DORA: Ein harmonisierter Rahmen zur Stärkung der digitalen operationellen Resilienz des EU-Finanzsektors
Kontext und Hintergrund
Einführung
Am 27. Dezember 2022 wurde die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationelle Resilienz im Finanzsektor1 offiziell im Amtsblatt der Europäischen Union veröffentlicht (Digital Operational Resilience Act oder kurz: DORA).
DORA wurde erstmals als Bestandteil des EU-Pakets zur Digitalisierung des Finanzsektors im September 2020 vorgestellt. Das Paket zielt darauf ab, einen europäischen Governance-Rahmen zu entwickeln, der die technologische Entwicklung fördert und Finanzstabilität und Verbraucherschutz gewährleistet. Neben DORA enthielt das EU-Paket zur Digitalisierung des Finanzsektors auch eine Strategie über ein digitales Finanzwesen in der EU, einen Vorschlag zur Regelung von Krypto-Asset basierten Märkten (MiCAR) und einen Vorschlag über eine Pilotregelung für auf der Distributed-Ledger-Technologie basierenden Marketingstrukturen (DLT-Pilotregelung, verabschiedet im Juni 2022).
Was ist DORA?
Als ein Meilenstein des EU-Pakets zur Digitalisierung des Finanzsektors soll DORA zu einer risikoangemessenen Cyber- und IT-Sicherheit von Finanzunternehmen beitragen und ihre Resilienz gegenüber Bedrohungen durch Informations- und Kommunikationstechnologien stärken. Die Verordnung zielt darauf ab, Cyber-Bedrohungen im EU-Finanzsektor zu verhindern bzw. abzuschwächen, indem die verschiedenen (national und international) bestehenden Gesetzgebungsinitiativen harmonisiert und aktualisiert werden und somit ein konsolidierter digitaler Betriebsrahmen für den gesamten EU-Finanzsektor geschaffen wird. Dadurch werden einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen sowohl von Finanzunternehmen als auch von kritischen Drittanbietern von Informations- und Kommunikationstechnologie (IKT) geschaffen.
DORA trifft auf einen bestehenden Rechtsrahmen für das Risikomanagement von Cyber- und IT-Risiken, der bereits im Finanz- und Versicherungssektor gilt. Zudem baut die Verordnung auf den europäischen Rechtsvorschriften zur Netz- und Informationssicherheit (NIS) auf, deren Erweiterung durch die NIS-2-Richtlinie ebenfalls kürzlich vom EU-Parlament im November 2022 verabschiedet und anschließend offiziell im EU-Amtsblatt veröffentlicht wurde2. In diesem allgemeinen regulatorischen Umfeld ist DORA als sektorspezifisch vorherrschender Governance-Rahmen innerhalb ihres Anwendungsbereichs konzipiert. DORA zielt auf ein angemessenes Management von IKT-Risiken ab, d.h., wie im Gesetz definiert, von "jedem vernünftigerweise erkennbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, der bei Eintritt durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld die Sicherheit der Netzwerk- und Informationssysteme, jeglicher technologieabhängiger Instrumente oder Prozesse, von Geschäften und Prozessen oder der Bereitstellung von Diensten beeinträchtigen kann."
In der Praxis wird DORA:
- von den Finanzunternehmen in der EU verlangen, dass sie umfassende Kapazitäten für ein starkes und wirksames IKT-Risikomanagement sowie spezifische Mechanismen und Strategien für den Umgang mit allen IKT-bezogenen Vorfällen und für die Meldung größerer IKT-bezogener Vorfälle an die zuständigen Behörden einführen. Ebenso sollten die Finanzunternehmen über Strategien für das Testen von IKT-Systemen, -Kontrollen und -Prozessen sowie für das Management von IKT-Drittrisiken verfügen. Die Finanzunternehmen müssen diese Anforderungen nach dem Grundsatz der Verhältnismäßigkeit umsetzen und dabei ihre Größe und ihr Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte berücksichtigen. DORA ermöglicht eine verhältnismäßige Anwendung der Anforderungen für bestimmte Finanzunternehmen, insbesondere Kleinstunternehmen, und Finanzunternehmen, die einem vereinfachten IKT-Risikomanagementrahmen unterliegen; und
- kritische IKT-Drittdienstleister, die IKT-Dienstleistungen für EU-Finanzunternehmen erbringen, einem strengen Aufsichtsrahmen unterwerfen, der von den Europäischen Aufsichtsbehörden (ESAs) verwaltet wird.
Ein konsolidierter digitaler Betriebsrahmen für den EU-Finanzsektor
Mit DORA wird ein gestraffter digitaler Betriebsrahmen für den gesamten EU-Finanzsektor eingeführt.
Die Verordnung richtet sich grundsätzlich an alle Finanzunternehmen. Zu den Finanzunternehmen, die dieser neuen Verordnung unterliegen, gehören Kredit-, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Vermögenswerten, Fondsmanager, Versicherungs- und Rückversicherungsunternehmen, Ratingagenturen und Crowdfunding-Anbieter.
IKT-Anbieter werden nicht nur indirekt, sondern unter bestimmten Voraussetzungen auch direkt reguliert. Nach DORA sind IKT-Anbieter diejenigen, die fortlaufend digitale Dienste und Datendienste, wie z. B. Cloud-Computing-Dienste, sowie bestimmte hardwarenahe Dienste anbieten. Im Vergleich zum bisherigen Rechtsrahmen stellt DORA so einen Paradigmenwechsel für die IKT-Branche dar.
Anforderungen an das IKT-Risikomanagement
DORA verlangt von Finanzunternehmen, dass sie über einen internen Verwaltungs- und Kontrollrahmen verfügen, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet. Das Leitungsorgan des Finanzunternehmens muss alle Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen festlegen, genehmigen, überwachen und ist für die Umsetzung verantwortlich.
Als Teil des IKT-Risikomanagementrahmens müssen Finanzunternehmen einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen (einschließlich Strategien, Richtlinien, Verfahren, IKT-Protokolle) einführen, Systeme zur Erkennung anomaler Aktivitäten und potenziell wesentlicher einzelner Schwachstellen einsetzen und geeignete Reaktions- und Wiederherstellungsstrategien entwickeln. Der IKT-Risikomanagementrahmen muss in der Regel jährlich überprüft werden, unterliegt der internen Revision und muss der Finanzdienstleistungsaufsichtsbehörde auf Anfrage vorgelegt werden.
Die Informations- und Kommunikationstechnologie der Finanzunternehmen muss stets auf dem neuesten Stand und unter anderem zuverlässig, angemessen konzipiert, ausreichend dimensioniert und technisch stabil sein.
IKT-bezogene Vorfälle
DORA verlangt von den Finanzunternehmen auch die Definition, Einführung und Umsetzung eines IKT-bezogenen Vorfallsmanagementprozesses, um IKT-bezogene Vorfälle zu erkennen, zu verwalten und zu melden. Geeignete Verfahren und Prozesse müssen implementiert werden, um eine konsistente und integrierte Überwachung, Handhabung und Nachverfolgung von IKT-bezogenen Vorfällen zu gewährleisten, und um sicherzustellen, dass die Ursachen identifiziert, dokumentiert und angegangen werden, um das Auftreten von IKT-bezogenen Vorfällen zu verhindern.
In der Folge müssen IKT-bezogene Vorfälle umfassend dokumentiert werden, da alle als "schwerwiegend" eingestuften Vorfälle der jeweils zuständigen Behörde (für das jeweilige Finanzunternehmen) gemeldet werden müssen. Wenn ein schwerwiegender IKT-bezogener Vorfall die finanziellen Interessen von Kunden beeinträchtigt, müssen die Finanzunternehmen ihre Kunden ebenfalls über den Vorfall und die zur Abmilderung der nachteiligen Auswirkungen getroffenen Maßnahmen informieren. Die Fristen für die rechtzeitige Meldung sollten von den ESA festgelegt werden. Finanzunternehmen können der jeweils zuständigen Behörde auch freiwillig erhebliche Cyber-Bedrohungen melden, wenn sie die Bedrohung als relevant für das Finanzsystem, die Dienstleistungsnutzer oder die Kunden erachten.
Testen der digitalen operationellen Resilienz
DORA führt ein verpflichtendes Programm zur Prüfung der digitalen operationellen Resilienz für Finanzunternehmen als integralen Bestandteil des IKT-Risikomanagementrahmens ein.
Die Tests im Rahmen des Programms müssen von unabhängigen Parteien, ob intern oder extern, durchgeführt werden. Die betroffenen Finanzunternehmen müssen Verfahren und Strategien zur Priorisierung, Klassifizierung und Behebung aller während der Durchführung der Tests aufgedeckten Probleme einführen und interne Validierungsmethoden festlegen, um sicherzustellen, dass alle festgestellten Schwächen, Mängel oder Lücken vollständig behoben werden. Für alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, müssen mindestens einmal jährlich geeignete Tests durchgeführt werden.
Finanzunternehmen, die als systemrelevant eingestuft werden, müssen zudem weitergehende Tests der zugrunde liegenden IKT-Systeme, -Prozesse und -Technologien durchführen, die kritische oder wichtige Funktionen und IKT-Dienstleistungen unterstützen. Dazu gehören auch die Systeme, die kritische oder wichtige Funktionen unterstützen, die ausgelagert oder sonst an IKT-Drittanbieter vergeben wurden. In der Regel sollten die Tests alle drei Jahre mittels bedrohungsorientierter Penetrationstests (TLPT) durchgeführt werden.
Management von IKT-Drittrisiken
Das IKT-Drittparteirisiko muss von Finanzunternehmen als integraler Bestandteil des IKT-Risikos in ihrem IKT-Risikomanagementrahmen gemanagt werden. Die DORA-Verordnung verlangt von den Finanzunternehmen, dass sie:
- über vertragliche Vereinbarungen für die Nutzung von IKT-Diensten zur Durchführung ihrer Geschäftstätigkeit verfügen, einschließlich Vereinbarungen über angemessene IT-Sicherheitsstandards im Allgemeinen und bis hin zu den besten branchenüblichen IT-Sicherheitsstandards für wichtige oder kritische Funktionen, und jederzeit die volle Verantwortung für die Einhaltung aller Verpflichtungen gemäß DORA und des geltenden Finanzdienstleistungsrechts übernehmen;
- auf Unternehmensebene und auf (teil-)konsolidierter Ebene ein Informationsregister in Bezug auf alle vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten, die von Drittanbietern erbracht werden, zu führen und zu aktualisieren, wobei zwischen IKT-Diensten, die kritische oder wichtige Funktionen unterstützen, und solchen, die dies nicht tun, zu unterscheiden ist. Dieses Register muss der zuständigen Behörde auf Anfrage zur Verfügung gestellt werden;
- den jeweils zuständigen Behörden mindestens einmal jährlich über die Zahl der neuen Vereinbarungen über die Nutzung von IKT-Diensten, die Kategorien von IKT-Drittanbietern, die Art der vertraglichen Vereinbarungen und die erbrachten IKT-Dienste und -Funktionen Bericht erstatten;
- die zuständige Behörde rechtzeitig über alle geplanten vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten, die kritische oder wichtige Funktionen unterstützen, sowie über den Zeitpunkt, zu dem eine Funktion kritisch oder wichtig geworden ist, zu informieren; und
- vor dem Abschluss neuer vertraglicher Vereinbarungen spezifische Bewertungen in Bezug auf das Risikomanagement vornehmen, einschließlich der Frage, ob die Nutzung von IKT-Diensten, die eine kritische oder wichtige Funktion unterstützen, abgedeckt ist, sowie aller relevanten Risiken im Zusammenhang mit der jeweiligen vertraglichen Vereinbarung.
Zentrale Vertragsbestimmungen
In Bezug auf die vertraglichen Vereinbarungen verfolgt DORA einen ähnlichen Ansatz wie die bereits bestehenden regulatorischen Leitlinien auf europäischer Ebene, d.h. unter anderem die EBA-Leitlinien zu Auslagerungen oder die EIOPA-Leitlinien zum Outsourcing an Cloud-Dienstleister. DORA verlangt einen schriftlichen Vertrag, in dem die spezifischen Rechte und Pflichten beider Parteien eindeutig festgelegt sind und der die folgenden Elemente enthält:
- Eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die vom IKT-Drittdienstleister zu erbringen sind, wobei anzugeben ist, ob die Untervergabe einer IKT-Dienstleistung, die eine kritische oder wichtige Funktion oder wesentliche Teile davon unterstützt, zulässig ist und, wenn dies der Fall ist, welche Bedingungen für eine solche Untervergabe gelten;
- vollständige Beschreibungen der Service Level;
- die Verpflichtung des IKT-Drittdienstleisters, bei einem IKT-Vorfall, der mit der für das Finanzunternehmen erbrachten IKT-Dienstleistung zusammenhängt, Unterstützung zu leisten;
- die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit mit den zuständigen Behörden und den Abwicklungsbehörden des Finanzinstituts; und
- Kündigungsrechte und entsprechende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen.
Für vertragliche Vereinbarungen, die kritische oder wichtige Funktionen unterstützen, sind zusätzliche obligatorische Vertragsbestimmungen zu vereinbaren, einschließlich angemessener Ausstiegsstrategien und des Rechts auf Überwachung, das uneingeschränkte Zugangs-, Inspektions- und Auditrechte beinhaltet.
Vereinbarungen über den Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen
Schließlich erlaubt DORA den Finanzunternehmen, untereinander Informationen und Erkenntnisse über Cyber-Bedrohungen auszutauschen. Dieser Informations- und Erkenntnissaustausch soll:
- die digitale operationelle Resilienz von Finanzunternehmen verbessern;
- innerhalb von vertrauenswürdigen Gemeinschaften von Finanzunternehmen stattfinden; und
- durch Vereinbarungen über den Informationsaustausch umgesetzt werden, die den potenziell sensiblen Charakter der ausgetauschten Informationen schützen und für die Verhaltensregeln gelten, die das Geschäftsgeheimnis, den Schutz personenbezogener Daten und die Leitlinien für die Wettbewerbspolitik in vollem Umfang wahren.
Ein Aufsichtsrahmen für IKT-Drittdienstleister
DORA schafft einen unmittelbaren Aufsichtsrahmen für "kritische" IKT-Drittdienstleister. Dieser Aufsichtsrahmen wird für IKT-Drittdienstleister gelten, unabhängig davon, ob sie in einem EU-Mitgliedstaat oder im Ausland ansässig sind, jedoch nicht für konzerninterne Dienstleister.
Die ESAs werden die "kritischen" IKT-Drittdienstleister benennen und für jeden kritischen IKT-Drittdienstleister eine federführende Aufsichtsbehörde benennen. Bei der federführende Aufsichtsbehörde handelt es sich um die ESA, die für das Finanzunternehmen mit dem größten Anteil an den Gesamtaktiva aller Finanzunternehmen zuständig ist, die die Dienste des jeweiligen kritischen IKT-Drittdienstleisters in Anspruch nehmen.
Die Benennung von kritischen IKT-Drittanbietern wird auf der Grundlage von Kriterien wie diesen erfolgen:
- die potenziellen systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen im Falle eines groß angelegten Betriebsausfalls;
- der systemische Charakter oder die Bedeutung der Finanzunternehmen, die sich auf den betreffenden IKT-Drittdienstleister verlassen;
- die Abhängigkeit der Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters in Bezug auf kritische oder wichtige Funktionen der Finanzunternehmen, an denen letztlich derselbe IKT-Drittdienstleister beteiligt ist; und
- der Grad der Substituierbarkeit des IKT-Drittanbieters.
Die federführende Aufsichtsbehörde wird die zugewiesenen kritischen IKT-Drittdienstleister beaufsichtigen und beurteilen, ob jeder kritische IKT-Drittdienstleister über umfassende, solide und wirksame Regeln, Verfahren, Mechanismen und Vorkehrungen für das IKT-Risikomanagement verfügt. Die ESA wird in der Lage sein, alle relevanten Informationen und Unterlagen von den zugewiesenen kritischen IKT-Drittdienstleistern anzufordern, allgemeine Untersuchungen sowie Offsite- und Onsite-Inspektionen durchzuführen, Empfehlungen und Aufforderungen auszusprechen und unter bestimmten Umständen Geldbußen zu verhängen.
Allgemeine Durchsetzung von DORA
Über die Aufteilung der aufsichtlichen Zuständigkeiten für die Beaufsichtigung kritischer IKT-Drittdienstleister hinaus legt DORA ein differenziertes System von Zuständigkeiten der Aufsichtsbehörden für jedes einzelne Institut fest, um die Einhaltung der Verordnung zu gewährleisten. Die Aufsichtsbehörden sind aufgefordert, untereinander und mit der federführenden Aufsichtsbehörde zusammenzuarbeiten.
Die Verordnung legt dann weitreichende Aufsichts-, Ermittlungs- und Sanktionsbefugnisse zugunsten dieser Behörden fest, um die Erfüllung ihrer Aufgaben zu gewährleisten. Die Mindestliste der Befugnisse umfasst den Zugang zu Dokumenten oder Daten in jeglicher Form, die Durchführung von Inspektionen oder Untersuchungen vor Ort, einschließlich des Rechts auf Vorladung und Befragung, sowie die Aufforderung zu Korrektur- und Abhilfemaßnahmen im Falle von Verstößen gegen die Verordnung.
Nach der DORA-Verordnung sind die EU-Mitgliedstaaten verpflichtet, angemessene verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen für Verstöße gegen die DORA-Verordnung festzulegen und sicherzustellen, dass diese wirksam umgesetzt werden.
DORA sieht keine Geldbußen oder andere strafrechtliche Sanktionen für die Nichteinhaltung der Verordnung vor. Die Verordnung weicht damit vom Ansatz der Datenschutzgrundverordnung (DSGVO) oder der geänderten Verordnung zur Netz- und Informationssicherheit 2 (NIS-2) ab. Den EU-Mitgliedstaaten steht es jedoch frei, in ihrem nationalen Recht strafrechtliche Sanktionen für Verstöße gegen die DORA vorzusehen, was abzuwarten bleibt.
Nächste Schritte
DORA tritt am 16. Januar 2023 in Kraft, und wird ab dem 17. Januar 2025 Geltung beanspruchen. Die Finanzunternehmen in der EU sollten demgemäß umgehend handeln um so die Einhaltung der Frist bis 2025 sicherzustellen.
Jedes Finanzunternehmen, das in den Anwendungsbereich von DORA fällt, d. h. nahezu jedes Finanzdienstleistungsunternehmen, sollte unverzüglich mit der Umsetzung von DORA beginnen und ein entsprechendes Projekt mit den zu beteiligenden internen Verantwortlichen sowie den zur Unterstützung benötigten externen Experten und Ressourcen aufsetzen. Auf der Grundlage des bestehenden Rahmens für das Informationssicherheitsmanagement und eines entsprechenden Due-Diligence-Prozesses sollte eine GAP-Analyse durchgeführt werden, um die spezifischen Aufgaben und Ziele zu ermitteln, die anschließend gemäß einem spezifischen Projektplan umzusetzen sind. In Vorbereitung auf den Geltungstermin von DORA am 17. Januar 2025 haben die Aufsichtsbehörden bereits mit den Vorbereitungen für die Umsetzung begonnen, zumal die ESAs gemäß DORA Standards zu erarbeiten haben, die Finanzdienstleister und kritische ITK-Drittanbieter einhalten müssen. Die Finanzunternehmen werden entsprechend nur einen weiter begrenzten Zeitraum für deren Umsetzung haben. Angesichts der regelmäßigen technischen und betrieblichen Komplexität dürfte dies eine Herausforderung sein.
IKT Dienstleister sollten sich unverzüglich mit den spezifischen vertraglichen Anforderungen der DORA an Dienstleistungsverträge mit Finanzunternehmen vertraut machen und insbesondere die sich hieraus ergebenden operativen und rechtlichen Konsequenzen im Vergleich zu ihrer bisherigen Arbeitsweise bzw. Vertragsabwicklung ermitteln und berücksichtigen. Diejenigen IKT-Dienstleister, die für Finanzunternehmen potenziell oder tatsächlich kritisch sind und daher im Fokus einer künftigen unmittelbaren Regulierung stehen, sollten sich mit dem für IKT-Dienstleister spezifischen Rechtsrahmen vertraut machen. Sie sollten auch die betrieblichen und rechtlichen Folgen, Managementoptionen und -ansätze sowie den potenziellen betrieblichen Änderungsbedarf sorgfältig ermitteln und analysieren.
Für weitere Informationen über DORA und die Auswirkungen auf Ihr Unternehmen wenden Sie sich bitte an Ihren DLA Piper-Berater.
1 Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale Widerstandsfähigkeit des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (Text von Bedeutung für den EWR) PE/41/2022/INIT, ABl. L 333 vom 27. Dezember 2022.
2 Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie).