Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union (EU), die einen verbindlichen, umfassenden Framework für das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT) für den EU-Finanzsektor schafft.
DORA legt technische Standards fest, die Finanzunternehmen und ihre kritischen externen Technologiedienstleister bis zum 17. Januar 2025 in ihren IKT-Systemen umsetzen müssen.
Erfahren Sie, wie Sie Data Governance und Datenschutz in großem Umfang mit unternehmensweiten Standards und Data Lineage-Funktionen anwenden können.
Verwandeln Sie Ihr Talent mit unserem Leitfaden
DORA verfolgt zwei Hauptziele: die umfassende Behandlung des IKT-Risikomanagements im Finanzdienstleistungssektor und die Harmonisierung der in den einzelnen EU-Mitgliedstaaten bereits bestehenden IKT-Risikomanagementvorschriften.
Vor DORA konzentrierten sich die Risikomanagementvorschriften für Finanzinstitute in der EU in erster Linie darauf, sicherzustellen, dass die Unternehmen über genügend Kapital zur Deckung operationeller Risiken verfügten. Einige EU-Regulierungsbehörden hatten zwar Richtlinien zum IKT- und Sicherheitsrisikomanagement veröffentlicht, doch diese Richtlinien galten nicht für alle Finanzunternehmen gleichermaßen und bezogen sich häufig eher auf allgemeine Grundsätze als auf konkrete technische Standards. In Ermangelung von IKT-Risikomanagementvorschriften auf EU-Ebene haben die EU-Mitgliedstaaten eigene Anforderungen aufgestellt. Für Finanzunternehmen hat es sich als schwierig erwiesen, sich in diesem Flickenteppich an Vorschriften zurechtzufinden.
Mit DORA möchte die EU ein universelles Framework für den Umgang mit und die Minderung von IKT-Risiken im Finanzsektor schaffen. Durch die EU-weite Harmonisierung der Risikomanagementregeln versucht DORA, die Lücken, Überschneidungen und Konflikte zu beseitigen, die zwischen unterschiedlichen Vorschriften in verschiedenen EU-Staaten entstehen konnten. Ein gemeinsames Regelwerk kann Finanzinstituten die Einhaltung der Vorschriften erleichtern und gleichzeitig die Resilienz des gesamten EU-Finanzsystems verbessern, da es sicherstellt, dass alle Institute den gleichen Standards unterliegen.
DORA gilt für alle Finanzinstitute in der EU. Dazu gehören traditionelle Finanzunternehmen wie Banken, Wertpapierfirmen und Kreditinstitute sowie nicht-traditionelle Unternehmen, einschließlich Krypto-Asset-Dienstleistern und Crowdfunding-Plattformen.
Insbesondere gilt DORA auch für einige Unternehmen, die normalerweise von den Finanzvorschriften ausgenommen sind. So müssen beispielsweise Drittanbieter, die Finanzunternehmen mit IKT-Systemen und -Services versorgen – z. B. Cloud-Service-Anbieter und Rechenzentren – die DORA-Anforderungen erfüllen. DORA gilt auch für Unternehmen, die entscheidende Informationsservices für Dritte bereitstellen, z. B. Ratingagenturen und Datenanalyseanbieter.
DORA wurde erstmals im September 2020 von der Europäischen Kommission – dem für die Gesetzgebung zuständigen Exekutivorgan der EU – vorgeschlagen. Es ist Teil eines größeren digitalen Finanzpakets, das auch Initiativen zur Regulierung von Krypto-Assets und zur Verbesserung der allgemeinen digitalen Finanzstrategie der EU umfasst. Der Rat der Europäischen Union und das Europäische Parlament (die gesetzgebenden Organe, die für die Genehmigung von EU-Rechtsvorschriften zuständig sind) haben die DORA im November 2022 offiziell angenommen. Finanzunternehmen und Drittanbieter von IKT-Services haben bis zum 17. Januar 2025 Zeit, die DORA-Vorgaben zu erfüllen, bevor die rechtliche Durchsetzung beginnt.
Die EU hat DORA offiziell verabschiedet, doch es werden noch wichtige Details von den Europäischen Aufsichtsbehörden (ESAs) ausgearbeitet. Die ESAs sind die Regulierungsbehörden, die das EU-Finanzsystem überwachen, darunter die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung.
Die ESAs sind für die Ausarbeitung der technischen Regulierungsstandards (RTS) und der technischen Durchführungsstandards (ITS), die die betroffenen Unternehmen implementieren müssen, zuständig. Diese Standards werden voraussichtlich im Jahr 2024 finalisiert. Die Europäische Kommission entwickelt derzeit ein Aufsichts-Framework für entscheidende IKT-Anbieter, der ebenfalls 2024 finalisiert werden soll.
Sobald die Normen finalisiert wurden und die Frist im Januar 2025 abgelaufen ist, wird die Durchsetzung den jeweiligen Aufsichtsbehörden in den einzelnen EU-Mitgliedstaaten obliegen, den sogenannten „zuständigen Behörden“. Die zuständigen Behörden können von Finanzinstituten verlangen, spezifische Sicherheitsmaßnahmen zu ergreifen und Sicherheitslücken zu beheben. Sie können darüber hinaus verwaltungsrechtliche – und in manchen Fällen auch strafrechtliche – Sanktionen gegen Unternehmen verhängen, die sich nicht an diese Vorschriften halten. Über das Strafmaß entscheidet jeder Mitgliedsstaat selbst.
IKT-Anbieter, die von der Europäischen Kommission als „entscheidend“ eingestuft werden, werden direkt von führenden Aufsichtsstellen der ESAs überwacht. Wie die zuständigen Behörden können auch die führenden Aufsichtsstellen Sicherheits- und Abhilfemaßnahmen verlangen und IKT-Anbieter, die die Vorschriften nicht einhalten, bestrafen. DORA erlaubt es führenden Aufsichtsstellen, Bußgelder gegen IKT-Anbieter in Höhe von 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr zu erheben. Anbieter können täglich für bis zu sechs Monate mit einer Geldstrafe belegt werden, bis sie die Vorschriften einhalten.
DORA legt technische Anforderungen für Finanzunternehmen und IKT-Anbieter in vier Bereichen fest:
- IKT-Risikomanagement und -Governance
- Reaktion auf Vorfälle und Berichterstellung
- Testen der digitalen operationellen Resilienz
- Risikomanagement anderer Anbieter
Ein Informationsaustausch ist erwünscht, aber nicht Pflicht.
Die Anforderungen werden proportional durchgesetzt, d. h. für kleinere Unternehmen wird nicht der gleiche Maßstab angelegt wie für große Finanzinstitute. Während die RTS und ITS für jede Domain noch ausgearbeitet werden, gibt die bestehende DORA-Gesetzgebung Aufschluss über die allgemeinen Anforderungen.
IKT-Risikomanagement und -Governance
DORA überträgt dem Leitungsorgan eines Unternehmens die Verantwortung für das IKT-Management. Von Vorstandsmitgliedern, Führungskräften und anderen leitenden Angestellten wird erwartet, dass sie angemessene Risikomanagementstrategien festlegen, aktiv an deren Umsetzung mitwirken und ihre Kenntnisse über das IKT-Risikopanorama auf dem neuesten Stand halten. Führungskräfte können auch persönlich für die Nichteinhaltung von Vorschriften durch ein Unternehmen zur Verantwortung gezogen werden.
Von den betroffenen Unternehmen wird erwartet, dass sie umfassende Frameworks für das IKT-Risikomanagement entwickeln. Unternehmen müssen ihre IKT-Systeme zuordnen, kritische Assets und Funktionen identifizieren und klassifizieren sowie Abhängigkeiten zwischen Assets, Systemen, Prozessen und Anbietern dokumentieren. Unternehmen müssen kontinuierliche Risikobewertungen ihrer IKT-Systeme durchführen, Cyberbedrohungen dokumentieren und klassifizieren sowie ihre Maßnahmen zur Minderung identifizierter Risiken dokumentieren.
Im Rahmen des Risikobewertungsprozesses müssen Unternehmen Analysen zum Einfluss auf die Geschäftsabläufe durchführen, um zu beurteilen, wie sich bestimmte Szenarien und schwerwiegende Störungen auf das Geschäft auswirken könnten. Unternehmen müssen die Ergebnisse dieser Analysen als Grundlage für das Festlegen von Risikotoleranzniveaus und die Gestaltung ihrer IKT-Infrastruktur nutzen. Die Akteure müssen auch geeignete Cybersecurity-Schutzmaßnahmen implementieren, wie etwa Richtlinien für Identitäts- und Zugriffsmanagement und Patch-Management, zusammen mit technischen Kontrollen wie erweiterten Erkennungs- und Reaktionssystemen, Security Information and Event Management (SIEM) sowie Security Orchestration, Automation and Response (SOAR).
Unternehmen müssen zudem Geschäftskontinuitäts- und Notfallwiederherstellungspläne für verschiedene Cyberrisikoszenarien wie Ausfälle von IKT-Services, Naturkatastrophen und Cyberangriffe erstellen. Diese Pläne müssen Maßnahmen zur Daten-Backup und Wiederherstellung, Systemwiederherstellungsprozesse sowie Pläne für die Kommunikation mit betroffenen Kunden, Partnern und Behörden umfassen.
RTS, die die erforderlichen Elemente des Risikomanagement-Frameworks eines Unternehmens spezifizieren, sind in Kürze verfügbar. Experten gehen davon aus, dass sie den bestehenden EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement ähneln werden.
Reaktion auf Vorfälle und Berichterstellung
Die betroffenen Unternehmen müssen Systeme zur Überwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen einrichten. Je nach Schwere des Vorfalls müssen Unternehmen ihn möglicherweise sowohl den Aufsichtsbehörden als auch den betroffenen Kunden und Partnern melden. Unternehmen müssen drei verschiedene Arten von Berichten für kritische Vorfälle einreichen: einen ersten Bericht zur Benachrichtigung der Behörden, einen Zwischenbericht über den Fortschritt bei der Lösung des Vorfalls und einen Abschlussbericht, in dem die Ursachen des Vorfalls analysiert werden.
Die Vorschriften darüber, wie Vorfälle zu klassifizieren sind, welche Vorfälle gemeldet werden müssen und welche Meldefristen gelten, werden demnächst festgelegt. Die ESAs prüfen zudem Möglichkeiten zur Optimierung der Berichterstattung durch die Einrichtung eines zentralen Hubs und gemeinsamer Berichtsvorlagen.
Testen der digitalen operationellen Resilienz
Unternehmen müssen ihre IKT-Systeme regelmäßig testen, um die Stärke ihrer Schutzmaßnahmen zu bewerten und Sicherheitslücken zu identifizieren. Die Ergebnisse dieser Tests und Pläne zur Behebung etwaiger festgestellter Schwachstellen werden den zuständigen Behörden gemeldet und von diesen validiert.
Unternehmen müssen einmal im Jahr grundlegende Tests wie Anfälligkeitsbewertungen und szenariobasierte Tests durchführen. Finanzunternehmen, bei denen davon ausgegangen wird, dass sie eine entscheidende Rolle im Finanzsystem spielen, müssen sich zudem alle drei Jahre Threat-Led Penetration Tests (TLPT) unterziehen. Auch die kritischen IKT-Anbieter des Unternehmens müssen an diesen Penetrationstests teilnehmen. Technische Standards für die Durchführung von TLPTs werden noch ausgearbeitet, werden aber wahrscheinlich mit dem TIBER-EU-Framework für auf Threat-Intelligence basierendes ethisches Red-Teaming übereinstimmen.
Risikomanagement anderer Anbieter
Ein einzigartiger Aspekt von DORA besteht darin, dass es nicht nur für Finanzunternehmen gilt, sondern auch für IKT-Anbieter mit Kunden im Finanzsektor.
Von Finanzunternehmen wird erwartet, dass sie eine aktive Rolle beim Management von IKT-Drittanbieterrisiken übernehmen. Bei der Auslagerung kritischer und wichtiger Funktionen müssen Finanzinstitute spezielle vertragliche Vereinbarungen aushandeln, die unter anderem Ausstiegsstrategien, Prüfungen und Leistungsziele für Zugänglichkeit, Integrität und Sicherheit betreffen. Unternehmen dürfen keine Verträge mit IKT-Anbietern, die diese Anforderungen nicht erfüllen können, abschließen. Die zuständigen Behörden sind befugt, Verträge, die nicht den Vorschriften entsprechen, auszusetzen oder zu kündigen. Die Europäische Kommission prüft derzeit die Möglichkeit, standardisierte Vertragsklauseln zu entwerfen, mit denen Unternehmen und IKT-Anbieter sicherstellen können, dass ihre Vereinbarungen DORA-konform sind.
Finanzinstitute müssen auch ihre IKT-Abhängigkeiten von Drittanbietern abbilden und sicherstellen, dass sich ihre kritischen und wichtigen Funktionen nicht zu stark auf einen einzelnen Anbieter oder eine kleine Gruppe von Anbietern konzentrieren.
Kritische IKT-Drittanbieter unterliegen der direkten Aufsicht der zuständigen ESAs. Die Europäische Kommission arbeitet die Kriterien zur Bestimmung der kritischen Anbieter noch aus. Kritischen Anbietern wird eine der ESAs als führende Aufsichtsstelle zugewiesen. Neben der Durchsetzung der DORA-Anforderungen für kritische Anbieter können führende Aufsichtsstellen Anbietern verbieten, Verträge mit Finanzunternehmen oder anderen IKT-Anbieter, die nicht DORA-konform sind, abzuschließen.
Informationsaustausch
Finanzunternehmen müssen Prozesse einrichten, um aus internen und externen IKT-bezogenen Vorfällen zu lernen. Zu diesem Zweck ermutigt DORA Unternehmen, sich an einem freiwilligen Austausch von Threat-Intelligence zu beteiligen. Alle Informationen, die auf diese Weise weitergegeben werden, müssen nach wie vor den einschlägigen Richtlinien entsprechend geschützt werden – personenbezogene Daten zum Beispiel unterliegen weiterhin den Bestimmungen der Datenschutz-Grundverordnung (DSGVO).
Nutzen Sie die volle Leistungsfähigkeit Ihrer IT-Infrastruktur. Die neueste Generation von IBM Servern, Speicher und Software unterstützt Sie bei der Modernisierung und Skalierung On-Premises und in der Cloud mit einer sicheren Hybrid-Cloud, zuverlässiger KI-Automatisierung und Erkenntnissen.
Entdecken Sie, wie wirkungsvolle KI-Automatisierungen dazu beitragen können, Ihre IT-Systeme proaktiver, Ihre Prozesse effizienter und Ihre Mitarbeitenden produktiver zu machen.
Beschleunigen Sie die Innovation und erfüllen Sie gleichzeitig Ihre Sicherheits- und Compliance-Anforderungen. IBM Cloud for Financial Services hilft Kunden dabei, Risiken zu mindern und die Cloud-Einführung auch für besonders sensible Workloads zu beschleunigen.
DORA trägt dem von Wandel geprägten Charakter von Risiko und Resilienz in der zunehmend digitalisierten Finanzdienstleistungslandschaft in der EU Rechnung.
Wie bei jedem Vorhaben, das darauf abzielt, schnell und in großem Umfang transformative Veränderungen herbeizuführen, erfordert die Umsetzung von DORA konsequente Konzentration und konsequenten Einsatz, insbesondere auf Vorstands- und Führungsebene.
Zukunftsorientierte Chief Supply Chain Officers können sich von Kollegen, die sich nur auf die Gegenwart konzentrieren, abheben.