Die Europäische Union hat mit dem Digital Operational Resilience Act (DORA) eine weitreichende Verordnung eingeführt, die die digitale Resilienz im Finanzsektor europaweit harmonisieren und stärken soll. Ab dem 17. Januar 2025 müssen betroffene Unternehmen die von DORA vorgesehenen Pflichten erfüllen. Der europäische Verordnungsgeber  will hier der fortschreitenden Digitalisierung und der zunehmenden Vernetzung Rechnung tragen, die den Einsatz von Informations- und Kommunikationstechnologien (IKT) in der Finanzbranche erheblich verstärkt hat. Die DORA will den Risiken durch Cyberbedrohungen und Betriebsstörungen entgegenwirken. Finanzunternehmen und spezialisierte IKT-Dienstleister sind verpflichtet, umfassende Maßnahmen zu ergreifen, um ihre digitale Resilienz zu stärken. Zu den betroffenen Akteuren gehören unter anderem Banken, Wertpapierfirmen, Zahlungsinstitute sowie Anbieter von Kryptowährungen und Emittenten wertreferenzierter Token. Diese Unternehmen müssen bis zum Inkrafttreten der Verordnung ihre internen Prozesse und Abläufe gründlich überprüfen und an die neuen regulatorischen Anforderungen anpassen. Dies beinhaltet sowohl die Einführung robuster Sicherheitsvorkehrungen, regelmäßige Risikoanalysen als auch die Erstellung von Notfallplänen, um im Ernstfall auf Cyberangriffe oder IT-Störungen angemessen reagieren zu können. Die Implementierung von DORA stellt für viele Unternehmen eine Herausforderung dar, da sie erhebliche Anpassungen und Investitionen in IT-Infrastruktur und Risikomanagement erforderlich machen kann. Gleichzeitig bietet die Verordnung die Chance, die Widerstandsfähigkeit und Sicherheit des gesamten Finanzsektors nachhaltig zu verbessern. Welchen Tests ist die Informations- und Kommunikationstechnologie zu unterziehen? Worauf müssen sich die betroffenen Unternehmen in Zukunft einstellen?

Testen von IKT-Tools und -Systemen

Das vierte Kapitel der DORA befasst sich mit den Anforderungen für das Testen der digitalen operationalen Resilienz. Grundsätzlich ist dabei unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes ein solides und umfassendes Programm zum Testen der digitalen operativen Resilienz erforderlich, um die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in Bezug auf die digitale operative Resilienz zu erkennen und Korrekturmaßnahmen umgehend umzusetzen. Dies ist ein wesentlicher Bestandteil des von den betroffenen Unternehmen zu errichtenden IKT-Risikomanagementrahmens. Der Inhalt der Tests kann nach Art und Umfang variieren. Bei der Auswahl sind unter Berücksichtigung der Verhältnismäßigkeit die Größe und das Gesamtrisiko des Finanzunternehmens sowie Art, Umfang und Komplexität der Finanzdienstleistung mit abzuwägen. Angemessene Tests können somit Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen (soweit durchführbar), szenario-basierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests sein. Grundsätzlich sind die Tests für alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich durchzuführen. Für Kleinstunternehmen sieht die DORA sowohl für die Häufigkeit der Tests als auch deren Durchführung einige Erleichterungen vor, die stark vom Grundsatz der Verhältnismäßigkeit geprägt sind.

Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT

Auch wenn die oben genannten von DORA verlangten Tests bereits sehr umfangreich sind, sieht die DORA für bestimmte Unternehmen noch weitergehende Tests vor. Dieses sogenannte Threat-Led Penetration Testing (TLPT) ist alle drei Jahre durchzuführen. Das TLPT, auch bedrohungsorientierte Penetrationstests genannt, bezeichnet nach der Definition der DORA einen Rahmen, der die Taktiken, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung gelten, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht. Die genauen Einzelheiten werden von der ESA im Einvernehmen mit der EZB und im Einklang mit dem TIBER-EU-Rahmen in Form technischer Regulierungsstandards präzisiert. TLPT wird in der Regel nur für solche von der BaFin beaufsichtigten Finanzunternehmen relevant, die von dieser nach den Vorgaben der DORA identifiziert und darüber informiert worden sind. Die Kriterien zur Identifikation betroffener Unternehmen sind: die Verhältnismäßigkeit; wirkungsbezogene Faktoren, insbesondere die Frage, inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken; etwaige Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage; sowie das spezifische IKT-Risikoprofil, der IKT-Reifegrad des Finanzunternehmens oder einschlägige technologische Merkmale. Die Anwendung dieser Auswahlkriterien wird ebenfalls von der ESA im Einvernehmen mit der EZB im Einklang mit dem TIBER-EU-Rahmen in Form technischer Regulierungsstandards präzisiert.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.