Wen betrifft DORA?
So gut wie alle beaufsichtigten Institute des europäischen Finanzsektors werden von DORA erfasst. Im Geltungsbereich liegen:
- Verwalter alternativer Investmentfonds (AIF-KVGen)
- OGAW-KVGen,
- CRR-Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Zentralverwahrer
- zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
- Einrichtungen der betrieblichen Altersversorgung
- Ratingagenturen
- Administratoren kritischer Referenzwerte
- Schwarmfinanzierungsdienstleister
- Verbriefungsregister und
- IKT-Dienstleister
Von den Verwaltern alternativer Investmentfonds sind nur KVGen mit Vollerlaubnis erfasst. Lediglich registrierte AIF-KVGen sind ausgenommen. Die Verordnung trifft keine gesonderte Regelung für EuVECA-Manager, die als typischerweise registrierte AIF-KVGen von der beschriebenen Ausnahme umfasst sein dürften. In Deutschland wird die Regulierung laut BaFin für mehr als 3500 Unternehmen verbindlich. Die Verordnung ist bereits in Kraft getreten und wird ab dem 17. Januar 2025 angewendet. Bis dahin werden die European Supervisory Authorities (EBA, EIOPA und ESMA) die Regelungen als technische Regulierungsstandards (RTS) oder technische Durchführungsstandards (ITS) konkretisieren.
Die wichtigsten Neuerungen
DORA baut auf bestehenden aufsichtsrechtlichen Anforderungen auf. Viele Regelungen dürften den betroffenen Unternehmen daher bereits aus den sektoralen aufsichtsrechtlichen Vorgaben an die IT bekannt sein. Die BaFin hat bisher keine einheitlichen finanzsektorübergreifenden Mindestanforderungen aufgestellt. Sie unterscheidet in ihren jeweiligen Rundschreiben, die interpretierende Verwaltungsvorschriften darstellen, zwischen Anforderungen an die IT in den Bereichen der Bankenaufsicht (BAIT), der Zahlungsdiensteaufsicht (ZAIT), der Aufsicht über KVGen (KAIT) und der Versicherungsaufsicht (VAIT).
DORA vereint diese Regelungen, ist dabei allerdings grundsätzlich detaillierter und schränkt bestehende Ermessensspielräume ein. Die neuen regulatorischen Anforderungen lassen sich in fünf Bereiche unterteilen:
IKT-Risikomanagement und IKT-Governance
Die Geschäftsleitung ist für das Risikomanagement verantwortlich. Darin müssen IKT-Risiken berücksichtigt werden. Dies entspricht den bisherigen Anforderungen der Aufsicht, ist nun aber gesetzlich festgeschrieben. Im Rahmen der IKT-Governance, dem rechtlichen und faktischen Ordnungsrahmen für die Organisation der IT, muss IKT in die Unternehmensstrategie integriert werden. Daneben werden verpflichtende Updates und Kontrollen für IKT-Systeme eingeführt. Auch müssen Strategien zur Datensicherung und -wiederherstellung entwickelt werden, um mögliche Systemausfälle zu verkürzen.
Meldepflicht IKT-bezogener Vorfälle
Die BaFin fungiert künftig als nationales Melde-Hub für IKT-Vorfälle im Finanzsektor. Ein „IKT-bezogener Vorfall“ ist ein von dem Institut oder Unternehmen nicht geplantes Ereignis, das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Abs. 1 Nr. 8 DORA). Um Cyberangriffe zu erkennen und IKT-Vorfälle zu vermeiden, müssen Schutzvorrichtungen und Mechanismen zur frühzeitigen Erkennung implementiert werden. Sämtliche IKT-bezogenen Vorfälle sind zu protokolieren. Zusätzlich wird ein Verfahren zur Klassifizierung von Vorfällen eingeführt. Für Vorfälle, die als schwerwiegend eingeordnet werden, besteht eine Meldepflicht.
Testen der digitalen operationalen Resilienz
DORA verpflichtet Finanzunternehmen dazu, ihre IKT-Sicherheit regelmäßig zu überprüfen. Die Verordnung nennt einige geeignete Tests, um Software Code, Netzsicherheit und Komptabilität von Hard- und Software zu überprüfen. So sollen Schwachstellen innerhalb der eigenen digitalen operationellen Resilienz entdeckt werden.
IKT-Drittparteimanagement/Auslagerung
Zunehmend werden IKT an Technologiedienstleister ausgelagert. Innerhalb des Risikomanagements müssen Unternehmen daher Drittparteirisiken ermitteln. Anzeigen im Rahmen des IKT-Drittparteimanagements nimmt die BaFin entgegen und analysiert sie hinsichtlich potentieller Risiken für den Finanzsektor. DORA legt wesentliche Vertragsbestimmungen sowie gewisse Überwachungs- und Kündigungsrechte für Auslagerungsverträge fest. Der Begriff der IKT-Dienstleistung ist weit. Er umfasst – mit Ausnahme analoger Telefondienste – alle digitalen Dienste und Datendienste, die über Systeme Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen (Art. 3 Abs. 1 Nr. 21 DORA).
Überwachung kritischer IKT-Drittdienstleister
DORA schafft ein Überwachungsrahmenwerk für kritische IKT-Technologieanbieter. Ein solches bestand in Deutschland bereits. Die entsprechende Kompetenz der BaFin wird nun deutlich erweitert und reicht von der Anforderung von Unterlagen, über das Verhängen von Zwangsgeldern bis zur Möglichkeit von Vor-Ort-Prüfungen. Die Einstufung eines IKT-Technologieanbieters als kritisch und die einhergehende Überwachung obliegen der BaFin. Die Kosten der Überwachung müssen als kritisch eingestufte Dienstleister selbst tragen.
Ausblick
Mit DORA wird ein Rechtsrahmen geschaffen, der regulatorische Anforderungen an die IT-Sicherheit harmonisiert und Mindeststandards für Cybersicherheit und operationale Resilienz festlegt. Die Verordnung findet ab 2025 Anwendung. Viele Regelungsbereiche der Verordnung bauen auf der bestehenden Regulatorik auf. Ergänzend werden neue Test- und Meldepflichten eingeführt. Das IKT-Drittparteimanagement ist neu und bedarf erhöhter Aufmerksamkeit. Unternehmen sollten daher frühzeitig mit der Umsetzung der DORA-Anforderungen beginnen und ihre digitale Resilienz bereits jetzt durch angemessene Gap-Analysen ermitteln, um ihren IKT-Reifegrad beurteilen zu können. Beim Abschluss neuer Auslagerungsverträge sollten die durch DORA vorgegebenen spezifischen Vertragsbestimmungen nach Möglichkeit bereits vor 2025 berücksichtigt werden. In Abhängigkeit von der Einstufung des Drittdienstleisters als kritisch sind gegebenenfalls besondere Vertragselemente zu berücksichtigen. Auch sollte die Cybersicherheit von Dienstleistern evaluiert werden, um gemeinsam Strategien zur DORA Umsetzung entwickeln zu können.
Die BaFin hat eine fokussierte DORA-Website online gestellt. Dort können sich die betroffenen KVGen über DORA allgemein und die Erwartungshaltung der Aufsicht weiter informieren.