DORA - Teil 3: Was ist neu im Vergleich zu MaRisk und BAIT?
Der neue Regulierungsrahmen DORA (Digital Operational Resilience Act) legt detaillierte Regeln für das operationelle Risikomanagement fest. Dabei greift sie bereits bestehende regulatorische Vorgaben und Verordnungen auf und integriert sie in das neue Regelwerk.
In Deutschland sind viele Bausteine aufgrund von Gesetzesnovellen und Aktualisierungen der entsprechenden Richtlinien bereits umgesetzt. Im dritten Teil meiner Artikelserie stelle ich vor, was der DORA-Regulierungsrahmen vom bisherigen deutschen Regulierungsrahmen für Finanzunternehmen beim Risikomanagement (MaRisk) und den Bankaufsichtlichen Anforderungen an die IT (BAIT) unterscheidet.
Vorgaben von BAIT und MaRisk konkretisiert
Die BAIT wurde im Jahr 2021 aktualisiert. Damit sind neue Vorschriften für den Bankensektor eingeführt worden, die viele Elemente der DORA aufgegriffen haben. Ergänzend dazu wurden mit der MaRisk-Novelle detaillierte Erweiterungen für das IT-Notfallmanagement geschaffen.
Die Vorgaben in DORA sind konkreter und nun auf Gesetzesebene verankert und nicht mehr nur in Verwaltungsvorschriften der BaFin. Die Vorschriften zum IKT-Risikomanagement von Finanzunternehmen besagen, dass der Einsatz von IKT in die Unternehmensstrategie des Finanzunternehmens integriert werden muss. Die Gesamtverantwortung für das Risikomanagement liegt dabei grundsätzlich beim jeweiligen Finanzunternehmen. Zudem verpflichtet DORA die Finanzdienstleister dazu sicherzustellen, dass IKT-Systeme kontinuierlich überwacht, kontrolliert und auf dem aktuellsten Stand gehalten werden. DORA sieht vor, dass Ausfallzeiten von IKT-Systemen minimiert werden. Dazu müssen die betroffenen Finanzunternehmen und deren Dienstleister auch Strategien für Datensicherung und Wiederherstellungsverfahren einrichten.
Dienstleister tragen mehr Verantwortung
Neu an DORA ist, dass die Last zur Verbesserung der IT-Sicherheit und deren Dokumentation auf die Dienstleister verlagert wird. Sie müssen eine Vielzahl von zusätzlichen Informationen an die Institute liefern oder sich im Extremfall direkt von den Aufsichtsbehörden überwachen lassen. Daher sollten sich IT-Dienstleister mit der Frage befassen, welche angemessenen und aktuelle Standards sie für die Informationssicherheit einhalten müssen. Hier können Zertifizierungen wie etwa ISO 27001 und Audits nach den Standards des IDW oder der ISA sinnvoll sein.
Finanzdienstleister müssen damit rechnen, höhere Verwaltungsaufwendungen insbesondere bei der Neugestaltung von vertraglichen Vereinbarungen mit den Dienstleistern zu haben, da die Regulierungstiefe deutlich größer ist als bei MaRisk und BAIT. Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher erschienen:
· DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de