Die Europäische Union hat den Digital Operational Resilience Act (DORA) verabschiedet, um die digitale Resilienz im Finanzsektor zu vereinheitlichen und zu stärken. Ab dem 17. Januar 2025 müssen die hiervon betroffenen Unternehmen die Verordnung einhalten. Hintergrund ist die zunehmende Digitalisierung und Vernetzung, die eine weit verbreitete Nutzung von Informations- und Kommunikationstechnologien (IKT) auch im Finanzsektor zur Folge hat. DORA zielt darauf ab, Risiken durch Cyberbedrohungen und Betriebsstörungen effektiv zu begegnen. Die Verordnung verpflichtet Finanzunternehmen und bestimmte IKT-Dienstleister zu umfassenden Maßnahmen zur Stärkung ihrer digitalen Resilienz. Betroffen sind zahlreiche Akteure der Finanzbranche, darunter Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute sowie Kryptodienstleister und Emittenten wertreferenzierter Token. Diese Unternehmen müssen ihre internen Prozesse und Abläufe überprüfen und an die neuen gesetzlichen Anforderungen anpassen. Dies beinhaltet unter anderem die Implementierung robuster Sicherheitsmaßnahmen, die Durchführung regelmäßiger Risikoanalysen und die Entwicklung von Notfallplänen, um im Falle von Cyberangriffen oder IT-Störungen schnell und effektiv reagieren zu können. Die Einführung von DORA stellt für viele Unternehmen eine nicht zu unterschätzende Herausforderung dar, erfordert sie doch erhebliche Anpassungen und Investitionen in die IT-Infrastruktur und das Risikomanagement. Dennoch bietet die Verordnung auch Chancen, da sie die Widerstandsfähigkeit und Sicherheit des gesamten Finanzsektors verbessert. Welche Anforderungen werden schon jetzt an die betroffenen Unternehmen gestellt und ergeben sich dadurch vielleicht sogar Standortvorteile für diese Unternehmen in Deutschland?
Welche Anforderungen gelten bereits und wie unterscheiden sie sich von der DORA?
Die DORA hat den europäischen und damit auch den deutschen Finanzsektor mit dem Ziel im Visier, den Umgang mit IKT-Risiken europaweit zu harmonisieren. Finanzunternehmen sollen in die Lage versetzt werden, den IKT-Risiken angemessen zu begegnen. Die deutsche Finanzaufsicht BaFin war in der Vergangenheit nicht untätig und hat IKT-Risiken auch jetzt schon im Blick, wobei sie weitreichende Anforderungen an den deutschen Finanzsektor stellt. Diese gelten beispielsweise für die IT von Banken, Versicherern, Kapitalverwaltungsgesellschaften und Zahlungsdienstleistern. Hierzu hat die BaFin eine Reihe von Rundschreiben erlassen, die die Anforderungen an die IT der genannten Finanzakteure regeln. Die unter den mehr oder weniger einprägsamen Namen BAIT, VAIT, KAIT und ZAIT veröffentlichten Rundschreiben stellen an die betroffenen Finanzakteure – um nur einige Beispiele zu nennen – umfassende Vorgaben an die Governance und Organisation der IT, das Informationsrisiko- und Informationssicherheitsmanagement sowie die Stabilität des IT-Betriebs. Diese Anforderungen finden sich teilweise gleichlaufend auch in der DORA wieder. Ein Teil des nach den Rundschreiben erforderlichen Informationssicherheitsmanagements ist, dass die Geschäftsleitung die Funktion des Informationssicherheitsbeauftragten (ISB) einrichten muss. Die Funktion des ISB umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten. Die DORA kennt die Funktion des ISB nicht. Allerdings ähnelt der ISB in seiner Funktion und unabhängigen Stellung der von der DORA geforderten Einführung einer IKT-Risikokontrollfunktion, die die Zuständigkeit für das Management und die Überwachung des IKT-Risikos innehaben soll. Die unterschiedlichen Aufgabenbereiche machen hingegen deutlich, dass die DORA im Vergleich zu den Rundschreiben einen stärkeren Fokus auf die Überwachung und das Management des IKT-Risikos legt. Dies ist nur ein Beispiel dafür, dass die BAIT, VAIT, KAIT und ZAIT in vielen Punkten bereits jetzt die grundlegenden Anforderungen an den IKT-Risikomanagementrahmen und die Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos nach der DORA abdecken. Ein Finanzunternehmen, das bereits die Anforderungen der BAIT, VAIT, KAIT oder ZAIT erfüllt, wird daher eine gute Ausgangslage für die Umsetzung der DORA haben. Hierin könnte der Standortvorteil für solche Finanzunternehmen in Deutschland liegen.
Besteht dennoch Handlungsbedarf?
Der Vergleich zwischen ISB und IKT-Kontrollfunktion macht jedoch deutlich, dass mit der DORA von den BaFin Rundschreiben abweichende bzw. darüber hinausgehende Zwecke verfolgt werden. Die DORA soll die digitale operationale Resilienz des Finanzsektors stärken. Um dieses Ziel zu erreichen, geht die DORA in vielen Bereichen über die Anforderungen der BAIT, VAIT, KAIT und ZAIT hinaus. Daher reicht es nicht aus, sich auf bestehenden Strategien, Prozessen, Funktionen etc. auszuruhen. Auch die BaFin ist sich dessen bewusst und hat bereits angekündigt, dass sie die Rundschreiben BAIT, VAIT, KAIT und ZAIT aufheben wird. Für die betroffenen Finanzinstitute bedeutet dies, dass eine Anpassung an die Vorgaben der DORA unausweichlich ist und vor Inkrafttreten der DORA umgesetzt werden sollte. Die BaFin hat zu diesem Themenbereich bereits Umsetzungshinweise veröffentlicht die den Übergang von den Rundschreiben zur DORA erleichtern sollen.
Rechtsanwalt Anton Schröder
Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.
Neueste Kommentare