Zur Stärkung der digitalen operationellen Resilienz des europäischen Finanzsektors regt DORA an, dass Finanzunternehmen Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, einschließlich Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools. Finanzunternehmen haben lediglich der zuständigen Aufsicht mitzuteilen, sobald ihr Mitwirken in solchen Information-Sharing-Vereinbarungen bestätigt wurde oder dieses endet.
Um auch sektorübergreifend Kommunikationskanäle und Reaktionsmaßnahmen sowie die Zusammenarbeit in Krisensituationen zu üben und die Abhängigkeit des Finanzsektors von anderen Sektoren zu untersuchen, können die zuständigen Aufsichtsbehörden Krisenmanagement- und Notfallübungen mit Szenarien für Cyberangriffe konzipieren.
Was müssen Sie wissen?
Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.
Müssen Finanzunternehmen nun verpflichtend Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen?
Nein, der Austausch von Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern ist freiwillig. Um die operationale Resilienz des Finanzsektors zu stärken, empfehlen die EU-Gesetzgeber – genauso wie die BaFin – dass sich Finanzunternehmen zu Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen. Verpflichtend ist eine Meldung an die BaFin über die Teilnahme oder die Beendigung entsprechender Vereinbarungen zu Austauschen von Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern im Sinne von Artikel 45 DORA.
Details zu den Meldeprozessen wird die BaFin noch bekanntgeben.
Was ist ein Austausch von Informationen und Erkenntnisse zu Cyberbedrohungen zwischen Finanzunternehmen im Sinne von Artikel 45 DORA?
Ein Austausch von Informationen und Erkenntnisse zu Cyberbedrohungen zwischen Finanzunternehmen im Sinne von Artikel 45 DORA ist ein Austausch, der
a) darauf abzielt die digitale die digitale operationale Resilienz von Finanzunternehmen zu stärken, insbesondere indem für Cyberbedrohungen sensibilisiert, die Verbreitung von Cyberbedrohungen eingeschränkt oder verhindert wird und die Verteidigungsfähigkeiten, Techniken zur Erkennung von Bedrohungen, Abmilderungsstrategien oder Phasen der Reaktion und Wiederherstellung unterstützt werden;
b) innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgt;
c) durch Vereinbarungen über den Austausch von Informationen umgesetzt wird, die den potenziell sensiblen Charakter der ausgetauschten Informationen schützen und Verhaltensregeln unterliegen, in deren Rahmen die Wahrung des Geschäftsgeheimnisses, der Schutz personenbezogener Daten im Einklang mit der Verordnung (EU) 2016/679 und Leitlinien für die Wettbewerbspolitik vollumfänglich befolgt werden.
