Fachwissen - Digital Operational Resilience Act

Die primäre Zielsetzung von DORA besteht darin, einheitliche Standards zur Identifizierung und Kontrolle technologischer Risiken zu schaffen. DORA verlangt von Finanzinstituten, ihre Abhängigkeiten von IKT-Drittanbietern systematisch zu regulieren und potenzielle Schwachstellen in ihren digitalen Strukturen zu minimieren. Systemische Risiken, die durch die Nutzung von IKT-Dienstleistern entstehen, sollen präventiv erkannt und aktiv gemanagt werden, um eine nachhaltige Stabilität und Resilienz im Finanzmarkt zu gewährleisten.

DORA verpflichtet Finanzinstitute dazu, ein strukturiertes IKT-Risikomanagementsystem einzuführen. Dieses System soll Risiken, die durch die Nutzung von IKT-Drittanbietern entstehen, systematisch identifizieren, bewerten und kontrollieren. Ziel ist es, durch präventive Maßnahmen flexibel auf neue Bedrohungen reagieren zu können und die Widerstandsfähigkeit zu stärken.

Da Finanzunternehmen auf externe IKT-Dienstleister angewiesen sind, erfordert DORA klare und umfassende Vereinbarungen. Die Verträge mit Drittanbietern müssen spezifische Sicherheits- und Resilienzstandards festlegen und regelmäßige Berichte zu Leistung und Vorfällen beinhalten, um ein hohes Maß an Sicherheit zu gewährleisten.

Eine kontinuierliche Überwachung und Prüfung der digitalen Infrastruktur und der Drittanbieter gehört zu den zentralen Anforderungen von DORA. Finanzunternehmen müssen durch Krisenbewältigungs- und Resilienztests sicherstellen, dass sie bei Bedrohungen schnell und effizient reagieren können.

Bei schwerwiegenden IKT-bezogenen Sicherheitsvorfällen müssen Finanzunternehmen unverzüglich die zuständigen Behörden informieren. Bei Bedarf sollen auch betroffene Kunden in Kenntnis gesetzt werden, um Transparenz zu schaffen und potenzielle Schäden zu minimieren.

Regelmäßige Krisenbewältigungs- und Resilienztests sind entscheidend für die digitale Widerstandsfähigkeit. DORA verlangt von Finanzinstituten die Durchführung umfassender Testszenarien, um die Krisenreaktionsfähigkeit zu stärken und potenzielle Ausfallzeiten zu reduzieren.

DORA fördert eine enge Zusammenarbeit zwischen Finanzinstituten und Aufsichtsbehörden. Diese Zusammenarbeit zielt darauf ab, Angriffsflächen zu minimieren und die Fähigkeit der Unternehmen zur Reaktion auf Bedrohungen zu stärken. Behörden unterstützen die Unternehmen durch kontinuierliche Überwachung und Beratung, um die Sicherheitsstandards aufrechtzuerhalten

In einer Zeit zunehmender Abhängigkeit von Informations- und Kommunikationstechnologien (IKT) sind Finanzinstitute und andere kritische Infrastrukturen besonders anfällig für Cyberangriffe und IT-Ausfälle. Der Digital Operational Resilience Act (DORA) wurde entwickelt, um diesen Risiken gezielt entgegenzuwirken und die Widerstandsfähigkeit der digitalen Infrastruktur im Finanzsektor zu stärken. DORA setzt neue Standards für Risikoanalyse, Sicherheitsmaßnahmen und Meldepflichten und verpflichtet sämtliche Unternehmen im Finanzsektor – von Banken und Versicherungen über FinTechs bis hin zu externen Dienstleistern –, ihre digitalen Systeme zu schützen und Notfallstrategien zu implementieren.

1. Einheitliche Standards für den EU-Finanzsektor
   DORA schafft harmonisierte IT-Sicherheitsstandards im gesamten EU-Finanzsektor. Durch diese einheitlichen Vorgaben wird sichergestellt, dass alle Finanzunternehmen und relevanten Dienstleister, unabhängig vom Standort innerhalb der EU, denselben hohen Anforderungen an die digitale Resilienz unterliegen. Ein konsistenter Regulierungsrahmen vermeidet länderspezifische Unterschiede und schafft eine gemeinsame Basis für die Risikobewältigung.
   
   
2. Minimierung digitaler Risiken und Erhöhung der Widerstandsfähigkeit
   Die Verordnung verfolgt das Ziel, die Widerstandsfähigkeit von Finanzinstituten gegen digitale Bedrohungen entscheidend zu verbessern. DORA verpflichtet Unternehmen dazu, präventive Sicherheitsmaßnahmen zu ergreifen und Notfallpläne zu entwickeln, um potenziellen Cyberangriffen und IT-Ausfällen wirkungsvoll entgegenzuwirken.
   
   
3. Vertrauensbildung und Schutz des Kundenvertrauens
   Ein weiteres Ziel von DORA ist die Stärkung des Kundenvertrauens in digitale Finanzdienstleistungen. Durch höhere Sicherheits- und Resilienzstandards wird sichergestellt, dass Finanzinstitute ihre Kunden vor digitalen Bedrohungen schützen und im Falle von Zwischenfällen den Betrieb schnell wiederherstellen können. Dies erhöht die Zuverlässigkeit und Sicherheit der gesamten Branche.

DORA setzt auf eine umfassende Resilienzstrategie, die Finanzinstitute verpflichtet, ihre IT-Systeme und digitalen Prozesse auf mögliche Bedrohungen vorzubereiten und robust zu gestalten. Dies umfasst sowohl präventive Maßnahmen zum Schutz vor Cyberangriffen als auch Prozesse zur schnellen Wiederherstellung der Betriebsfähigkeit nach einem Zwischenfall. Ziel ist es, den Betrieb so effizient und reibungslos wie möglich wieder aufzunehmen, um Unterbrechungen zu minimieren.

Ein zentraler Aspekt von DORA ist die Harmonisierung der Anforderungen an die digitale Resilienz im gesamten EU-Binnenmarkt. Dieser einheitliche Regulierungsrahmen stellt sicher, dass alle Finanzinstitute und IKT-Dienstleister dieselben Sicherheitsanforderungen erfüllen, unabhängig davon, in welchem Mitgliedstaat sie tätig sind. Durch diesen standardisierten Ansatz werden regulatorische Inkonsistenzen vermieden und die Grundlage für eine kohärente Risikomanagementstrategie geschaffen.

DORA verpflichtet Finanzunternehmen, Vorfälle und potenzielle Schwachstellen transparent zu melden und zu dokumentieren. Diese erhöhte Transparenz ermöglicht es den Aufsichtsbehörden, ein umfassenderes Bild der Bedrohungslage im Finanzsektor zu entwickeln und, falls nötig, unterstützend einzugreifen. Die Meldepflichten fördern nicht nur die Sicherheit innerhalb der Unternehmen, sondern tragen auch zur Stabilität und zum Schutz des gesamten Finanzmarktes bei

DORA betrifft alle Unternehmen im Finanzsektor, die zur kritischen Infrastruktur zählen. Dazu gehören Banken, Zahlungsdienstleister, Versicherungen, Investmentgesellschaften und zahlreiche andere Finanzdienstleister. Auch Drittanbieter, die IT-Dienstleistungen für Finanzinstitute bereitstellen, unterliegen der Verordnung, da deren Ausfälle die Betriebsfähigkeit der Finanzinstitute gefährden könnten. Die umfassenden Anforderungen von DORA zielen darauf ab, die Stabilität und Sicherheit dieses Sektors zu gewährleisten und Risiken zu minimieren, die sich durch technologische Abhängigkeiten ergeben.

Die DORA-Verordnung gilt für eine breite Palette an Organisationen, darunter:

• Banken und Kreditinstitute
• Versicherungen und Pensionskassen
• Investmentgesellschaften und Vermögensverwalter
• Zahlungsdienstleister und E-Geld-Institute
• Unternehmen, die IT- und Cloud-Dienste oder Datenverarbeitungsdienste für den Finanzsektor anbieten

Der Finanzsektor ist ein wesentlicher Bestandteil der kritischen Infrastruktur, da er die Stabilität und Funktionsfähigkeit der gesamten Wirtschaft unterstützt. Ein Ausfall in diesem Sektor könnte weitreichende Folgen für andere Wirtschaftszweige und die Gesellschaft insgesamt haben. DORA unterstreicht die Bedeutung einer widerstandsfähigen Infrastruktur, die es Finanzinstituten ermöglicht, auch in Krisensituationen ihre Kernfunktionen aufrechtzuerhalten. Die Verordnung gewährleistet, dass der Finanzsektor nicht nur auf Cyberangriffe, sondern auch auf technische Störungen und systemische Ausfälle vorbereitet ist.

DORA verpflichtet Finanzinstitute und Dienstleister im Finanzsektor dazu, umfassende Risikomanagementsysteme für ihre IT-Infrastruktur zu implementieren. Die zentralen Compliance-Anforderungen umfassen:

• Identifikation, Bewertung und Minderung von Risiken
  Finanzinstitute müssen potenzielle Risiken durch ihre IKT-Systeme systematisch erfassen und Maßnahmen zur Risikominimierung implementieren.
  
  
• Kontinuierliche Überwachung und Berichterstattung
  Ein fortlaufendes Überwachungs- und Berichtssystem sorgt dafür, dass Unternehmen jederzeit über den Zustand ihrer digitalen Infrastruktur informiert sind und bei Bedarf sofort handeln können.
  
  
• Notfallpläne und Wiederanlaufstrategien
  Finanzinstitute sind verpflichtet, detaillierte Notfallpläne und Wiederanlaufstrategien zu entwickeln, um den Geschäftsbetrieb nach einem Zwischenfall so schnell wie möglich wiederherzustellen und mögliche Schäden zu begrenzen.

Der Digital Operational Resilience Act (DORA) erweitert und präzisiert die Definition und Kategorien von IKT-Dienstleistungen erheblich. Im Vergleich zu bisherigen Standards wie MaRisk und BAIT werden nun spezifische Anforderungen an IKT-Dienstleistungen gestellt, um eine umfassende digitale Resilienz im Finanzsektor sicherzustellen.

IKT-Dienstleistungen umfassen digitale und Datendienste, die kontinuierlich über IKT-Systeme an interne oder externe Nutzer bereitgestellt werden. Dies schließt Hardware-Dienstleistungen ein, sowie technische Unterstützung durch Anbieter für Software- und Firmware-Updates. Ausgenommen sind nur herkömmliche analoge Telefondienste.

Im Rahmen der technischen Regulierungsstandards (ITS) zu Art. 28.9 DORA werden verschiedene IKT-Dienstleistungsbereiche detailliert beschrieben. Diese umfassen unter anderem:

    S01: IKT-Projektmanagement
            Unterstützung bei Projekten mit IT-Schwerpunkt, z.B. PMO-Dienste.

    S02: IKT-Entwicklung

            Programmierung und Software-Design

    S03: IKT-Helpdesk und First-Level-Support

            First-Level-Support für Mitarbeitende und Kunden

    S04: IKT-Sicherheitsmanagementdienste
            Sicherheitsmaßnahmen und Forensik

    S05: Datenbereitstellung
            Bereitstellung von Daten für Geschäftsprozesse

    S06: Datenanalyse
            Analyse- und Berichterstattungsdienste

    S07: IKT-Infrastruktur und Hosting-Dienste

    S08: Computation

    S09: Non-Cloud-Datenspeicherung (neu)

    S10: Telekommunikation

    S11: Netzwerk-Infrastruktur

    S12: Hardware und physische Geräte

    S13: Softwarelizenzen (exkl. SaaS)

    S14: IKT-Betriebsmanagement

    S15: IKT-Consulting (neu)

    S16: IKT-Risikomanagement

    S17: Cloud-Services: IaaS

    S18: Cloud-Services: PaaS

    S19: Cloud-Services: SaaS

Die Digital Operational Resilience Act (DORA) führt im Rahmen der IKT-Risikomanagementanforderungen eine detaillierte Klassifizierung der IKT-Dienstleistungen ein. In Anlage III zum Informationsregister (ITS zu Art. 28 Abs. 9 DORA) werden insgesamt 19 Kategorien (S01 bis S19) definiert, die unter die DORA-relevanten IKT-Dienstleistungen fallen.

Wesentliche Aspekte der IKT-Dienstleistungskategorien:

1. Definition von IKT-Dienstleistungen
   Laut Art. 3 Nr. 21 DORA umfassen IKT-Dienstleistungen alle digitalen Dienste und Datendienste, die über IKT-Systeme an interne oder externe Nutzer kontinuierlich bereitgestellt werden.
   
   
2. Konkretisierte DSGVO-Interpretationen
   Für eine genauere Einordnung und praktische Umsetzung enthält der Kurzleitfaden zusätzliche Erläuterungen und Beispiele zu den jeweiligen Kategorien. Dabei werden auch Datenschutzaspekte gemäß DSGVO berücksichtigt.
   
   
3. Charakter und Dauerhaftigkeit der Leistungen
   Der Charakter der Dienstleistung gemäß DORA wird betont und steht im Vordergrund.
   Leistungen gelten als dauerhaft, wenn sie über einen Zeitraum von mehr als 12 Monaten erbracht werden. Auch unterbrochene Leistungen, wie z. B. eine jährliche Prüfung, gelten als dauerhaft.
   
   
4. Auslegungsbedürftige Definitionen
   Neben den allgemeinen Definitionen in ITS Art. 28 (9) wurden weitere, detaillierte Interpretationen und Beispiele entwickelt, die eine präzise Zuordnung von Leistungen ermöglichen.

Diese Kategorien geben Finanzunternehmen klare Richtlinien zur Identifizierung und Bewertung von IKT-Dienstleistungen in Bezug auf deren Relevanz für die digitale Resilienz und DSGVO-Konformität.

Der Digital Operational Resilience Act (DORA) geht über bestehende nationale und internationale Standards hinaus und setzt neue Maßstäbe für die digitale Resilienz im Finanzsektor. Während viele Finanzinstitute bereits regulatorische Vorgaben wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) in Deutschland oder internationale Standards wie ISO 27001 und das NIST Cybersecurity Framework (NIST CSF) einhalten, hebt DORA diese Standards auf eine ganzheitlichere Ebene. Die Verordnung verlangt umfassende, standardisierte Maßnahmen, die nicht nur die IT-Sicherheit betreffen, sondern auch die betriebliche Kontinuität und das Risiko-Management im digitalen Kontext.

In Deutschland definiert die BAIT (Bankaufsichtliche Anforderungen an die IT) bereits umfassende Standards für IT-Sicherheit und IT-Risikomanagement in Banken und Finanzinstituten. Die BAIT setzt detaillierte Anforderungen zur Absicherung und Verwaltung von IT-Risiken, jedoch verfolgt DORA einen weitergehenden Ansatz: Die Verordnung stellt Anforderungen an die digitale Resilienz im breiteren Kontext und integriert explizite Meldepflichten sowie eine systematische Überwachung der Risiken durch IKT-Drittanbieter.

Um Doppelregulierungen zu vermeiden, wird die BAIT am 17. Januar 2025 außer Kraft gesetzt, sodass deutsche Finanzinstitute sich vollumfänglich auf die DORA-Vorgaben konzentrieren können. Dadurch wird eine klare und einheitliche Basis für das Risikomanagement im deutschen Finanzsektor geschaffen.

Die internationalen Standards ISO 27001 und NIST CSF sind weltweit etablierte Rahmenwerke für das Informationssicherheitsmanagement und dienen vielen Unternehmen als Grundlage für den Schutz ihrer Daten und IT-Systeme. Diese Standards setzen zwar wichtige Maßstäbe für die Informationssicherheit, fokussieren sich jedoch primär auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.

DORA geht über diese Sicherheitsstandards hinaus, indem es spezifische Anforderungen an die operative Resilienz und die Geschäftskontinuität stellt. Während ISO 27001 und das NIST CSF hauptsächlich die Einhaltung von Sicherheitsrichtlinien fördern, verlangt DORA ein umfassendes Risikomanagement, das sicherstellt, dass Finanzinstitute auch in Krisensituationen funktionsfähig bleiben. Durch diesen breiteren Ansatz wird die operative Stabilität und Resilienz des gesamten Finanzsektors nachhaltig gestärkt.

DORA setzt sich durch mehrere zusätzliche Anforderungen deutlich von anderen Standards ab:

• Strenge Meldepflichten für Sicherheitsvorfälle
  Finanzinstitute sind verpflichtet, schwerwiegende Sicherheitsvorfälle unverzüglich zu melden. Diese Meldepflichten stellen sicher, dass Vorfälle zeitnah bei den Aufsichtsbehörden gemeldet und entsprechende Maßnahmen zur Schadensbegrenzung getroffen werden können.
  
  
• Digital Operational Resilience-Funktion (DORF)
  Eine zentrale Anforderung von DORA ist die Einrichtung einer speziellen „Digital Operational Resilience-Funktion“ (DORF), die für die kontinuierliche Überwachung und Durchsetzung der DORA-Vorgaben verantwortlich ist. Diese Funktion gewährleistet, dass Resilienzmaßnahmen systematisch umgesetzt und laufend optimiert werden.
  
  
• Regelmäßige Krisenübungen und Stresstests
  DORA verpflichtet Finanzinstitute dazu, Krisenübungen und Stresstests durchzuführen, um die Belastbarkeit ihrer Systeme in realistischen Szenarien zu prüfen. Diese Tests sollen Unternehmen dabei unterstützen, ihre Widerstandsfähigkeit in Krisensituationen zu stärken und ihre Notfallpläne zu optimieren.

Mit der Einführung der EU-DORA-Verordnung am 17. Januar 2025 wird die BAIT (Bankaufsichtliche Anforderungen an die IT) außer Kraft gesetzt, um Überschneidungen und redundante Regelungen zu vermeiden. DORA deckt alle relevanten IT-bezogenen Anforderungen ab, einschließlich derjenigen, die bisher durch MaRisk und die IT-Auslagerungsvorgaben abgedeckt wurden. Die Europäische Bankenaufsichtsbehörde (EBA) führt derzeit eine Gap-Analyse der bestehenden Leitlinien zu IT-Auslagerungen durch, um sicherzustellen, dass die Umstellung reibungslos verläuft. Nach Abschluss der Analyse wird die BaFin die Institute über notwendige Anpassungen informieren.

Im Unterschied zur BAIT enthält DORA keinen Sollmaßnahmekatalog und keine spezifischen Vorgaben zur Schutzbedarfsermittlung. DORA verlangt lediglich, dass Unternehmen Informationssicherheitsrichtlinien (ISR) einrichten, deren Einhaltung durch eine zweite Sicherungslinie überwacht wird, ohne jedoch detaillierte Vorgaben zu machen.

Auch die Schutzbedarfsermittlung, wie sie bisher in der BAIT gefordert war, ist in DORA nicht mehr explizit vorgeschrieben. Zwar berücksichtigt DORA die Grundwerte Verfügbarkeit, Integrität und Vertraulichkeit, jedoch ohne konkrete Bewertungsrichtlinien. Stattdessen wird ein allgemeines IKT-Asset-Management gefordert, das eine Kritikalitätsklassifizierung erlaubt, jedoch nicht die detaillierte Schutzbedarfsklassifizierung der BAIT beinhaltet.