Die Kernziele von DORA existieren teilweise auch mit den bestehenden Regelwerken, allen voran der aufsichtsrechtlichen Anforderungen an Banken, Versicherungen, Zahlungsdienstleister und Kapitalanlagegesellschaften (vgl. BAIT, VAIT, ZAIT und KAIT). Hinsichtlich der direkten Überwachung der IKT-Drittanbieter wurde mit der Verabschiedung des Gesetzes zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) am 20. Mai 2021 bereits für Deutschland eine erste Grundlage geschaffen.
Derzeit sind zudem weltweit regulatorische Aktivitäten zum Aufbau digitaler Resilienz zu verzeichnen. Zu nennen wären hier die USA, wo vergangenes Jahr ein entsprechendes regulatorisches Dokument („Sound Practices to Strengthen Operational Resilience”, Board of Governors of the Federal Reserve System, 30. Oktober 2020) vorgelegt wurde, sowie Großbritannien. Die britische Financial Conduct Authority (FCA) hat eine entsprechende Regulation schon im März 2021 in Kraft gesetzt, der irische Regulator hat sich diesen Bestimmungen angeschlossen. Dies ist durchaus auch für Deutschland von Bedeutung, denn auch auf dem hiesigen Markt existieren Tochtergesellschaften von Versicherungsunternehmen irischen Rechts.
Kritische IKT-Dienstleister aus Drittländern für Finanzinstitute in der EU müssen z.B. eine Tochtergesellschaft innerhalb der EU gründen, damit die Aufsicht ordnungsgemäß umgesetzt werden kann. Die digitale operative Resilienz beginnt eigentlich schon bestehende Schwachstellen zu verstehen und diese Risiken bestmöglich zu mindern. DORA fordert eine Verzahnung zwischen dem IT-Betrieb, dem Business Continuity Management, dem Krisenmanagement, dem Outsourcing und dem Informationsrisiko- und -sicherheitsmanagement. All diese Resilienz-Disziplinen und deren Schnittstellen müssen einheitlichen Vorgaben folgen, um eine optimale Resilienz im Ernstfall gewährleisten zu können.
Das gilt sowohl für bestehende als auch für vorhersehbare Risiken: Unternehmen im Finanzsektor müssen sicherstellen, dass sie die Auswirkungen zukünftiger Störungen abmildern können. Und wenn ein Vorfall unerwartet eintritt, müssen sie in der Lage sein, seine Auswirkungen zu minimieren und ihre Kunden und die Integrität des Finanzsystems zu schützen.
Auf Störungen vorbereiten
Die Finanzmärkte waren in letzter Zeit mit Herausforderungen durch verschiedene disruptive Ereignisse, wie z.B. Cybervorfälle, Naturkatastrophen, Pandemien und Technologieausfälle, konfrontiert. Dies liegt zum Teil daran, dass Unternehmen schnell in das digitale Zeitalter vordringen und sich den damit verbundenen Risiken aussetzen, ohne dass entsprechende Minderungsmaßnahmen ergriffen werden.
Für Institute, die beispielsweise eine Umsetzung der Anforderungen der BAIT 2017 und 2021 nur homöopathisch begonnen haben und wesentliche Dienstleistungen an Dritte ausgelagert haben, steigt durch DORA der Handlungsdruck noch einmal. Der erste Schritt, um operativ widerstandsfähig zu werden, besteht in der Akzeptanz, dass diese Art von disruptiven Ereignissen auftreten werden.
Obwohl sie nicht zu 100% vorhersehbar – oder sogar vermeidbar – sind, müssen Unternehmen sicherstellen, dass sie effektiv verwaltet werden. Vorbereitung ist also der Schlüssel, um Störungen standhalten zu können, die unweigerlich auftreten werden.
Umgang mit Risiken Dritter
Von allen in DORA beschriebenen Bereichen ist das Risikomanagement von Drittanbietern die größte Herausforderung. Das liegt daran, dass die Risikolandschaft von den ICT-Anbietern der Finanzinstitute abhängt. Mit der Weiterentwicklung der Produkte und Dienstleistungen dieser Drittanbieter entwickeln sich auch deren Risiken.
Dazu kommen gemäß DORA Vorgaben zur Meldung von Änderungen in der Nutzung von IKT-Anbietern, detailliertere Regeln für die durchzuführenden Prüfungen und Penetrationstests sowie die Benennung aller in Anspruch genommener sogenannter „kritischer Drittanbieter“. Wenn Unternehmen sich nur an die Durchführung jährlicher Bewertungen halten, verlieren sie die Kontrolle. Finanzunternehmen sollten dazu übergehen, ihr Ökosystem von Drittanbietern kontinuierlich zu bewerten.
Compliance schafft Vertrauen
Analog zur vor ein paar Jahren neu eingeführten EU-Datenschutz-Grundverordnung (EU-DSGVO), die die Art und Weise verändert hat, wie Unternehmen ihre Daten und ihre Privatsphäre zu verwalten haben, wird das DORA die Finanzunternehmen dahingehend veranlassen, ihre Geschäftsprozesse zu überdenken. Damit sollen Finanzinstitute ihre digitale operative Widerstandsfähigkeit sowie ihre Reputation verbessern, was letztendlich zu einem besseren Ruf für Unternehmen, die sich daranhalten, führt. Es ist wichtig, dass Finanzinstitute beginnen, die Auswirkungen dieser regulatorischen Änderung auf ihr IKT-Risikomanagement-Framework zu bewerten und sich darauf vorzubereiten, die spezifischen Anforderungen von DORA zu erfüllen.
Im Einzelnen müssen Unternehmen mit der Erforschung beginnen, ihren Business Case zu erstellen und eine einheitliche Strategie zu entwickeln. Digitale operative Resilienz ist eine gemeinsame Verantwortung, wobei der Chief Risk Officer (CRO), der Chief Information Officer (CIO) und der Chief Security Officer (CSO) eng zusammenarbeiten sollten. Zweifellos werden die meisten Unternehmen über umfangreiche Erfahrung in diesen Bereichen verfügen, aber sie müssen das, was bereits vorhanden ist, rationalisieren. Sie sollten zunächst strategische Prioritäten festlegen und den Reifegrad ihrer Organisation in Bezug auf operative Resilienz bestimmen, einschließlich einer Bewertung ihres operativen Resilienzprogramms. Danach können sie ein Betriebsmodelldesign und eine Implementierungs-Roadmap erstellen, einschließlich Szenariotests, Auswirkungstoleranz, Daten und Tools.
Ein multidisziplinärer Ansatz
Wenn Unternehmen den Weg zur Compliance einschlagen, sollten sie in der Lage sein, Gesetze zu lesen und zu interpretieren, sie auf ihre eigene IKT- und Risikomanagementstrategie anzuwenden, Lücken zu identifizieren und das Programm umzusetzen.
Finanzdienstleistungsunternehmen stehen vor der Herausforderung, das große Ganze zu verfolgen und gleichzeitig zu verhindern, dass sie zu viel investieren. Ein einheitlicher, dynamischer Ansatz und Rahmen wird zu einer Synergie aller Bereiche führen und eine fortschrittliche operative Widerstandsfähigkeit in einem schnelllebigen Kontext gewährleisten, in dem täglich neue Risiken auftreten.
Was sind die wichtigsten Verpflichtungen für Finanzunternehmen im Rahmen von DORA?
Einführung eines umfassenden IKT-Risikomanagement-Rahmens und einer umfassenden Governance, damit Unternehmen IKT-Risiken identifizieren, verhindern und managen können.
- Meldung von IKT-Vorfällen
Verwenden Sie ein optimiertes Verfahren, um IKT-Vorfälle zu protokollieren und zu klassifizieren und größere Vorfälle an Behörden zu melden.
- Digital Operational Resilience Testing Program
Führen Sie regelmäßig Bewertungen durch, z.B. Schwachstellenbewertungen und Netzwerksicherheitsbewertungen.
- Strategie für IKT-Drittrisiken
Regelmäßige Bewertung der Risiken, die von IKT-Drittanbietern ausgehen.
- Informations- und Informationsaustausch
Stellen Sie den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen innerhalb des Sektors sicher.
Erste Lösungsschritte
Unternehmen des Finanzsektors müssen im Hinblick auf DORA auf einer Reihe von Handlungsfeldern aktiv werden. Am Anfang sollte dabei eine Bestandsaufnahme der eigenen DORA-Compliance stehen. Typischerweise werden manche neuen Anforderungen auch schon zum heutigen Stand erfüllt, weshalb sich als erster Schritt eine Gap-Analyse anbietet, aus welcher der bestehende Handlungsbedarf abgeleitet werden kann.