Bald ist es soweit: DORA wird voraussichtlich um den Jahreswechsel 2022/2023 in Kraft treten und nach zwei weiteren Jahren angewendet werden. Der europäische Gesetzgeber adressiert damit die zunehmende Abhängigkeit des Finanzsektors von der Informations- und Kommunikationstechnologie (IKT). Das Ergebnis: ein umfassendes gesetzliches Regelwerk, welches auf europäischer Ebene die Risiken der Digitalisierung für die Finanzbranche in den Fokus nimmt. Es soll zu einem modernen, sicheren und widerstandsfähigen digitalen europäischen Finanzmarkt beitragen.

Silke Brüggemann, Referentin in der IT-Aufsicht der BaFin, hat bei den Verhandlungen zu DORA gemeinsam mit Kolleginnen und Kollegen das Bundesfinanzministerium unterstützt. Bei der BaFin-Veranstaltung für Versicherer und Pensionsfonds informierte sie das Fachpublikum über wesentliche Aspekte der Verordnung. Grundlage ihres Vortrags war das zu diesem Zeitpunkt aktuelle DORA-Verhandlungsmandat des Europäischen Rates (Ratsmandat)¹. Es besteht aus den Elementen

• IKT-Governance und IKT-Risikomanagement,
• Testen der digitalen operationalen Resilienz,
• Meldewesen für schwerwiegende IKT-Vorfälle,
• IKT-Drittparteirisikomanagement,
• sowie dem europäischen Überwachungsrahmenwerk für kritische IKT Drittdienstleister.

Grundsätzlich gilt DORA für alle Finanzunternehmen – mit nur wenigen Ausnahmen: Diese gelten etwa für Versicherungsunternehmen im Sinne von Artikel 4 der Solvency II Richtlinie, für Einrichtungen der betrieblichen Altersvorsorge mit bis zu 15 Mitgliedern in der Summe der Altersvorsorgesysteme sowie Versicherungs- und Rückversicherungsvermittler, die Kleinstunternehmen und kleine Unternehmen sind. Als Kleinstunternehmen gelten dabei Unternehmen, die weniger als zehn Mitarbeiterinnen und Mitarbeiter und einen Jahresumsatz bzw. eine Jahresbilanz von unter 2 Millionen Euro haben; kleine Unternehmen beschäftigen weniger als 50 Mitarbeiter und weisen einen Jahresumsatz bzw. eine Jahresbilanz von unter 10 Millionen Euro auf.

IKT-Governance und IKT-Risikomanagement

Für die IKT-Governance und das IKT-Risikomanagement legt DORA über die Finanzsektoren hinweg harmonisierte und einheitliche Prinzipien fest. „Diese Prinzipien ziehen sich wie ein roter Faden durch DORA“, erklärte Brüggemann.

Die Anforderungen basieren größtenteils auf schon bekannten Veröffentlichungen und Regularien zur Informationssicherheit im Finanzsektor. Beispielsweise stelle die europäische Verordnung in der IKT-Governance klar, dass die Gesamtverantwortung für die Einhaltung der Anforderungen und der Steuerung des IKT-Risikos bei der Geschäftsleitung liegt, betonte Silke Brüggemann in ihrem Vortrag.

Die Anforderungen an das IKT-Risikomanagement sollen dazu beitragen, die Funktionsfähigkeit der Finanzunternehmen insbesondere hinsichtlich Cyber-Gefahren aufrechtzuerhalten bzw. gegebenenfalls wiederherzustellen. Damit sorgen die Anforderungen dafür, dass die Finanzunternehmen eine für sie angemessene digitale operationale Resilienz erreichen – also so widerstands- und anpassungsfähig sind, dass sie ihre digitalen operationellen Prozesse auch während und nach einem Störungsfall aufrechterhalten können.

Die Anforderungen an das IKT-Risikomanagement orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren (best practices) und Standards. Sie umfassen folgende spezifische Elemente:

• Identifizierung,
• Schutz und Prävention,
• Erkennung,
• Gegenmaßnahmen und Wiederherstellung,
• Lernen sowie
• Weiterentwicklung und Kommunikation.

Diese Anforderungen sollen standardneutral, risikoorientiert und proportional umgesetzt werden. Für bestimmte Finanzunternehmen sieht Artikel 14a DORA vereinfachte Anforderungen im IKT Risikomanagement vor – beispielsweise für kleine Einrichtungen betrieblicher Altersvorsorge mit 16 bis zu 100 Mitgliedern in der Summe der Altersversorgungssysteme.

Testen der digitalen operationalen Resilienz

DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie auf Herz und Nieren zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren sollen. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es für Kleinstunternehmen und für Finanzunternehmen, die in Artikel 14a genannt sind.

Ein solches Testprogramm soll zum Beispiel Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfassen. Auf diese Weise sollen die Finanzunternehmen unter anderem erkennen, wie sie auf IKT-Vorfälle vorbereitet sind und wo sie möglicherweise Schwachstellen in ihrer digitalen operationellen Resilienz haben.

Der Proportionalitätsgedanke zeigt sich bei einem weiteren Aspekt: den Threat Led Penetration Tests (TLPT). Nur bedeutende Finanzunternehmen sollen diese Tests durchführen, die sich an tatsächlichen Bedrohungen orientieren. Wie die Tests im Einzelnen ausgestaltet sein sollen, wird durch technische Regulierungsstandards festgelegt. Sie lehnen sich eng an das europäische Rahmenwerk TIBER-EU an, welches in Deutschland durch TIBER-DE umgesetzt ist und bisher auf freiwilliger Basis gilt. „Die nationalen Aufsichtsbehörden und die EZB als europäische Aufsichtsbehörde für bedeutende Institute erkennen die in anderen europäischen Ländern durchgeführten Tests gegenseitig an. Dies wird bereits auf Verordnungsebene explizit betont. Für europaweit tätige Unternehmen ist das ein großer Vorteil, denn solche Tests sind teuer, zeit- und personalintensiv“, sagte Brüggemann mit Blick auf den praktischen Nutzen EU-weit einheitlicher Vorgaben.

Meldewesen für schwerwiegende IKT-Vorfälle

Bei der BaFin-Veranstaltung erfuhr das Fachpublikum auch, wie das Meldewesen für schwerwiegende IKT-Vorfälle künftig ausgestaltet wird. Solche Vorfälle melden bisher nur Versicherer, die kritische Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sind. Künftig sollen alle unter DORA fallenden Finanzunternehmen – und damit auch alle Versicherer und Pensionsfonds – die Aufsicht über schwerwiegende Vorfälle informieren.

DORA weitet diese Pflicht also auf den gesamten Finanzsektor aus, vereinheitlicht diese – und legt auch fest, dass die BaFin, soweit sie die zuständige Behörde ist, die Empfängerin solcher Meldungen ist. Sie leitet dann die Meldungen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI), an die jeweilige Europäische Aufsichtsbehörde (EIOPA, ESMA oder EBA) und, soweit zutreffend, an die Europäische Zentralbank weiter.

Mit Blick auf die aktuell geltende Meldepflicht an das BSI kommt die Lex-specialis-Regelung zum Tragen. Sie regelt die Fälle, in denen sowohl DORA als auch die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie, nationale Umsetzung unter anderem im BSIG) Vorgaben machen: Sofern die Anforderungen in DORA spezifischer sind, müssen diese im Vergleich zu den Anforderungen der NIS Richtlinie vorrangig beachtet werden. Dadurch sind die Finanzunternehmen, welche sowohl unter die NIS-Richtlinie als auch unter DORA fallen, nur zu einer Vorfallsmeldung nach DORA an die BaFin verpflichtet. Wie oben erwähnt: Die BaFin sorgt dafür, dass diese Meldungen dem BSI ohne größeren Zeitverzug ebenfalls zur Verfügung stehen, damit keine Informationslücken entstehen.

IKT-Drittparteirisikomanagement

DORA hat auch die Risiken im Blick, die durch die Zusammenarbeit mit IKT-Drittdienstleistern entstehen können. Dies sind Unternehmen, die IKT-Dienste erbringen. Von den Finanzunternehmen verlangt DORA eine solide, risikoorientierte Überwachung der IKT-Drittparteirisiken – und zwar während der Vertragsabschlussphase, während der Erfüllung des Vertrags, während der Beendigung des Vertrags und auch in der Nachvertragsphase.

Eine wichtige Voraussetzung hierfür ist, dass schon vor Vertragsabschluss eine Risikoanalyse stattfindet. Dabei sollen die Finanzunternehmen zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche (Konzentrations-)Risiken aus der Vertragsbeziehung entstehen könnten. Auch zu den vertraglichen Bestimmungen für kritische oder wichtige Funktionen formuliert DORA Anforderungen: Die Verordnung legt zum Beispiel fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen betreffend der bezogenen Dienstleistungen Unterstützung zu leisten. Außerdem müssen die Finanzunternehmen eine Ausstiegsstrategie vorweisen können.

Ihre abgeschlossenen IKT Vertragsbeziehungen müssen die Finanzunternehmen – differenziert nach kritischen oder wichtigen Funktionen – in ein Informationsregister eintragen. Dieses Register erfüllt mehrere Funktionen: Erstens ist es für die Finanzunternehmen ein praktisches Instrument, um ihre IKT-Drittparteirisiken strukturiert zu managen. Zweitens dient es der Aufsicht als Grundlage, um die kritischen IKT-Drittdienstleister bestimmen zu können. Damit liefern die Informationen aus dem Register einen wesentlichen Input für das europäische Überwachungsrahmenwerk für kritische IKT-Drittdienstleister, das Brüggemann als weiteres Element von DORA vorstellte.

Europäisches Überwachungsrahmenwerk für kritische IKT Drittdienstleister

Dabei handelt es sich um ein völlig neues Element der EU-Finanzregulierung. Es verfolgt das Ziel, die Konvergenz und Effizienz der Aufsicht über das IKT Drittdienstleisterrisiko bei den Finanzunternehmen zu erhöhen. Bei der BaFin-Veranstaltung für Versicherer und Pensionsfonds wies Brüggemann aber ausdrücklich darauf hin, „dass das Überwachungsrahmenwerk nicht das IKT-Drittparteirisikomanagement durch die Finanzunternehmen ersetzt“.

Im Fokus des Überwachungsrahmenwerks stehen die oben bereits erwähnten kritischen IKT-Drittparteidienstleister. Um welche Unternehmen es sich dabei konkret handelt, legen DORA und – noch detaillierter – künftig auch eine Delegierte Verordnung, welche die Europäische Kommission noch verfassen wird, anhand verschiedener Kriterien fest: Könnte sich die Zusammenarbeit mit einem IKT-Drittdienstleister auf die Stabilität, Kontinuität oder Qualität der Services der Finanzunternehmen auswirken? Gilt das jeweilige Finanzunternehmen als systemrelevant? Wie stark ist es vom IKT-Drittdienstleister abhängig – und wie leicht wäre dieser substituierbar?

Die zentrale Rolle im Überwachungsrahmenwerk spielt der „Lead Overseer“, den für jeden kritischen IKT-Drittdienstleister eine der drei europäischen Aufsichtsbehörden EBA, ESMA oder EIOPA stellt – je nachdem, in welcher Branche das jeweilige Unternehmen schwerpunktmäßig tätig ist. Der Lead Overseer erhält Informations-, Kontroll- und Prüfrechte. Er überwacht beispielsweise, ob der Dienstleister die Anforderungen an das IKT-Risikomanagement einhält, wie sie auch für die Finanzunternehmen selbst gelten. Allerdings: Direkte Anordnungsbefugnisse gegenüber den kritischen IKT-Drittdienstleistern sieht DORA nicht vor.

Unterstützt wird jeder Lead Overseer durch ein „Joint Examination Team“. Diesen Teams gehören Expertinnen und Experten der zuständigen nationalen Aufsicht und der europäischen Aufsichtsbehörden an. Die Steuerungs- und Koordinierungsfunktion übernimmt im Überwachungsrahmenwerk das „Oversight Forum“, ein Unterkomitee des gemeinsamen Ausschusses der drei Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESAs), dem auch Vertreterinnen und Vertreter nationaler Aufsichtsbehörden angehören. Das Oversight Forum unterstützt und berät die Arbeiten des gemeinsamen Ausschusses, beispielsweise bei der Identifikation der kritischen IKT-Drittdienstleister und bei der Ernennung der jeweiligen Lead Overseer. Finanziert wird das Überwachungsrahmenwerk durch Überwachungsgebühren, welche die kritischen IKT Drittdienstleister entrichten.

Harmonisierte und einheitliche Regeln

DORA stärkt mit der sektorübergreifenden Vereinheitlichung von Anforderungen die Cyber-Sicherheit der Finanzunternehmen. Dieser Ansatz ist für die deutsche Finanzbranche und ihre Aufsicht nicht grundsätzlich neu. Das zeigen ihre Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sowie die damit verwandten Rundschreiben für andere Sektoren: die Bankaufsichtlichen, Kapitalverwaltungsaufsichtlichen und Zahlungsdiensteaufsichtlichen Anforderungen an die IT – kurz: BAIT, KAIT und ZAIT. Damit keine Dopplungen in der Regulierung entstehen, werden die bestehenden Leitlinien der drei europäischen Aufsichtsbehörden zur Informationssicherheit im Finanzsektor an DORA angepasst.

Auch was die Vertragsgestaltung von Beziehungen mit Cloud Dienstleistern betrifft, hat die BaFin in den vergangenen Jahren bereits die Initiative ergriffen: Ihre Orientierungshilfe zu Auslagerungen an Cloud-Anbieter richtet sich an alle von der BaFin beaufsichtigten Unternehmen. Gleiches gilt für den Ansatz der Aufsicht zur Überwachung von IT-Mehrmandantendienstleistern. Im vergangenen Jahr hat die BaFin durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) branchenübergreifend neue Befugnisse erhalten. Sie kann beispielsweise nun unmittelbar Anordnungen gegen Auslagerungsunternehmen erlassen, um Missstände bei Auslagerungen von Finanzunternehmen zu vermeiden oder zu beseitigen.

„Durch die europaweite Harmonisierung der Anforderungen schafft DORA einheitliche und harmonisierte Regeln“, erläuterte Brüggemann. „Schließlich machen IKT-Risiken und insbesondere auch IKT-Drittparteirisiken nicht an Ländergrenzen Halt.“

Fußnote: