.

Dies ist der Fall, wenn ein Zentralverwahrer in erheblichem Umfang grenzüberschreitend im Aufnahmemitgliedstaat tätig ist, der schwerwiegende IKT-bedingte Vorfall wahrscheinlich schwerwiegende Folgen für die Finanzmärkte des Aufnahmemitgliedstaats hat und Vereinbarungen über die Zusammenarbeit zwischen den zuständigen Behörden bei der Beaufsichtigung von Finanzunternehmen bestehen.

Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.

Bisher erschienen:

• DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche

• DORA – Teil 2: Die Zielgruppen

• DORA – Teil 3: Was ist neu im Vergleich zu MaRisk und BAIT?

• DORA - Teil 4: Das Zusammenspiel mit FISG und VAIT

• DORA - Teil 5: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz

• DORA - Teil 6: Die Kernthemen

• DORA - Teil 7: Die Vorgaben für das IKT-Risikomanagement

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de