Digital Operational Resilience Act (DORA) – Bedeutung für den Finanzsektor
Mit der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, „DORA“) werden die Anforderungen an den Umgang von Finanzunternehmen mit IKT-Risiken wesentlich verschärft und zugleich ein gänzlich neuer Aufsichtsrahmen für IKT-Dienstleister geschaffen. Die wohl wesentlichste Neuerung betrifft die künftige Beaufsichtigung kritischer IKT-Dienstleister durch die europäischen Aufsichtsbehörden. Daher wird DORA über den Finanzsektor im engeren Sinne hinaus enorme praktische Auswirkungen haben. Die Verordnung ist am 16.01.2023 durch Veröffentlichung im Amtsblatt der Europäischen Union in Kraft getreten und findet ab dem 17.01.2025 Anwendung.
Adressaten und Regelungsinhalt
Dieser Beitrag ist der Auftakt einer Reihe, in der in den folgenden Monaten die einzelnen Regelungsbereiche von DORA und ihre Bedeutung für den Finanzsektor näher dargestellt werden. Dabei wird vorrangig das Management von Drittparteirisiken, die Vertragsgestaltung für die Auslagerung an IKT-Drittdienstleister, Testverfahren, IT-Governance und -Risikomanagement sowie die Aufsicht über kritische IKT-Dienstleister beleuchtet werden. Dieser Newsletter widmet sich zum Auftakt
(i) dem Anwendungsbereich von DORA einschließlich der Adressaten sowie
(ii) den wesentlichen Regelungsinhalten von DORA.
Hintergrund
DORA geht auf das Maßnahmenpaket der Europäischen Kommission zur Digitalisierung des europäischen Finanzsektors vom September 2020 zurück. Hintergrund ist im Wesentlichen die Erkenntnis, dass sich aus dem verstärkten Einsatz von Informations- und Kommunikationstechnologien („IKT“) in der Finanzbranche für die Akteure zusätzliche Risiken ergeben. Diese resultieren z. B. aus Cyber-Angriffen, IKT-Störungen oder der Abhängigkeit von (externen) IKT-Dienstleistern. Deshalb soll DORA die operationale Resilienz des europäischen Finanzsektors stärken und dadurch den Schutz von Finanzunternehmen und ihren Kundinnen und Kunden fördern sowie letztlich das Finanzsystem als solches vor IKT-Risiken schützen.
Dabei zielt DORA auf eine Harmonisierung des bis dato weitgehend uneinheitlichen nationalen wie auch europäischen Rechtsrahmens für den Umgang mit IKT-Risiken ab. Auf nationaler Ebene gelten für regulierte Versicherungs- und Finanzunternehmen bislang verschiedene sektorale Verwaltungsvorschriften, wie etwa die BaFin-Rundschreiben zu Anforderungen an die Informationstechnologie für Kreditinstitute (BAIT) oder Versicherungsunternehmen (VAIT). Mit DORA werden nun einheitliche Vorgaben für den gesamten Finanzsektor aufgestellt. Darüber hinaus soll DORA im Interesse eines funktionsfähigen Binnenmarktes die bisher auf europäischer Ebene stark fragmentierten Regelungsanforderungen vereinheitlichen und zugleich einen gemeinsamen Aufsichtsrahmen für IKT-Drittanbieter schaffen.
Anwendungsbereich
Die Anforderungen von DORA gelten sektorübergreifend im Wesentlichen für alle beaufsichtigten Institute und Unternehmen des Finanzsektors (sog. Finanzunternehmen) sowie darüber hinaus für Unternehmen, die IKT-Dienstleistungen für Unternehmen des Finanzsektors erbringen (sog. IKT-Drittdienstleister).
„Finanzunternehmen“ i. S. v. DORA sind neben Kreditinstituten, Zahlungs- und E-Geld-Instituten, Wertpapierfirmen, Kapitalverwaltungsgesellschaften und Versicherungs-/Rückversicherungsunternehmen z. B. auch Kontoinformationsdienstleister, Anbieter von Krypto-Dienstleistungen i. S. d. Verordnung (EU) 2023/1114 (MiCAR), Ratingagenturen, Crowdfunding-Dienstleister, (Rück-)Versicherungsvermittler oder Einrichtungen der betrieblichen Altersvorsorge (Art. 2 Abs. 1 lit. a) bis t) DORA).
„IKT-Drittdienstleistern“ i. S. v. DORA sind Unternehmen, die IKT-Dienstleistungen bereitstellen (Art. 2 Nr. 19 DORA). Hierunter fallen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern (d. h. Finanzunternehmen) dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen (vgl. Art. 2 Nr. 21 DORA). Somit fallen auch nicht regulierte Drittanbieter z. B. von Cloud-Diensten, Software, Datenanalysediensten oder Rechenzentren in den Anwendungsbereich von DORA. In Deutschland unterstehen IKT-Drittdienstleister, soweit diese als Auslagerungsunternehmen zu qualifizieren sind, bereits einer eingeschränkten Regulierung mit entsprechenden Eingriffsbefugnissen der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“). Ergänzend werden nunmehr auf EU-Ebene als kritisch eingestufte IKT-Drittdienstleister unter eine direkte Überwachung der Europäischen Finanzaufsichtsbehörden („ESA“) gestellt (hierzu sogleich).
Die Anwendung der Vorgaben der DORA erfolgt dabei gemäß dem Grundsatz der Verhältnismäßigkeit unter Berücksichtigung von Größe und Gesamtrisikoprofil des Finanzunternehmens sowie der Art, dem Umfang und der Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte (vgl. Art. 4 DORA). Für Kleinstunternehmen (d. h. Finanzunternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. ‑bilanzsumme EUR 2 Mio. nicht überschreitet) ergeben sich zudem verschiedene Ausnahmen vom DORA-Anwendungsbereich.
Wesentliche Neuerungen durch DORA
DORA konzentriert sich auf die IT-Governance und das Risikomanagement in Finanzunternehmen sowie auf Anforderungen an Auslagerungen an IKT-Drittdienstleister. Finanzunternehmen sollen interne Strukturen schaffen, durch die IKT-Risiken und Risiken, die durch die Erbringung von Dienstleistungen durch IKT-Drittdienstleister entstehen, begrenzt werden. Hieraus ergeben sich insbesondere die folgenden Anforderungen:
- IKT-Risikomanagement (Kapitel II DORA): Das Risikomanagement von Finanzunternehmen muss IKT-Risiken abdecken. Finanzunternehmen sind nach DORA verpflichtet, einen internen Governance- und Kontrollrahmen zu schaffen, der ein wirksames und umsichtiges Management von IKT-Risiken ermöglicht. Dieser ist fortlaufend zu überwachen und ggf. zu aktualisieren. Diese Aufgaben treffen insbesondere das Leitungsorgan, das die Gesamtverantwortung für das Management der IKT-Risiken trägt und durch regelmäßig zu überarbeitende Leitlinien die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten gewährleistet. Dabei sind Protokollierungspflichten zu erfüllen und Präventionsmaßnahmen zu treffen. Aus deutscher Perspektive sind die Anforderungen an das IKT-Risikomanagement mit Blick auf die bestehende Verwaltungspraxis der BaFin nicht völlig neu. Gleichwohl stellt DORA nunmehr konkretere Vorgaben auf, die zudem auf die Ebene eines förmlichen Gesetzes gehoben werden.
- Meldung von IKT-bezogenen Vorfällen (Kapitel III DORA): Finanzunternehmen werden verpflichtet, sog. IKT-bezogene Vorfälle nach vorgegebenen Kriterien zu klassifizieren. Ein IKT-bezogener Vorfall ist ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (vgl. Art. 3 Nr. 8 DORA). Zudem unterliegen schwerwiegende IKT-bezogene Vorfälle einer Meldepflicht an die zuständige Behörde. Zusätzlich steht es den Finanzunternehmen frei, auf freiwilliger Basis auch Cyberbedrohungen an die zuständige Aufsichtsbehörde zu melden. Finanzunternehmen müssen Prozesse zur Überwachung und Dokumentation von IKT-bezogenen Vorfällen implementieren. Damit geht DORA über bislang lediglich punktuell bestehende sektorale Meldepflichten etwa hinsichtlich schwerwiegender Sicherheitsvorfälle gemäß § 54 Abs. 1 Satz 1 ZAG hinaus.
- Tests der digitalen operationalen Resilienz (Kapitel IV DORA): Um IKT-bezogene Vorfälle zu vermeiden, sind Finanzunternehmen verpflichtet, ihre digitale operationale Resilienz zu testen und die Tests als Bestandteil des IKT-Risikomanagements in das Unternehmen zu integrieren. Für die Durchführung des Tests dürfen auch externe Dienstleister beauftragt werden, sofern sie den DORA-Anforderungen entsprechen. Die Tests sind dabei unter Berücksichtigung der Größe sowie des Geschäfts- bzw. Risikoprofiles des jeweiligen Finanzunternehmens durchzuführen. So müssen systemrelevante Institute mindestens alle drei Jahre künftig sog. bedrohungsorientierte Penetrationstests (TLPT-Tests) durchführen. DORA steht somit im Einklang mit bestehenden Testpflichten, geregelt bspw. in VAIT und BAIT. Neu ist die Regelung in einer europäischen Verordnung. Die BaFin hat bereits angekündigt, die bestehenden Pflichten mit denen aus DORA abzugleichen und dazu eine Mitteilung zu veröffentlichen.
- IKT-Drittparteirisikomanagement (Kapitel V, Abschnitt I DORA): Weiterhin sieht DORA zusätzliche Anforderungen an das Management des IKT-Drittparteirisikos – wie etwa die Verpflichtung zum Führen eines Informationsregisters mit allen vertraglichen Vereinbarungen bzgl. Leistungen durch IKT-Drittdienstleister – vor und macht ferner Mindestvorgaben für wesentlichen Inhalte von Auslagerungsverträgen zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister. Hierzu gehören neben den Beschreibungen der Funktionen und der Unterauftragsvergaben die Meldepflichten im Fall eines IKT-Vorfalls sowie Kündigungsrechte, Berichtspflichten und Rechte des Finanzunternehmens zur fortlaufenden Überwachung des IKT-Drittdienstleisters. Insofern knüpft DORA an die bestehenden sektoralen Anforderungen an Auslagerungen durch regulierte Institute (wie etwa die EBA-Leitlinien zu Auslagerungen, MaRisk, BAIT/VAIT) an. Zwar stimmen die Vorgaben unter DORA größtenteils mit den bestehenden Mindestvorgaben für Auslagerungsverträge in den sektoralen Vorschriften überein. Im Einzelnen ergeben sich jedoch Ergänzungen bzw. Präzisierungen des geltenden Rahmens. Ein Bespiel hierfür ist die Verpflichtung unter DORA, eine eigenständige Kontrollfunktion für das Management und die Überwachung von IKT-Risiken vorzuhalten.
- Überwachungsrahmenwerk für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II DORA): Schließlich führt DORA als maßgebliche Neuerung eine „Überwachung“ sog. kritischer IKT-Drittdienstleister durch die ESA ein. Dabei entscheiden die ESA anhand eines Kriterienkatalogs (vgl. Art. 32 Abs. 2 DORA) über die Qualifizierung von IKT-Drittdienstleistern als „kritisch“. Anders als im Fall einer vollumfänglichen Aufsicht bedürfen „überwachte“ kritische IKT-Drittdienstleister keiner Zulassung durch die Finanzaufsichtsbehörden. Zugleich beschränkt sich die Überwachung auf den Teilbereich des Managements von IKT-Risiken, die vom kritischen IKT-Drittdienstleister für Finanzunternehmen ausgehen können. Die Befugnisse der ESA gehen im Übrigen deutlich über die bisherigen sektoralen Eingriffsbefugnisse der BaFin gegenüber Auslagerungsunternehmen hinaus.
Fazit
Im Hinblick auf die fortschreitende Digitalisierung und die damit verbundenen Herausforderungen im IKT-Bereich stellt DORA eine praktisch enorm wichtige Ergänzung des bestehenden Regelungsrahmens dar. DORA wird die gegenwärtig noch nicht einheitlichen Regelungen in den EU-Mitgliedstaaten harmonisieren und stellt somit einen weiteren Schritt zur Schaffung eines „level playing field“ in der EU dar. Die potentiell vom Adressatenkreis von DORA umfassten Unternehmen sollten frühzeitig und sorgfältig prüfen, ob und inwieweit sie Adressat der neuen Regelungen sind und welche Anforderungen zukünftig an sie gestellt werden. Zudem sind rechtzeitig Maßnahmen seitens der Finanzunternehmen und der IKT-Drittdienstleister zu ergreifen, um die Anforderungen von DORA im betreffenden Unternehmen umzusetzen.
Der nächste Beitrag in unserer DORA-Insight-Reihe wird sich mit dem Management des Drittparteienrisikos befassen.