Ab dem 17. Januar 2025 treffen Unternehmen aus dem Finanzsektor verschärfte Compliance-Pflichten im Umgang mit Risiken im Bereich Informations- und Kommunikationstechnologie („IKT“), Cybersicherheit und digitaler operationaler Resilienz. Die Grundlage bilden die Regelungen des Digital Operational Resilience Act („DORA“, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor, vgl. I.).
Die DORA-Anforderungen, insbesondere zum sog. IKT-Risikomanagement, decken sich zwar im Wesentlichen mit den aufsichtlichen IT-Anforderungen, die die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) in ihren einschlägigen Rundschreiben (z.B. den Bankaufsichtlichen Anforderungen an die IT („BAIT“)) formuliert hat. Allerdings unterscheidet sich DORA hiervon insbesondere im methodischen Ansatz. Dies dürfte bei der Umsetzung der DORA-Anforderungen zu Herausforderungen führen. Unternehmen aus dem Finanzsektor (vgl. II.) sind daher gut beraten, kurzfristig die gebotenen Maßnahmen umzusetzen, um empfindliche Bußgelder (vgl. VIII.) zu vermeiden.
Wesentliche Elemente von DORA sind das IKT-Risikomanagement (vgl. III.), das Testen der digitalen operationellen Resilienz (vgl. IV.), das IKT-Vorfallmeldewesen (unter V.), das IKT-Geschäftsfortführungsmanagement (vgl. VI.) sowie das IKT-Drittparteienrisikomanagement (vgl. VII.).
Hintergrund
Mit DORA ist ein Eckpfeiler der „Digital Finance Strategy“ der Europäischen Kommission umgesetzt worden. DORA zielt darauf ab, einen einheitlichen und konsistenten Regulierungsstandard für den Umgang mit Cyberbedrohungen und IKT-Risiken für Unternehmen im Finanzsektor zu schaffen. Damit reagiert der EU-Gesetzgeber auf die zunehmende Digitalisierung und Vernetzung, die die Gesellschaft insgesamt – und auch das Finanzsystem – anfälliger gegen die von ihr adressierten Cyberdrohungen und IKT-Störungen machen.
Um die digitale Resilienz von Finanzunternehmen zu stärken, verpflichtet DORA (fast) alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors zur Ausweitung bereits bestehender und Implementierung neuer Compliance-Maßnahmen. Dies wird in Zukunft zu Mehraufwand bei den betroffenen Unternehmen führen und erfordert die Anpassung bestehender Strukturen und Verträge.
Rechtsrahmen und Anwendungsbereich
DORA wird ergänzt durch eine Vielzahl technischer Regulierungs- und Durchführungsstandards („RTS“ bzw. „ITS“), etwa nach der Delegierten Verordnung (EU) 2024/1774 betreffend die Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement oder der Delegierten Verordnung (EU) 2024/1773 betreffend das IKT-Drittparteienrisikomanagement. Weitere RTS sind seitens der Europäischen Aufsichtsbehörden bereits entworfen (z.B. die Gemeinsamen Leitlinien der Europäischen Aufsichtsbehörden zur Untervergabe von IKT-Dienstleistungen vom 26. Juli 2024) und liegen der Europäischen Kommission zur Verabschiedung vor.
DORA gilt für Unternehmen unterschiedlichster Bereiche des Finanzsektors. Erfasst sind nach Art. 2 Abs. 1 DORA u.a. Kreditinstitute, Zahlungsinstitute, Anbieter von Krypto-Dienstleistungen, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen und -vermittler, Einrichtungen der betrieblichen Altersversorgung, Datenbereitstellungsdienste und IKT-Drittdienstleister. Die Adressaten der Regelungen werden einheitlich als „Finanzunternehmen“ bezeichnet (mit Ausnahme der IKT-Drittdienstleister).
Vom DORA-Anwendungsbereich ausgenommen sind insbesondere Verwalter alternativer Investmentfonds sowie (Rück-)Versicherungsvermittler, sofern sie als Kleinst-, Klein- oder mittleres Unternehmen handeln. Im Übrigen sind Kleinst-, Klein- oder mittlere Unternehmen aus Gründen der Verhältnismäßigkeit teilweise von einzelnen Verpflichtungen befreit (z.B. wird von Kleinstunternehmen nicht verlangt, im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko zu entwickeln (Art. 28 Abs. 2); zudem gilt nach Art. 16 für kleine und nicht verflochtene Wertpapierinstitute ein vereinfachter IKT-Risikomanagementrahmen).
IKT-Risikomanagement
Kernelement von DORA ist, dass Finanzunternehmen eine neue Strategie für die digitale operationale Resilienz entwickeln müssen (sog. DOR-Strategie, Art. 6 Abs. 8 DORA). Die DOR-Strategie ist hinsichtlich ihrer inhaltlichen Mindestanforderungen nicht mit der bisher (z.B. nach BAIT) verlangten IT-Strategie gleichzusetzen. Nichtsdestotrotz erachtet die BaFin den Fortbestand einer existierenden IT-Strategie als mögliches Bindeglied zwischen Geschäftsstrategie und DOR-Strategie als erforderlich und sinnvoll.
Wesentlicher Bestandteil der DOR-Strategie ist die Pflicht zur Implementierung eines IKT-Risikomanagements. Dieser sog. IKT-Risikomanagementrahmen hat die erforderlichen Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokoll und -Tools zu umfassen, um den ordnungsgemäßen und angemessenen Schutz sämtlicher Informations- und IKT-Assets, einschließlich Computer-Software, Hardware und Server, sowie aller relevanten physischen Komponenten und Infrastrukturen (z.B. Räumlichkeiten, Rechenzentren und ausgewiesenen sensiblen Bereiche) zu gewährleisten (Art. 6 Abs. 2). Finanzunternehmen haben in der DOR-Strategie vollumfänglich darzulegen, wie sie diesen Rahmen umsetzen werden.
Zudem sind Finanzunternehmen zur ständigen Überwachung ihrer DOR-Strategie und IKT-Systeme verpflichtet (Art. 13 Abs. 4, Art. 9 Abs. 1). IKT-Systeme, -Protokolle und -Tools sind stets auf dem neuesten Stand zu halten (Art. 7) und IKT-Risiken fortwährend zu ermitteln, zu klassifizieren und zu dokumentieren (Art. 8). Für eine umfassende Resilienz erwartet DORA neben einer modernen IT auch Programme zur Sensibilisierung für IKT-Sicherheit und verpflichtende Schulungen der Mitarbeiter (Art. 13 Abs. 6).
Darüber hinaus wirkt sich die Einführung des IKT-Risikomanagements auch organisatorisch aus. Nach Art. 6 Abs. 4 ist das Management und die Überwachung des IKT-Risikos an eine Kontrollfunktion zu übertragen, die ein angemessenes Maß an Unabhängigkeit besitzt. Dabei setzt DORA das bei Finanzunternehmen generell etablierte Modell der drei Verteidigungslinien (Three Lines of Defence) oder die Verwendung eines anderen internen Modells für Risikomanagement und Kontrolle voraus. Auch wird das Leitungsorgan eines Finanzunternehmens (noch) stärker in die Pflicht genommen. Dessen Mitglieder haben ausreichende Kenntnisse und Fähigkeiten in Bezug auf zu managende IKT-Risiken aktiv auf dem neusten Stand zu halten (Art. 5 Abs. 4) und tragen die Gesamtverantwortung für das IKT-Risikomanagement. Insofern hat das Leitungsorgan zahlreiche Aufgaben zu erfüllen, insbesondere die Definition, Genehmigung und Überwachung der Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen (Art. 5 Abs. 2).
Sofern nicht andere sektorspezifische Regelungen entgegenstehen, bleibt es Finanzunternehmen unbenommen, das IKT-Risikomanagement auszulagern. Sie bleiben jedoch für die Sicherstellung des IKT-Risikomanagements uneingeschränkt (letzt-)verantwortlich (Art. 6 Abs. 10).
Testen der digitalen operationellen Resilienz
DORA verpflichtet alle Finanzunternehmen, ihre digitale operationale Resilienz wiederkehrend zu testen (Art. 24). Hierfür muss ein risikobasiertes und proportionales Testprogramm etabliert werden, das u.a. Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen sowie Kompatibilitäts- und Leistungstests umfasst (Art. 25 Abs. 1).
Über diese allgemeine Basistestpflicht hinaus müssen bestimmte, von den zuständigen Aufsichtsbehörden anhand des Gesamtrisiko- und Geschäftsprofils zu ermittelnde Finanzunternehmen mindestens alle drei Jahre bedrohungsorientierte Penetrationstests (Threat-led Penetration Testing, „TLPT“) durchführen (Art. 26). Die zuständige Behörde informiert betroffene Finanzunternehmen über ihre Verpflichtung zur Durchführung von TLPTs.
Die Testmethodik für TLPTs unter DORA orientiert sich im Wesentlichen an dem in Deutschland bereits bestehenden Rahmenwerk zu bedrohungsgeleiteten Penetrationstests (Threat Intelligence-based Ethical Red Teaming, „TIBER-DE“), dessen Anwendung freiwillig ist. Die BaFin wird daher bei der Anordnung eines TLPT ab 2025 bis dahin durchgeführte TIBER-DE-Tests positiv berücksichtigen. Laut BaFin seien von der Pflicht zur Durchführung von TLPT voraussichtlich allerdings nur wenige Finanzunternehmen betroffen. Sofern ein Finanzunternehmen bisher keine TIBER-DE-Tests durchgeführt hat, müsse es mit hoher Wahrscheinlichkeit keine TLPTs nach DORA umsetzen, so die BaFin.
Nach Abschluss der Tests und der Ausarbeitung von Berichten und Plänen mit Abhilfemaßnahmen haben die betroffenen Finanzunternehmen der jeweils zuständigen Behörde eine Zusammenfassung der ordnungsgemäßen Durchführung des TLPT vorzulegen (Art. 26 Abs. 6).
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
Ein weiterer wichtiger Bestandteil von DORA ist die Einrichtung eines Managementprozesses für die Behandlung, Überwachung, Protokollierung und Meldung IKT-bezogener Vorfälle (Art. 17 Abs. 1). Art. 18 verpflichtet Finanzunternehmen, sämtliche IKT-bezogenen Vorfälle zu klassifizieren und deren Auswirkungen anhand bestimmter Kriterien wie die Dauer eines Vorfalls oder die Kritikalität der betroffenen Dienste zu bewerten.
Die Kriterien für die Klassifizierung, einschließlich der Wesentlichkeitsschwellen für die Bestimmung schwerwiegender IKT-bezogener Vorfälle, werden durch RTS konkretisiert. Diese liegen derzeit im Entwurfsstadium vor und werden von der Europäischen Kommission voraussichtlich in einer Delegierten Verordnung verabschiedet werden.
Wird ein IKT-bezogener Vorfall als schwerwiegend klassifiziert, muss dieser der zuständigen Behörde gemeldet werden (Art. 19), d.h. es ist eine Erst-, Zwischen- und Abschlussmeldung vorzulegen (Art. 19 Abs. 4). Ein IKT-bezogener Vorfall ist schwerwiegend, wenn er umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen (Art. 3 Nr. 10). Auch der Inhalt und die Fristen von Meldungen schwerwiegender IKT-bezogener Vorfälle werden durch RTS spezifiziert, einschließlich der Festlegung von Standardformularen und Meldeverfahren.
Eine Pflicht zur Meldung erheblicher Cyberbedrohungen besteht dagegen nicht; dies kann auf freiwilliger Basis erfolgen (Art. 19 Abs. 2). Allerdings sind schwerwiegende zahlungsbezogene Betriebs- und Sicherheitsvorfälle zwingend zu melden (Art. 23).
IKT-Geschäftsfortführungsmanagement
Die Anforderungen von DORA an das IKT-Geschäftsfortführungsmanagement sind deutlich weiter gefasst als in der BAIT oder in den anderen bisher geltenden BaFin-Rundschreiben zu IT-Anforderungen. Insbesondere verlangt DORA die Festlegung einer umfassenden IKT-Geschäftsfortführungsleitlinie (Art. 11 Abs. 1 und Abs. 2), die auch eine Business Impact Analyse („BIA“) und eine Risikoanalyse für schwerwiegende Betriebsstörungen zu berücksichtigen hat (Art. 11 Abs. 5). Die Bestandteile der IKT-Geschäftsfortführungsleitlinie sind ausführlich in Art. 24 der Delegierten Verordnung (EU) 2024/1774 dargestellt.
DORA erweitert den Umfang der zu berücksichtigenden Szenarien, da nunmehr auch Auswirkungen des Klimawandels, Insider-Angriffe, politische und soziale Instabilität und großflächige Stromausfälle einzubeziehen sind. Zudem sieht DORA ein regelmäßiges und mindestens jährliches Testen der Geschäftsfortführungsleitlinie sowie der darin enthaltenen IKT-Geschäftsfortführungs- sowie IKT-Reaktions- und Wiederherstellungspläne vor (Art. 11 Abs. 4 und Abs. 6 lit. a). Ferner verschärft DORA durch die Etablierung einer Krisenmanagementfunktion die Anforderungen an (Krisen-)Kommunikation deutlich (Art. 11 Abs. 2 lit. e) und Abs. 7, Art. 14).
IKT-Drittparteienrisikomanagement
Umfangreiche Compliance-Anforderungen und künftige Herausforderungen bringt DORA auch durch die Anforderungen zum IKT-Drittparteienrisikomanagement mit sich. Hintergrund der entsprechenden Regelungen ist, dass Finanzunternehmen oftmals Drittparteien für IKT-Dienstleistungen in Anspruch nehmen. Allerdings bleibt das Finanzunternehmen vollständig verantwortlich dafür, dass die DORA-Verpflichtungen, insbesondere zum Risikomanagementrahmen, eingehalten werden (Art. 28 Abs. 1). Damit gewährleistet ist, dass die Finanzunternehmen dieser Verantwortung nachkommen, ist die Zusammenarbeit mit IKT-Drittdienstleistern auf wesentliche Vertragsbestimmungen zu stützen (Art. 30).
Insofern ist zunächst zu beachten, dass die Nutzung von IKT-Drittdienstleistern deutlich weiter gefasst ist als der aufsichtsrechtliche Begriff der Auslagerung. Während der Auslagerungsbegriff nach den Mindestanforderungen an das Risikomanagement („MaRisk“) der BaFin dann vorliegt, wenn ein anderes Unternehmen mit Tätigkeiten im Zusammenhang mit Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden (AT 9 Tz. 1 MaRisk), bezieht sich der Begriff der IKT-Drittdienstleistung für Finanzunternehmen auf alle „IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit“ (Art. 28 Abs. 1 lit. a). Dadurch wird eine Erfassung aller Drittbezüge mit IKT-Bezug erforderlich.
Darüber hinaus ist zwischen der Inanspruchnahme von IKT-Dienstleistungen für „kritische und wichtige Funktionen“ sowie für sonstige Funktionen zu unterscheiden. Gemäß Art. 3 Nr. 22 ist eine „kritische oder wichtige Funktion“ eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens erheblich beeinträchtigen würde.
Aus DORA ergeben sich insbesondere die folgenden (neuen) Anforderungen in Bezug auf das IKT-Drittparteienrisikomanagement:
- Finanzunternehmen müssen für die Zusammenarbeit mit IKT-Drittdienstleistern nunmehr eine Strategie für das Drittparteienrisiko entwickeln (Art. 28 Abs. 2). Zentrales Element dieser Strategie ist eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen.
- Bereits bei der Auswahl des IKT-Dienstleisters muss das Finanzunternehmen eine ex ante Risikoanalyse vornehmen und den Dienstleister auf seine Geeignetheit überprüfen (Art. 28 Abs. 4). Der Umfang der ex ante Risikobewertung steigt erheblich, wenn die Dienstleistungen der Drittpartei zur Unterstützung einer kritischen oder wichtigen Funktion bezogen werden sollen.
- Zudem sieht DORA für Vereinbarungen mit IKT-Drittdienstleistern umfangreiche Mindestvertragsinhalte vor (Art. 30), die über bisherige aufsichtsrechtliche Anforderungen an Auslagerungsverträge hinausgehen (siehe insbesondere AT 9 Tz. 7 MaRisk und Rn. 75 der Leitlinien zu Auslagerungen (EBA/GL/2019/02) der Europäischen Bankenaufsichtsbehörde). Dies gilt erst recht, sofern die IKT-Drittdienstleistungen kritische und wichtige Funktionen betreffen (Art. 30 Abs. 3). Insofern stellt die BaFin eine Übersicht zur Verfügung, die die erforderlichen Vertragsinhalte nach Art. 30 Abs. 2 und Abs. 3 sowie der Delegierten Verordnung (EU) 2024/1773 und den Gemeinsamen Leitlinien der Europäischen Aufsichtsbehörden zur Untervergabe von IKT-Dienstleistungen vom 26. Juli 2024 enthält. Besonders streng sind die Anforderungen an das Kündigungsrecht, das ein Finanzunternehmen zu seinen Gunsten in einer Vereinbarung mit einem IKT-Drittdienstleister zu implementieren hat (Art. 28 Abs. 7).
- Bei der vertraglichen Ausgestaltung der DORA-Mindestvertragsinhalte sollte auf Standardvertragsklauseln zurückgegriffen werden, die von zuständigen Behörden entwickelt wurden (Art. 30 Abs. 4). Solche Standardvertragsklauseln liegen aktuell allerdings noch nicht vor und dürften vor dem Start der DORA-Regelungen auch nicht mehr veröffentlicht werden.
- Alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern müssen darüber hinaus in einem Informationsregister angemessen dokumentiert werden (Art. 28 Abs. 3), auf dessen Grundlage der zuständigen Behörde mindestens jährlich Bericht erstattet wird. Zudem muss die zuständige Aufsichtsbehörde zeitnah informiert werden, sofern eine vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen geplant ist sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist.
- Zur Beendigung der Zusammenarbeit bei kritischen und wichtigen Funktionen müssen Finanzunternehmen eine Ausstiegstrategie bereithalten, die ein Fortlaufen der Geschäftstätigkeit unter Einhaltung der regulatorischen Anforderungen und Aufrechterhalten der Kontinuität und Qualität der eigenen Dienstleistungen gewährleistet (Art. 28 Abs. 8).
Im Übrigen weist die BaFin in ihrer „Aufsichtsmitteilung – Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement“ vom Juni 2024 explizit darauf hin, dass die sektorspezifischen Auslagerungsanforderungen (etwa nach den Mindestanforderungen der BaFin an das Risikomanagement („MaRisk“)) weiterhin zu beachten sind.
Durchsetzung von DORA und Sanktionen
Um die Durchsetzung der in DORA enthaltenen Pflichten von Finanzunternehmen zu ermöglichen, sollen die zuständigen Aufsichtsbehörden ausweislich des Regierungsentwurfs zum Gesetz über die Digitalisierung des Finanzmarkts (Finanzmarktdigitalisierungsgesetz, „FinmadiG“) mit den erforderlichen Befugnissen ausgestattet werden. Zudem werden zur Sicherstellung einer vorausschauenden und effektiven Aufsicht Jahresabschlussprüfer von Finanzunternehmen, die von der BaFin beaufsichtigt werden, verpflichtet, die Einhaltung der DORA-Vorschriften zu prüfen und im Prüfbericht zu reflektieren.
Verstöße gegen einzelne DORA-Verpflichtungen können nach dem Regierungsentwurf eine Ordnungswidrigkeit darstellen und mit einem Bußgeld von bis zu EUR 5 Mio. geahndet werden. Hinzu kommt, dass die Aufsichtsbehörden Maßnahmen und Sanktionen auf ihrer Website veröffentlichen können (sog. „naming and shaming“).
Fazit
Mit DORA setzt der EU-Gesetzgeber neue Regulierungsmaßstäbe im Bereich der digitalen Resilienz. Um die digitale Resilienz von Finanzunternehmen zu stärken, verpflichtet DORA (fast) alle beaufsichtigten Institute und Finanzunternehmen des EU-Finanzsektors zur Ausweitung bereits bestehender und Implementierung neuer Compliance-Maßnahmen. Von DORA betroffene Finanzunternehmen sollten daher ihre (bereits vorhandenen) Compliance-Strukturen auf die Vereinbarkeit mit den von DORA gestellten Anforderungen überprüfen. Da die neuen Regelungen bereits ab dem 17. Januar 2025 gelten, ist es umso wichtiger, sich mit den von DORA vorgesehenen Compliance-Plichten im Umgang mit IKT-Risiken, Cybersicherheit und digitaler operationaler Resilienz auseinanderzusetzen und die gebotenen Maßnahmen umzusetzen. Verstöße gegen die (rechtzeitige) Umsetzung der von DORA geregelten Pflichten können zu empfindlichen Bußgeldern führen. Dies gilt insbesondere für Vereinbarungen mit IKT-Drittdienstleistern, die auf die Einhaltung der DORA-Mindestanforderungen geprüft und im Informationsregister dokumentiert werden sollten.
Weiterleiten