DORA kommt – eine frühzeitige Umsetzung ist ratsam

  • Marcus Columbu
  • act AC Tischendorf

FRANKFURT – Mit dem Digital Operational Resilience Act (kurz: „DORA“) hat die Europäische Union für so gut wie alle beaufsichtigten Finanzinstitute eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen, wie Rechtsanwalt Marcus Columbu von act AC Tischendorf betont. Mit dieser Verordnung soll dem digitalen Wandel und den zunehmenden Gefahren durch Cyberbedrohungen gerecht werden. Daher rät er Unternehmen dringend, mit einer frühzeitigen Umsetzung zu beginnen.

I.    Einleitung und Gegenstand

1.    Einleitung und Umsetzungsaufwand

Vor dem Hintergrund der sehr vertrags- und IT-lastigen Regelungsinhalte ist allerdings mit einer erheblichen Umsetzungsdauer zu rechnen. IT-Projekte müssen nach Maßgabe der Bankaufsichtliche Anforderungen an die IT (BA-IT) umgesetzt werden – ob DORA diese ersetzen beziehungsweise vollständig „umkrempeln“ wird, wird sich zeigen. Allerdings erspart das nicht die Umsetzung nach deren (aktuellen) Vorgaben. Ferner dürften Finanzinstitute zahlreiche interne Richtlinien haben, die bei der Umsetzung beachtet werden müssen. Auch die Verhandlungen mit Informations- und Kommunikationstechnik-Dienstleistern (IKT) dürften einen nicht unerheblichen Zeitrahmen umfassen; denn nicht nur die Finanzinstitute, sondern auch deren IKT-Dienstleister müssen sich auf die Änderungen von DORA einstellen.

Wir empfehlen daher dringend frühzeitig mit der Umsetzung zu beginnen und dabei nicht nur die IT- und Compliance-Abteilungen einzubinden, sondern sich auch – internen und externen – regulatorischen Rat einzuholen.

2.    Weitere Rechtsakte

DORA wird von zahlreichen weiteren Rechtsakten flankiert:

a)    EU-Richtlinie 2022/2556 zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor vom 14. Dezember 2022  

b)    EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) vom 14. Dezember 2022  

c)    EU-Richtlinie über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates vom 14. Dezember 2022

d)    Entwürfe von RTS, ITS, Guidelines etc., die (teilweise) noch final abzustimmen und umzusetzen sind.

3.    Regelungsinhalte, Schwerpunkte

Alle Rechtsakte haben Regelungen zur digitalen operationalen Resilienz von Finanzunternehmen zum Gegenstand. Darunter ist die Fähigkeit zu verstehen, sämtliche von einem Finanzunternehmen genutzten Informations- und Kommunikationstechnologien („IKT“) funktionsfähig zu halten und vor Angriffen zu schützen. DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:  

a)    IKT-Risikomanagement

(1)    Meldung schwerwiegender IKT-bezogener Vorfälle und – auf freiwilliger Basis – erheblicher Cyberbedrohungen an die zuständigen Behörden;  

(2)    Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch bestimmte aufgeführte Finanzunternehmen an die zuständigen Behörden;  

(3)    Tests der digitalen operationalen Resilienz;

(4)    Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;  

(5)    Maßnahmen für das solide Management des IKT-Drittparteienrisikos;  

b)    Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen

c)    Testen der digitalen operationellen Resilienz einschließlich Threat-Led Penetration Testing (TLPT)  

d)    Aufstellung von Anforderungen in Bezug auf vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen;  

e)    Vorschriften über die Einrichtung und Ausführung des Überwachungsrahmens für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen;  

f)    Information Sharing sowie Übungen zu Cyberkrisen und weitere Notfallübungen. Insbesondere Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden sowie Vorschriften über die Beaufsichtigung und Durchsetzung aller von dieser Verordnung erfassten Sachverhalte durch zuständige Behörden.  

II.    Zeitplan und Konsultationen

Die Umsetzung von DORA unterliegt einem ambitionierten Zeitplan zur Implementierung der EU-Richtlinien 2022/2555 und 2022/2557 (bis 18. Oktober 2024) und 2022/2556 (bis 17. Januar 2025). Die Umsetzung in Deutschland erfolgt im Wesentlichen durch das Finanzmarktdigitalisierungsgesetz („FinmadiG“). Das FinmadiG zielt darauf ab, die europäische Verordnung Markets in Crypto-Assets“ („MiCA“) die Neufassung der EU-Geldtransferverordnung sowie das DORA-Paket in nationales Recht zu überführen. Das BMF hat am 23. Oktober 2023 den Referentenentwurf des FinmadiG veröffentlicht.

1.    Zeitplan

2.    Abgeschlossene Konsultationen

Die gemeinsame Konsultation der ESAs über die erste Tranche der technischen Regulierungs- und Implementierungsstandards zu DORA vom 19. Juni 2023 bis 11. September 2023 enthält die folgenden Entwürfe:

a)    Consultation on RTS on ICT risk management framework (Art. 15) and RTS on simplified ICT risk management (Art. 16)

b)    Consultation on RTS on criteria for the classification of ICT related incidents (Art. 18.3)

c)    Consultation on ITS to establish the templates for the register of information (Art. 28.9)

d)    Consultation on RTS to specify the policy on ICT services performed by ICT third party service providers (Art. 28.10)) 2022/2554 mit öffentlicher Konsultation vom 26. Mai 2023 bis 23. Juni 2023.

e)    Die Öffentliche Konsultation für die Stellungnahme der ESAs (EBA, ESMA und EIOPA) für die Europäische Kommission zu den delegierten Rechtsakten im Rahmen des europäischen Überwachungsrahmenwerks gemäß den Artikeln 31 und 43 der Verordnung (EU) 2022/2554 fand vom 26. Mai 2023 bis 23. Juni 2023 statt.

3.    Laufende Konsultationen

Vom 8. Dezember 2023 bis zum 4. März 2024 fand die öffentliche Konsultation der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt:

a)    Konsultation des RTS zu Threat Led Penetration Testing (Art. 26.11)

b)    Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5)

c)    Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)

d)    Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)

e)    Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7)

f)    Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

III.    Schwerpunkte von DORA

DORA hat im Wesentlichen die beiden Schwerpunkte (1) ITK-Risikomanagement und (2) Überwachung von kritischen IKT-Drittdienstleistern. Diese werden in Deutschland durch das FinmadiG umgesetzt. Die Umsetzung erfolgt durch Änderung zahlreicher Gesetze und Verordnungen, weswegen wir uns bei der folgenden, kurzen Zusammenfassung der Übersichtlichkeit halber auf die Bestimmungen und den Aufbau des DORA bezogen haben:

1.    Schwerpunkt: IKT-Risikomanagement

a)    Art.5 DORA – Verantwortlichkeit der Geschäftsführung:
Geschäftsführung trägt die Verantwortung für das IKT-Risikomanagement. Die Geschäftsführung muss sich aktiv bzgl. IKT- Risiken auf dem Laufenden halten und regelmäßige IKT-spezifische Weiterbildungen wahrnehmen.

b)    Art.6 DORA – ICT-Riskmanagement Control Function
Durch die Geschäftsführung ist die Funktion der ICT-Riskmanagement Control Function einzurichten. Die Aufgaben sind ähnlich derer des Informations-Sicherheitsbeauftragten (ISB). Eine strenge Trennung von der Control Function und First Line (IT) ist vorgesehen.

c)    Art.8 DORA – Kenntnis der eigenen Informationen und Systeme
IKT-Systeme und -informationen, die in Geschäftsfunktionen verwendet werden, müssen identifiziert und klassifiziert werden. Das gilt auch für Informationen, die nicht in zentralen Systemen gehalten werden (beispielsweise Office-Dokumente oder IDV).

d)    Art.6 DORA – Strengere Anforderungen an Verschlüsselungen
Daten sind in allen Zuständen zu verschlüsseln (at rest, in transit & in use). Sowohl der interner und externe Netzwerkverkehr ist zu verschlüsseln. Für kryptographische Schlüssel ist ein Lifecycle-Management einzurichten.

e)    Art.10 DORA – Priorität auf die Behebung von Schwachstellen
Anforderungen an automatisierte Schwachstellenscans und die Behebung von Schwachstellen sind gestiegen. Automatisierte Schwachstellenscans mindestens wöchentlich. Lieferkettenrisiko rückt in den Fokus. Behebung von Schwachstellen durch Patches hat höchste Priorität.

f)    Art.11 DORA – Detaillierte Sicherheitsanforderungen
Verwendung nur von autorisierter Software und Speichermedien. Sicherheit muss auch im Home-Office und bei auswärtigem Arbeiten bestehen. Besondere Schulung für Mitarbeiter, die Cloud-Zugänge administrieren. Besonderer Schutz für Zugänge zu Clouds.

g)    Art. 16 DORA – Test des Source Code
Genehmigung von Fachbereichen und Asset Owner für u.a. Sicherheitsmaßnahmen muss eingeholt werden. Testumgebungen sollen adäquat die Produktionsumgebung wiedergeben. Die Integrität des Quellcodes ist zu schützen. Quellcode und Software von Dritten ist zu analysieren und zu testen.

h)    Art.13 DORA – Stärkung der Netzwerksicherheit
Erstellung eines visuellen Netzwerkplans. Interner und externer Schutz des Netzwerkverkehrs. Regelmäßige Prüfung und Zertifizierung der Firewall-Regeln. Jährliche Überprüfung der Netzwerkarchitektur. Schaffung der Möglichkeit zur zeitweisen Isolation von Subnetzen, Netzwerkkomponenten und Geräten.

i)    Art.21 DORA – Nutzeridentifikation
Jede natürliche Person soll eine eindeutige Identität erhalten, diese soll auch bei Reorganisation und nach Beendigung der Zusammenarbeit bestehen bleiben. Anforderungen im Zugriffs- und Zutrittsmanagement bleiben weitestgehend gleich.

j)    Art.27 DORA – Testszenarien für Cyberangriffe
Umfassende Vorgaben zum Notfallmanagement. RTS fokussiert sich auf die Mindestinhalte der RecoveryPlans und auf das Testen dieser. Mindesttestszenarien steigen von vier (MaRisk) auf neun.

k)    Art.6 Abs.5 DORA – Regelmäßige Überprüfung des IKT-Rahmenwerkes
Eine formelle Dokumentation des aktuellen Stands des IKT-Risikorahmenwerks ist zu erstellen. Diese muss auf Anfrage der Aufsicht aktuell zur Verfügung gestellt werden.

2.    Schwerpunkt: Überwachung von kritischen IKT-Drittdienstleistern

Finanzunternehmen dürfen kritische IKT-Drittdienstleister aus Drittstaaten nur dann nutzen, wenn diese binnen zwölf Monaten nach ihrer Einstufung einen Sitz in der EU begründen. Es besteht aber keine Verpflichtung, Daten nur innerhalb der EU zu speichern (wobei hier datenschutzrechtliche Probleme bestehen dürften, falls dies nicht der Fall sein sollte).

Die Aufsichtsbehörden haben insbesondere die folgenden Befugnisse gegenüber ITK-Dienstleistern:

a)    Anforderung von Informationen und Unterlagen: relevante Geschäfts- oder Betriebsunterlagen, Verträge, Leit- und Richtlinien, Dokumentationen, Meldungen über IKT-Sicherheitsprüfungen, Berichte über IKT-bezogene Vorfälle sowie alle Informationen über Parteien, an die der kritische IKT-Drittdienstleister betriebliche Funktionen oder Tätigkeiten ausgelagert hat;

b)    Untersuchungen und Inspektionen in Geschäftsräumen des IKT-Drittdienstleisters in Bezug auf: Aufzeichnungen, Daten, Verfahren, etc.; Vorladung von Vertretern des kritischen IKT-Drittdienstleisters, einschließlich der Abgabe mündlicher oder schriftlicher Erklärungen; jede andere natürliche oder juristische Person zu befragen, die dieser Befragung zum Zweck der Einholung von Informationen über den Gegenstand einer Untersuchung zustimmt; Übermittlung der Aufzeichnungen von Telefongesprächen und Datenübermittlungen;

c)    Empfehlungen abzugeben, die die Aufsicht in Bezug auf folgendes für relevant hält:

(1)    die Anwendung spezifischer IKT-Sicherheits- und Qualitätsanforderungen oder -verfahren, insbesondere in Bezug auf die Herausgabe von Patches, Aktualisierungen, Verschlüsselung und andere Sicherheitsmaßnahmen, die für die Gewährleistung der IKT-Sicherheit von Diensten, die Finanzunternehmen bereitgestellt werden;

(2)    die Verwendung von Bedingungen — einschließlich ihrer technischen Umsetzung — zu denen die kritischen IKT-Drittdienstleister IKT-Dienstleistungen für Finanzunternehmen bereitstellen, um die Entstehung punktueller Ausfälle oder deren Verstärkung zu verhindern oder um mögliche systemische Auswirkungen im Finanzsektor der Union im Falle eines IKT-Konzentrationsrisikos zu minimieren;

(3)    unter bestimmten Voraussetzungen: jede geplante Unterauftragsvergabe, die die kritischen IKT-Drittdienstleister mit anderen IKT-Drittdienstleistern oder mit IKT-Unterauftragnehmern mit Sitz in einem Drittland zu schließen beabsichtigen und die Risiken für die Erbringung von Dienstleistungen durch das Finanzunternehmen oder Risiken für die Finanzstabilität mit sich bringen kann;

d)    Anforderung von Berichten, in denen die ergriffenen Maßnahmen oder die Abhilfemaßnahmen aufgeführt sind, die die kritischen IKT-Drittdienstleister in Bezug auf die in Buchstabe b) genannten Empfehlungen ergriffen haben.

Die Überwachung kritischer IKT-Drittdienstleister durch die Aufsicht entbindet Finanzunternehmen allerdings nicht von ihrer Pflicht zur Überwachung des Dienstleisters. Die Aufsichtsbehörden prüfen, wie die Finanzunternehmen die in den Empfehlungen festgestellten Risiken beim kritischen IKT-Drittdienstleister im Rahmen ihres Drittparteirisikomanagements berücksichtigen. Bei nicht oder nicht ausreichender Berücksichtigung der Risiken durch Finanzunternehmen, teilt die Aufsichtsbehörde ihre Einschätzung dem Finanzunternehmen mit und kann binnen 60 Tagen nach dieser Mitteilung als letztes Mittel von Finanzunternehmen verlangen, die Nutzung des kritischen IKT-Drittdienstleisters ganz oder teilweise zu unterbrechen, bis die Risiken beseitigt sind, oder die Verträge mit dem kritischen IKT-Drittdienstleister ganz oder teilweise zu kündigen.  

Wir raten unseren Mandanten, sich mit der  Verordnung sowie  der Konsultationsfassungen der RTS/IST/Guidelines, einschließlich der Erwägungsgründe vertraut zu machen. Vergleichen Sie die Anforderungen aus DORA mit den bereits bestehenden regulatorischen Anforderungen (z. B. MaRisk, BAIT, EBA Guidelines on outsourcing arrangements, BaFin Orientierungshilfe Cloud). Melden Sie sich bei Fragen jederzeit gerne. Wir sind auf die Umsetzung und Implementierung von compliancelastigen IT-Projekten im finanzregulatorischen Umfeld spezialisiert.

Marcus Columbu:  marcus.columbu@actlegal-act.com

Marcus Columbu ist Rechtsanwalt und Partner sowie Fachanwalt für Bank- und Kapitalmarktrecht bei act AC Tischendorf Rechtsanwälte Partnerschaft mbB und leitet die Praxisgruppe Banking Regulatory & Compliance. Er berät mittlere bis große Finanzdienstleister und Asset Manager sowie einige Banken in den Bereichen Regulatory, Compliance und Geldwäscheprävention bei Projekten und ihrem regulatorischen Tagesgeschäft. Er ist daneben ausgelagerter Chief Compliance Officer und Geldwäschebeauftragter mehrerer Finanzdienstleister und Asset Manager, wird als ESG-Beauftragter eingesetzt und ist zudem als Aufsichtsrat einer Bank tätig.

act AC Tischendorf Rechtsanwälte Partnerschaft mbB

Als eine der ersten Ausgründungen aus einer Großkanzlei auf dem deutschen Markt im Jahr 2000 gilt die act AC Tischendorf Rechtsanwälte Partnerschaft mbB als eine der Top-Wirtschaftskanzleien in Deutschland. Sie hat ihren Sitz in Frankfurt am Main, der Finanzmetropole Deutschlands und Drehscheibe für das internationale Geschäft. In Fachveröffentlichungen (Legal 500, JUVE, Best Lawyers etc.) wird act AC Tischendorf in den Kernbereichen M&A/Corporate-, Restrukturierung/Insolvenz, Banking & Finance und Arbeitsrecht unter den Top-Kanzleien aufgeführt. Mit ihrem Kanzleiverbund act legal verfügt die Kanzlei zudem über Büros in allen relevanten Wirtschaftsregionen Europas und steuert so auch grenzüberschreitende Projekte aus einer Hand.

Zurückzum Seitenanfang