Steigerung der Cybersicherheit durch den Digital Operational Resilience Act (DORA): Neue Ära der digitalen Widerstandsfähigkeit für Finanzunternehmen
Der Digital Operational Resilience Act (Verordnung (EU) 2022/2254 über die Betriebsstabilität digitaler Systeme des Finanzsektors – im Folgenden „DORA”) hat den Schutz des Finanzsystems vor Cybersicherheits- und IKT-Risiken zum Ziel. Die im DORA festgelegten Pflichten treffen die in den Anwendungsbereich fallenden Unternehmen bereits ab dem 17. Januar 2025.
Obwohl die betroffene Finanzbranche bereits jetzt schon streng reguliert ist, lohnt sich eine möglichst frühzeitige Auseinandersetzung mit den durch DORA zusätzlich eingeführten Verpflichtungen.
Mit der steigenden Komplexität und Häufigkeit von Cyberbedrohungen rückt die Notwendigkeit von Regulierung im Bereich der Cybersicherheit immer stärker in den Fokus. Der DORA ist hierbei Teil des Digital Finance Packages, das am 24. September 2020 durch die Europäische Kommission verabschiedet wurde. Die Europäische Union will mit der neuen Verordnung den stetig wachsenden Cyberrisiken speziell in der Finanz- und Versicherungsbranche begegnen.
Der DORA definiert für den Finanzsektor einheitliche Anforderungen an Risikomanagementsysteme und an die Sicherheit der von den verpflichteten Unternehmen genutzten Netzwerk- und Informationssysteme. Neben der DORA führt der europäische Gesetzgeber mit der zweiten Network Information and Security Directive (NIS-2-Richtlinie) zudem einen erweiterten Regulierungsrahmen für die Anforderungen an die Cybersicherheit von Einrichtungen und Unternehmen ein.
NIS-2 umfasst dabei eine Vielzahl von Unternehmen und erweitert den Anwendungsbereich der bisher geltenden Regelungen zur kritischen Infrastruktur deutlich. Im Verhältnis von NIS-2-Richtlinie und DORA geht DORA als spezielleres Gesetz (lex specialis) den Regelungen der NIS-2-Richtlinie vor.
Auf nationaler Ebene ergänzt der DORA das Kreditwesengesetz (KWG) sowie die auf dem KWG basierenden „Mindestanforderungen an das Risikomanagement“ (MaRisk), die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) und die „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT). Durch die konkreteren Vorgaben der neuen Verordnung werden Ermessensspielräume für Finanzunternehmen im Vergleich zur vorherigen Situation erheblich reduziert.
Für wen gilt der DORA?
Nach Art. 2 Abs. 1 DORA fallen in den persönlichen Anwendungsbereich von DORA allgemein gesprochen alle Finanzunternehmen, insbesondere Kredit-, Zahlungs- und E-Geldinstitute, Anbieter von Krypto-Dienstleistungen, Wertpapierfirmen, Versicherungs- beziehungsweise Rückversicherungsunternehmen, Versicherungsmittler sowie Einrichtungen der betrieblichen Altersvorsorge.
Darüber hinaus bestimmt Art. 2 Abs. 1 lit. u DORA auch eine direkte Anwendbarkeit für sogenannte IKT-Drittdienstleister (kritische Dienstleister im Bereich der Informations- und Kommunikationstechnologie) und somit auch für solche Unternehmen, die selbst originär nicht zwingend der Finanzbranche zuzuordnen sind.
Art. 3 Nr. 21 DORA definiert den Begriff der IKT-Dienstleistungen als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern erbracht werden, einschließlich Diensten für die Bereitstellung, Eingabe, Speicherung und Verarbeitung von Daten und Berichterstattungsdiensten, Datenüberwachung sowie datenbasierter Dienste und Diensten für Entscheidungsunterstützung.“ Darunter gefasst werden können nach Erwägungsgrund 63 DORA etwa Anbieter von Software, Cloud-Computing-Diensten, Datenanalysedienstleister und Anbieter von Rechenzentrumsdienstleistungen. Auch diese werden sich also mit den auf sie anwendbaren Informationssicherheitsvorgaben auseinandersetzen müssen.
Auch die Anbieter von IKT-Diensten im Sinne von Art. 3 Nr. 21 DORA sind unter Umständen originär durch die Vorschriften der NIS-2-Richtlinie als Anbieter digitaler Infrastruktur nach Nr. 8 des Anhangs I getroffen. Hier ist allerdings, wie bereits vorstehend beschrieben, zu beachten, dass die Vorschriften des DORA den Vorgaben der NIS-2-Richtlinie als lex specialis vorgehen. Die jeweils anwendbaren Vorschriften stellen hierbei ein gesetzliches Mindestmaß dar, das so auch in der Ausgestaltung vertraglicher Beziehungen zwingend berücksichtigt werden muss. Darüber hinausgehende Maßnahmen und Verpflichtungen in der Beziehung zwischen Finanzunternehmen und IKT-Drittdienstleistern sind selbstverständlich jederzeit zulässig.
Regelungsinhalt
Im Zentrum der Verpflichtungen des DORA stehen die Vorschriften über das IKT-Risikomanagement. Die Europäischen Aufsichtsbehörden, die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA), die Europäische Bankenaufsichtsbehörde (EBA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), zusammen auch als ESAs bezeichnet, sind damit beauftragt, zur weiteren Definition der geforderten Standards neben Leitlinien technische Regulierungs- und Implementierungsstandards (RTS bzw. ITS) zu verabschieden. Erste finale Entwürfe von RTS und ITS sind am 17. Januar 2024 veröffentlicht worden. Das zweite Set finaler Entwürfe wird voraussichtlich am 17. Juli 2024 veröffentlicht.
Pflichten im IKT-Risikomanagement Nach Art. 5 Abs. 1 DORA müssen Finanzunternehmen zunächst über einen internen Governance- und Kontrollrahmen verfügen, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet. Der DORA legt hierbei dem Leitungsorgan des Finanzunternehmens selbst die Pflicht auf, das IKT-Risikomanagement zu definieren, zu genehmigen, zu überwachen und zu verantworten. Auch werden die Leitungsorgane dazu verpflichtet, ihre Kenntnisse und Fähigkeiten im Hinblick auf die zu managenden IKT-Risiken stets auf dem neuesten Stand zu halten – beispielsweise durch spezielle und regelmäßig stattfindende Schulungen.
Art. 6 Abs. 1 DORA sieht vor, dass das IKT-Risikomanagement in einen Risikomanagementrahmen eingebettet werden muss, der einmal jährlich beziehungsweise bei Kleinstunternehmen „regelmäßig“ dokumentiert und überprüft werden muss. Der IKT-Risikomanagementrahmen muss mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools umfassen, die zum Schutz aller Informations- und IKT-Assets erforderlich sind. Eine weitere Harmonisierung der durch den IKT-Risikomanagementrahmen zu erfüllenden Standards erfolgt durch den RTS zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen.
Den ersten finalen Entwurf dieses RTS haben die ESAs am 17. Januar 2024 veröffentlicht. Der Risikomanagementrahmen muss neben den Anforderungen an das IKT-Risikomanagement aus Art. 5-15 DORA auch Maßnahmen zum Testen digitaler Resilienz gem. Art. 24-27 DORA sowie das Management des IKT-Drittparteirisikos gem. Art. 28 DORA umfassen.
Überwachungs- und Dokumentationspflichten von IKT-bezogenen Vorfällen Art. 17 Abs. 1 DORA verpflichtet Finanzunternehmen zur Bestimmung eines Prozesses für die Behandlung IKT-bezogener Vorfälle, durch den die Erkennung, Behandlung und Meldung solcher Vorfälle ermöglicht wird.
Als IKT-bezogenen Vorfall definiert Art. 3 Nr. 8 DORA ein „von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.“
Basierend auf der nach Art. 18 DORA erfolgenden Klassifizierung von IKT-bezogenen Vorfällen ergibt sich unter Umständen eine Meldepflicht gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als zuständiger Aufsichtsbehörde. Eine Meldepflicht besteht nach Art. 19 DORA bei sogenannten schwerwiegenden Vorfällen, also solchen Vorfällen, die gem. Art. 3 Nr. 10 „umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme [haben], die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen“.
Hat ein entsprechender Vorfall Auswirkungen auf die finanziellen Interessen der Kunden, muss das betroffene Finanzunternehmen diese unverzüglich sowohl über den Vorfall als auch über die Maßnahmen unterrichten, die zur Minderung der nachteiligen Auswirkungen eines solchen Vorfalls getroffen wurden. Die ESAs sollen gemeinsam mit der Europäischen Zentralbank (EZB) und der Agentur der Europäischen Union für Cybersicherheit (ENISA) Kriterien für die Meldepflichtigkeit von IKT-bezogenen Vorfällen aufstellen.
Die Meldung einer Cyberbedrohung ist nach Art. 19 Abs. 2 DORA freiwillig. Sie wird in Art. 2 Nr. 8 des Rechtsakts zur Cybersicherheit (VO (EU) 2019/881) definiert als möglicher Umstand, Ereignis oder Handlung, welche Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte. Die BaFin hat angekündigt, hierfür einen entsprechenden Meldeweg zur Verfügung zu stellen.
Test der operationalen Resilienz DORA sieht als integralen Bestandteil eines IKT-Risikomanagementrahmens ein Programm zum Testen der eigenen operationalen Resilienz vor. Finanzunternehmen müssen hierbei abhängig von ihrer Größe sowie ihrem Geschäfts- und Risikoprofil Maßnahmen treffen. Diese können etwa in der Analyse von Schwachstellen, Überprüfungen der physischen Sicherheit oder auch Penetrationstests bestehen. Finanzunternehmen müssen diese Tests mindestens einmal jährlich durchführen, sofern die betroffenen IKT-Systeme und -Anwendungen kritische oder wichtige Funktionen unterstützen; Kleinstunternehmen sind von dieser Pflicht ausgenommen.
Größere Finanzunternehmen sind gem. Art. 26 Abs. 1 DORA zudem verpflichtet, alle drei Jahre bedrohungsorientierte Penetrationstests (Threat-Led Penetration Testing) durchzuführen. Die zuständige Behörde kann das Finanzunternehmen zudem zur Verringerung oder Erhöhung der Häufigkeit der Tests der operationalen Resilienz verpflichten.
Überwachung von kritischen IKT-Drittdienstleistern Besondere Pflichten entstehen zudem in Bezug auf den Einsatz von sogenannten kritischen IKT-Drittdienstleistern. Um potenziellen System- und Konzentrationsrisiken, die aus der Abhängigkeit des Finanzsektors von einigen wenigen IKT-Drittdienstleistern erwachsen, entgegenzuwirken, soll DORA einen EU-Überwachungsrahmen für kritische IKT-Dienstleister schaffen. Wer genau als kritischer IKT-Drittdienstleister gilt, wird von den ESA festgelegt. Die Kommission hat hierzu gem. Art. 31 Abs. 6 DORA am 22. Februar 2024 einen delegierten Rechtsakt erlassen, der die Kriterien für die Einstufung von IKT-Dienstleistern als „kritisch“ präzisiert.
Die Art. 28 ff. DORA sehen spezifische Anforderungen an das Risikomanagement für kritische IKT-Drittdienstleister innerhalb des IKT-Risikomanagementrahmens nach Art. 6 Abs. 1 DORA vor. Art. 30 DORA bestimmt zudem Mindestinhalte für Vereinbarungen zwischen Finanzunternehmen und kritischen IKT-Drittdienstleistern.
Eine Liste der kritischen IKT-Drittdienstleister soll durch die Europäischen Aufsichtsbehörden einmal jährlich veröffentlicht werden. Die Dienstleister selbst müssen Informationen und Unterlagen bereitstellen und Untersuchungen und Inspektionen durch die zuständigen Behörden dulden.
Für wen gelten welche Pflichten?
Die Verordnung differenziert hinsichtlich des von ihr vorgesehenen Pflichtenkatalogs in zweierlei Hinsicht: zum einen anhand der Größe des in Frage stehenden Unternehmens, zum anderen anhand der dem Unternehmen drohenden Risiken. Hierdurch wird dem in Art. 4 DORA niedergeschriebenen Proportionalitätsprinzip Rechnung getragen.
Für Kleinstunternehmen mit weniger als zehn Beschäftigten sowie kumulativ einem Jahresumsatz/einer Bilanzsumme von unter zehn Millionen Euro gibt es zahlreiche Ausnahmen vom Pflichtenkatalog. Zudem gelten auch für kleine und mittlere Unternehmen Ausnahmen von den Vorschriften der Verordnung.
Was passiert bei Nichtumsetzung oder einem Verstoß?
Art. 46 DORA bestimmt die behördliche Zuständigkeit für das jeweils betroffene Finanzunternehmen. Zuständige Behörde in Deutschland ist in der Regel die BaFin beziehungsweise für bedeutende Kreditinstitute die EZB. Die den zuständigen Behörden zugewiesenen Befugnisse zur Erfüllung ihrer Aufgaben umfassen Aufsichts-, Untersuchungs- und Sanktionsbefugnisse.
Anders als etwa in der NIS-2-Richtlinie oder auch in der Datenschutzgrundverordnung (DSGVO) enthält DORA keinen eigenen Bußgeldkatalog. Allerdings drohen im Fall der Nichtumsetzung von durch DORA bestimmten Verpflichtungen täglich zu zahlende Zwangsgelder in Höhe von einem Prozent des durchschnittlichen weltweiten Tagesumsatzes, die gegenüber kritischen IKT-Drittanbietern festgesetzt werden können (vgl. Art. 35 Abs. 6-8 DORA).
Finanzunternehmen können durch die den Behörden zugewiesenen Möglichkeiten verwaltungsrechtlicher Sanktions- und Abhilfemaßnahmen zudem dazu gezwungen werden, die Nutzung oder den Einsatz einer Dienstleistung eines kritischen IKT-Drittdienstleisters vorübergehend teilweise oder vollständig auszusetzen oder sogar zu kündigen (vgl. Art. 42 Abs. 6 DORA).
Ab wann gelten die Regelungen?
Der DORA ist am 17. Januar 2023 in Kraft getreten. Aufgrund einer zweijährigen Übergangsfrist gelten die Regelungen und damit auch die im DORA beschriebenen Pflichten allerdings erst ab dem 17. Januar 2025.
Ausblick und Fazit
In Deutschland will das Bundesministerium der Finanzen den DORA gemeinsam mit anderen europäischen Gesetzgebungsakten im Rahmen des sogenannten Finanzmarktdigitalisierungsgesetzes (FinmadiG) durchführen. Einen entsprechenden Regierungsentwurf veröffentlichte das Ministerium am 20. Dezember 2023. Die Einführung des DORA ist ein bedeutender Schritt zur Stärkung der Cybersicherheit im EU-Finanzsektor. Die Umsetzung erfordert von Finanzunternehmen eine frühestmögliche Anpassung der Anforderungen des IKT-Risikomanagements.
Die noch verbleibende Zeit bis zur vollständigen Geltung der Verordnung im Januar 2025 sollte effektiv genutzt werden, um die Widerstandsfähigkeit des eigenen Unternehmens zu stärken und so einer Sanktionierung zu entgehen.
Dr. Jan Scharfenberg, LL.M. (Stellenbosch) ist als Rechtsanwalt bei der Kanzlei Schürmann Rosenthal Dreyer im Bereich Datenschutz- und Informationssicherheitsrecht tätig. Daneben arbeitet er als Director für den Bereich Informationssicherheit bei der ISiCO Datenschutz GmbH. Dr. Jan Scharfenberg verfügt über mehr als 15 Jahre Erfahrung im Bereich Regulatory und Corporate Compliance, mit Stationen in einer renommierten internationalen Großkanzlei und als Rechts- und Complianceabteilungsleiter in einem Gesundheits-Start-Ups eines internationalen Versicherungskonzerns.
www.srd-rechtsanwaelte.de
Alwine Henning, LL.M. (Stellenbosch) ist als Wissenschaftliche Mitarbeiterin bei der Kanzlei Schürmann Rosenthal Dreyer tätig und arbeitet dort schwerpunktmäßig im Datenschutz- und IT-Recht sowie im Urheberrecht. Sie verfügt hierbei insbesondere über umfangreiche Erfahrungen im Bereich digitaler Technologien sowie im Informationssicherheitsrecht.