Neue Vorgaben für IT-Dienstleistungserbringer im Finanzsektor? DORA (Digital Operational Resilience Act) steht vor der Tür

Angriffe in der digitalen Welt sind heutzutage allgegenwärtig. Unternehmen aus der Finanzbranche rüsten sich dagegen mit sich immer weiter verbessernden Sicherheitsmaßnahmen. Das führt jedoch auch dazu, dass die Unternehmen teils verschiedene Sicherheitsstandards haben und hier und da in der Zusammenarbeit Lücken bestehen können. Damit Cyberkriminelle durch die kleinen Löcher im Flickenteppich keinen Zugriff auf schützenswerte Daten erhalten, soll hier durch DORA Abhilfe geschafft werden.

Was ist DORA?

DORA steht für Digital Operational Resilience Act und ist ein Gesetzesentwurf der EU-Kommission für den Finanzsektor. Das Ziel ist, bestehende Regeln im Bereich Betriebsstabilität digitaler Systeme im Finanzsektor im EU-Raum transparenter zu gestalten und zu harmonisieren. IT-Risiken sind schon immer im Fokus von Aufsichtsbehörden gewesen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hatte bereits im Jahr 2021 den Prüfungsschwerpunkt auf IT-Risiken gelegt. Mit DORA soll der Prüfungsschwerpunkt EU-weit auf IT-Infrastrukturen des gesamten europäischen Finanzsektors gerichtet werden. Das betrifft jedoch nicht nur die Banken.

Wer ist von DORA betroffen?

Wenn man an den Finanzsektor denkt, so denkt man wohl auch sofort an Banken und Versicherungen. Von DORA sollen jedoch auch sogenannte „kritische Drittanbieter von Informations- und Kommunikationstechnologien (IKT)“ erfasst sein. Vereinfacht gesagt werden mit DORA auch Drittanbieter reguliert, die selbst keine Finanzunternehmen darstellen, jedoch IT-Leistungen für den Sektor anbieten. Hierzu gehören dann auch Cloudanbieter. Folglich sind hiervor die großen Tech-Giganten aus den USA wie Microsoft, IBM, Amazon (AWS) oder Google ebenfalls betroffen. Diese bieten nicht selten Serverkapazitäten für Banken und Versicherungen an. Des Weiteren kommen u.a. auch Ratingagenturen, Einrichtungen der betrieblichen Altersversorgung, Wirtschaftsprüfungsgesellschaften sowie Crowdfunding-Dienstleister hinzu. Eine genaue Auflistung findet sich unter Artikel 2 der Verordnung.

Was ist Inhalt von DORA?

DORA ist nur ein Teil von verschiedenen Richtlinien und Verordnungen zur Vereinheitlichung der Digitalisierung im Finanzsektor. DORA zielt darauf ab, das Innovations- und Wettbewerbspotential des digitalen Finanzwesens weiter zu erschließen und zu fördern sowie gleichzeitig mögliche Risiken zu mindern. Europa und dessen (Finanz-)Unternehmen sollen für das digitale Zeitalter gerüstet und eine zukunftsfähige Wirtschaft im Dienste der Menschen aufgebaut werden. Die Verordnung erstellt Verpflichtungen und Grundsätze zum Risikomanagement im Bereich der Informations- und Kommunikationstechnologie. So sollen schwerwiegende IKT-bezogene Vorfälle an die zuständigen Behörden gemeldet werden. Weiter wird auf eine Prüfung der digitalen Betriebsstabilität abgezielt. Ein Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen soll alle am Markt fungierenden Teilnehmer sensibilisieren. Auch werden Anforderungen auf vertragliche Vereinbarungen zwischen IKT-Drittanbietern erläutert und ein Aufsichtsrahmen für kritische IKT-Drittanbieter bei der Erbringung von Dienstleistungen für Finanzunternehmen aufgestellt. Des Weiteren enthält DORA Vorschriften über die Zusammenarbeit zwischen zuständigen Behörden und Vorschriften über die Beaufsichtigung und Durchsetzung aller von DORA erfassten Sachverhalte durch zuständige Behörden.

Welche Auswirkungen hat DORA?

Durch heute bereits geltende Vorschriften wie die Mindestanforderungen an das Risikomanagement (MaRisk) oder Bankaufsichtliche Anforderungen an die IT (BaIT) sind bereits Regelungen gegeben, die engmaschig durch die BaFIN kontrolliert werden. Zudem werden auch schon IT-Dienstleister im Finanzsektor durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Pflicht genommen, wobei schon hohe Anforderungen und Meldebestimmungen bestehen.  DORA berücksichtigt dies bislang nicht, sodass mit mehr Auflagen zu rechnen ist, die wohl auch schon Einschnitte in bestehende Regelungen haben könnten. Es scheint, dass eine Mehrbelastung für die Banken und Drittanbieter mit DORA möglich ist, obwohl im Kern ein Mehrwert bei der Sicherheit als Ziel genannt wird. DORA hat aus heutiger Sicht also noch Anpassungsbedarf. Es wird damit gerechnet, dass DORA 2022 verabschiedet und spätestens ab 2024 scharf geschalten wird.

Sie haben weiterführende Fragen zum Thema DORA oder möchten weitere Informationen erhalten. Herr Kenan Tilki, LL.M. freut sich auf Ihre Kontaktaufnahme.


Autor: Kenan Tilki (Master of Laws, Senior Data Privacy Consultant)