Seit dem 17. Januar 2025 müssen Finanzunternehmen die Anforderungen der Verordnung (EU) 2022/2554, besser bekannt als DORA, zwingend anwenden. Diese Verordnung schafft einen harmonisierten Rechtsrahmen, um die digitale operationale Resilienz im gesamten EU-Finanzsektor zu stärken und den wachsenden Risiken durch Cyberangriffe und IKT-Betriebsstörungen zu begegnen. Um dieses Ziel zu erreichen, etabliert DORA ein komplexes Regelwerk, das durch detaillierte technische Regulierungsstandards (RTS) der Europäischen Aufsichtsbehörden (ESAs) ergänzt wird. Ein entscheidender Pfeiler zur Sicherstellung dieser Resilienz ist die Art und Weise, wie Unternehmen ihre Systeme testen. DORA führt insgesamt weitreichendere, einheitlichere und konkretere Testpflichten für Finanzunternehmen ein, als sie bisher bestanden haben. Während frühere Vorgaben oft fragmentiert waren oder Interpretationsspielraum ließen, verlangt DORA nun ein strukturiertes und umfassendes Testprogramm. Dieses reicht von regelmäßigen Basistests bis hin zu anspruchsvollen, bedrohungsgeleiteten Penetrationstests (TLPT) für systemrelevante Institute. Diese neuen Pflichten erfordern eine genaue Auseinandersetzung mit den Details der Verordnung und der zugehörigen RTS. Im Folgenden wird daher dargestellt, welche allgemeinen Anforderungen an das Testprogramm gestellt werden und was bei den erweiterten Tests, den sogenannten TLPTs, zu beachten ist.
Generelle Vorgaben der DORA zu Resilienztests
Finanzunternehmen, die keine Kleinstunternehmen sind, müssen ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz erstellen, pflegen und überprüfen. Dieses Programm ist ein integraler Bestandteil des IKT-Risikomanagementrahmens (gemäß Art. 6 DORA). Das Hauptziel des Testprogramms ist es, die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in der digitalen operationalen Resilienz zu erkennen und Korrekturmaßnahmen umgehend umzusetzen. Finanzunternehmen müssen bei der Ausführung des Testprogramms einen risikobasierten Ansatz verfolgen. Dabei sind die sich entwickelnden IKT-Risikolandschaften, spezifische Risiken, denen das Unternehmen ausgesetzt ist, und die Kritikalität von Informations-Assets und erbrachten Dienstleistungen gebührend zu berücksichtigen. Das Programm muss eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Tools umfassen, darunter Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen (Gap-Analysen), Überprüfungen der physischen Sicherheit, Szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests sowie Penetrationstests. Bei allen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, müssen mindestens einmal jährlich angemessene Tests durchgeführt werden. Durchgeführt werden sollen die Tests von unabhängigen internen Mitarbeitern oder externen Personen. Die Erkenntnisse und Herausforderungen, die sich aus den Tests der digitalen operationalen Resilienz ergeben, müssen kontinuierlich ordnungsgemäß in den IKT-Risikobewertungsprozess einbezogen werden. Sie dienen als Grundlage für angemessene Überprüfungen der relevanten Komponenten des IKT-Risikomanagementrahmens.
Erweiterte Tests: Bedrohungsgeleitete Penetrationstests (TLPT)
Über die allgemeinen Tests hinaus verpflichtet DORA bestimmte Finanzunternehmen zur Durchführung erweiterter Tests, bekannt als Bedrohungsgeleitete Penetrationstests (Threat-led Penetration Testing, TLPT). Die gesetzliche Grundlage hierzu findet sich in Art. 26 und 27 DORA. TLPT ist ein weiteres Instrument zur Stärkung der operationalen Resilienz. Die DORA orientieret sich dabei an internationalen Standards wie den G7 Fundamental Elements und Rahmenwerken wie TIBER-EU und definiert TLPT in Art. 3 Nr. 17 DORA als ein Rahmen, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht. Die Vorgaben der Art. 26 und 27 DORA werden ausführlich ergänzt und konkretisiert durch die Delegierte Verordnung (EU) 2025/1190 (RTS zu TLTP). Welche Unternehmen TLPTs durchführen müssen, wird von der BaFin als zuständige Aufsichtsbehörde oder im Falle von signifikanten Kreditinstituten von der EZB bestimmt. Die Kriterien für die Einstufung sind hierbei in Art 28 Abs. 8 Unterabsatz. 3 DORA festgelegt. Berücksichtigt werden, die Auswirkungen des fraglichen Finanzunternehmens, sein systemischer Charakter und sein IKT-Risikoprofil auf der Grundlage der in Art. 2 des RTS zu TLPT festgelegten Kriterien. Kleinstunternehmen sind von der Verpflichtung zur Durchführung von TLPT ausgenommen.
Rechtsanwalt Anton Schröder
Newsletter abonnieren-
FIN LAW als Gastgeber des Annual Meeting des Fintech Legal Network
FIN LAW durfte als Gastgeber des Annual Meeting des Fintech Legal Network die Mitglieder in der Kanzlei in der Senckenberganlage begrüßen. -
Gelungener Booklaunch bei FIN LAW für das neue MiCAR Handbuch von Dr. Johannes Meier
Vorstellung des neuen MiCAR Handbuchs von Dr. Johannes Meier auf der Booklaunch Veranstaltung von FIN LAW. -
Die neue FIN LAW Website – Gewohnte Qualität im neuen Gewand
Wir freuen uns die neue Website von FIN LAW präsentieren zu können. Unsere Website ist nun schneller und moderner als jemals zuvor.
