DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren sollen. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es für Kleinstunternehmen und für Finanzunternehmen, die in Artikel 16 (vereinfachter IKT-Risikomanagementrahmen) genannt sind.
Ein solches Testprogramm soll zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfassen. Auf diese Weise sollen die Finanzunternehmen unter anderem erkennen, wie sie auf IKT-Vorfälle vorbereitet sind und wo sie möglicherweise Schwachstellen in ihrer digitalen operationellen Resilienz haben.
Der Proportionalitätsgedanke zeigt sich bei einem weiteren Aspekt: dem TLPT. Nur bedeutende Finanzunternehmen sollen diese Tests durchführen, die sich an konkreten Bedrohungen orientieren. Wie die Tests im Einzelnen ausgestaltet sein sollen, wird durch technische Regulierungsstandards festgelegt. Diese lehnen sich eng an das europäische Rahmenwerk TIBER-EU an, welches in Deutschland durch TIBER-DE umgesetzt ist und bisher auf freiwilliger Basis gilt. Die nationalen Aufsichtsbehörden und die EZB als europäische Aufsichtsbehörde für bedeutende Institute erkennen die in anderen europäischen Ländern durchgeführten Tests gegenseitig an. Dies wird bereits auf Verordnungsebene explizit betont. Für europaweit tätige Unternehmen ist das ein großer Vorteil, denn solche Tests sind teuer, zeit- und personalintensiv.
Was müssen Sie wissen?
Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.
Wie werden die Anforderungen an das Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland umgesetzt?
Die wesentliche Testmethodik und die Testverfahren für TLPT sollen im Einklang mit dem TIBER-EU-Rahmenwerk erfolgen (Artikel 26 Absatz 11 DORA). Deshalb werden die operativen Aufgaben mit Bezug zu TLPT - wie bereits unter TIBER-DE - von der Deutschen Bundesbank wahrgenommen. Durch DORA werden solche Tests zu einem aufsichtlichen Instrument und Teil des IKT-Risikomanagementrahmens eines Finanzunternehmens. Daher wird die jeweils zuständige Aufsichtsbehörde (in Deutschland die BaFin bzw. für signifikante Kreditinstitute die EZB) diese Tests in die aufsichtlichen Prozesse einbinden. Dies betrifft insbesondere die Aspekte Identifikation von Finanzunternehmen, die künftig TLPT durchführen müssen, die Festlegung der Testfrequenz, die Validierung des Testumfangs und die Berücksichtigung der Testergebnisse in der laufenden Aufsicht.
Welche Institute und Unternehmen müssen die erweiterten Anforderungen an das Testen im Sinne von Threat-Led Penetration Testing (TLPT) aus Artikel 26 und 27 DORA ab 2025 in Deutschland erfüllen?
Allgemeine Anforderungen an das Testen gibt es für alle Finanzunternehmen im Anwendungsbereich von DORA (Artikel 24 und 25 DORA). Ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.
Die Anforderung für erweiterte Tests auf Basis von TLPT im Sinne von Artikel 26 und 27 DORA gilt nur für ausgewählte Finanzunternehmen, die entsprechend den Kriterien in Artikel 26 Absatz 8 DORA auf Basis der folgenden Kriterien durch die zuständige Aufsichtsbehörde identifiziert werden:
- wirkungsbezogenen Faktoren, darunter insbesondere inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken;
- etwaigen Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage;
- dem spezifischen IKT-Risikoprofil, dem IKT-Reifegrad des Finanzunternehmens oder einschlägigen technologischen Merkmalen.
Diese Kriterien werden durch einen technischen Regulierungsstandard (RTS) durch die ESAs in Zusammenarbeit mit den zuständigen Behörden spezifiziert. Die öffentliche Konsultation des RTS-Entwurfs ist von Dezember 2023 bis Februar 2024 geplant. Der finale Entwurf soll im Juli 2024 an die Europäische Kommission übermittelt werden. Die BaFin wird die von ihr beaufsichtigten Institute und Unternehmen möglichst frühzeitig über eine Identifikation informieren.
