Was kommt mit DORA auf die Finanzbranche zu, Herr Bernau?

Es muss ja nicht gleich ein Hackerangriff sein wie bei bei etlichen dänischen Banken gleichzeitig im Januar oder bei dem Technikkonzern Continental im vergangenen Herbst. Risiken aus der Informations- und Kommunikationstechnologie (IKT) sind für den Finanzsektor auch so schon längst zentral. Seit Mitte Januar regelt darum die EU-Verordnung „Digital Operational Resilience for the Financial Sector and Amending Regulations“ (DORA) diesen Bereich. PLATOW Legal + Finance hat bei Timo Bernau von GSK Stockmann nachgefragt, was nun zu tun ist.

Was ist völlig neu an DORA und wie fügt sich die Verordnung in die bestehenden Regelungen ein?

DORA schafft erstmals einen einheitlichen europäischen Aufsichtsrahmen zur Verbesserung der digitalen, operativen Widerstandsfähigkeit von Unternehmen im Finanzsektor.

Die Verordnung unterscheidet sich von bisherigen Regelungen durch ihre umfassende und integrierte Herangehensweise an die Verwaltung digitaler Betriebsrisiken. Im Gegensatz zu bestehenden Regelungen wie der Richtlinie über Netz- und Informationssicherheit (NIS-2), die sich auf bestimmte Risikobereiche konzentrieren und nicht alle Komponenten der operationellen Resilienz abdecken, verlangt DORA die Implementierung einer umfassenden Reihe von Maßnahmen, um alle Arten von digitalen Risiken zu verwalten. Dies schließt nicht nur Cyber-Risiken, sondern auch andere Betriebsrisiken wie IT-Systemausfälle und Datenverluste mit ein.

Gemäß DORA müssen Finanzunternehmen Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung und die Reparatur von IKT-bezogenen Vorfällen befolgen. DORA bezieht sich ausdrücklich auf IKT-Risiken und legt Regeln für das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der operativen Belastbarkeit und die Überwachung von IKT-Risiken durch Dritte fest.

Der Anwendungsbereich von DORA ist umfassend und adressiert jegliche Art von regulatorisch erfassten Unternehmen mit Bezug zum Finanzmarkt, wie Banken und Finanzinstitute, Zahlungsdienstleister, Wertpapierfirmen, Versicherungen, Einrichtungen der betrieblichen Altersvorsorge, Handelsplätze, Versicherungsvermittler, Verwalter alternativer Investmentfonds, Ratingagenturen und weitere Marktteilnehmer wie Schwarmfinanzierungsdienstleister oder Anbieter von Kryptowertedienstleistungen. Nicht nur Finanzunternehmen, sondern auch IKT-Drittanbieter wie Cloud-Dienste werden von DORA erfasst.

DORA soll die verschiedenen bestehenden Regularien über IKT-Risiken konsolidieren und verbessern. Dafür werden gezielte Vorschriften über Kapazitäten für das IKT-Risikomanagement, Meldung von Vorfällen und Überwachung des IKT-Drittparteienrisikos eingeführt, um die finanzielle Solidität von Finanzunternehmen durch IKT-Vorfälle und mangelnde operationale Resilienz zu schützen. Rechtstechnisch ergänzt und erweitert die DORA-Verordnung bereits bestehende regulatorische Rahmenwerke wie die MiFID II, die AIFMD, die CRR/CRD IV, die PSD II, die DSGVO und andere, indem sie spezifische Anforderungen an die digitale Betriebssicherheit der erfassten Unternehmen festlegt. Dies erfolgt neben der DORA-Verordnung selbst auch durch die Anpassung der genannten Richtlinien über die zeitgleich veröffentlichte DORA-Richtlinie. Im Konfliktfall hat die DORA gegenüber der NIS-2-Richtlinie einen ausdrücklichen Anwendungsvorrang.

Inhaltlich enthält die DORA zahlreiche Bestimmungen, die im Wesentlichen mit bereits bekannten Vorgaben wie den MaRisk/BAIT, MaGo/VAIT, KAMaRisk/KAIT, ZAIT oder den relevanten EBA-Guidelines übereinstimmen. Im Einzelnen gehen die Vorgaben aber auch deutlich über die vorhandenen Regularien hinaus bzw. konkretisieren diese erheblich. Bei der Anwendung ist jeweils der Proportionalitätsgrundsatz zu beachten. Hierbei kommt es auf die Größe, das Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität der Dienstleistungen und Geschäfte des betroffenen Finanzunternehmens an.

Wie müssen Banken und Finanzdienstleister nun reagieren und welche Schritte sollte man priorisieren?

Als EU-Verordnung findet die DORA ohne weitere Umsetzung unmittelbare Anwendung in den Mitgliedstaaten. Gleichwohl haben die betroffenen Finanzunternehmen 24 Monate ab Inkrafttreten Zeit, die Anforderungen der DORA umzusetzen, also bis zum 17.1.2025. Die DORA wird auf EU-Ebene durch weitere delegierte Rechtsakte, Leitlinien und technische Regulierungsstandards (RTS/ITS) flankiert, welche nach zwölf bzw. 18 Monaten der Kommission vorgelegt werden sollen.

Es ist noch ausreichend Zeit für die Finanzunternehmen, sich auf die entsprechenden Vorgaben einzustellen. Da die DORA jedoch eine umfassende IT-Strategie und in Teilen eine Neubewertung der IT-Prozesse verlangt, sollten betroffene Unternehmen frühzeitig in die Anwendungs- und Umsetzungsanalyse gehen, um die erforderlichen Maßnahmen festzulegen und rechtzeitig umsetzen zu können. Insbesondere der Prozess der IT-Risikoanalyse sollte frühzeitig angestoßen werden, damit die Finanzunternehmen auf dieser Basis geeignete Maßnahmen ergreifen können, um die identifizierten Risiken zu reduzieren oder zu eliminieren. Dazu gehören unter anderem die Implementierung von Sicherheitslösungen, die Verbesserung von IT-Prozessen und die Schulung der Mitarbeiter.

Ein ebenso wichtiger Baustein wird die Analyse der Zusammenarbeit mit Dritten im Bereich der IT sein. Die Finanzunternehmen müssen überprüfen und sicherstellen, dass auch ihre IKT-Dienstleister den Anforderungen der DORA entsprechen und dies in den jeweiligen Kooperationsvereinbarungen abgebildet wird. Um die Anforderungen von DORA zu erfüllen, ist es daher empfehlenswert, dass die Beteiligten frühzeitig miteinander in Kontakt treten und sich abstimmen. 

Besonders kritisch bei der erforderlichen Vertragsanalyse wird sein, dass DORA – anders als noch die EBA Outsourcing Guidelines und die MaRisk – das Modell des „Fremdbezugs“ nicht kennt und daher undifferenziert alle Arten von IKT-Dienstleistungsverträgen erfasst. Das bedeutet für die Vertragspraxis, dass es einerseits erhebliche Redundanzen im Vertragsmanagement mit Blick auf Auslagerungslösungen und auf DORA IKT-Drittdienstleisterverträge geben wird. Andererseits wird auch nicht jeder Auslagerungsvertrag zugleich als DORA-IKT Dienstleistung qualifizieren. Prominent wird diese Prüfungsarbeit mit der Pflicht, neben einem Auslagerungsregister auch ein Vertragsregister über DORA IKT-Dienstleistungen führen zu müssen. Wie konkret die Finanzaufsicht hier künftig IKT-Dienstleistungsverträge nach DORA definieren und von „einfachen Auslagerungen“ bei nur untergeordnetem IKT-Einsatz abgrenzen wird, werden erst die anstehenden Arbeiten an einem RTS zur Führung eines IKT-Vertragsregister aufzeigen.

Wie ändern sich mit DORA die Anforderungen an IT-Dienstleister für den Finanzsektor?

Diese Anforderungen erhöhen sich deutlich. Das ergibt sich einerseits daraus, dass Finanzunternehmen sicherstellen müssen, dass ihre beauftragten IT-Dienstleister „DORA-konform“ sind. Andererseits sind IKT-Dienstleister auch direkt angesprochen und müssen sicherstellen, dass ihre Systeme und Dienstleistungen widerstandsfähig gegenüber Cyberangriffen und anderen Bedrohungen sind. Hierfür ist eine umfassende Risikobewertung und Risikomanagement erforderlich, einschließlich der Identifizierung von Bedrohungen und Schwachstellen sowie der Einführung von Maßnahmen zur Risikominderung.

Der individuelle Aufwand, den betroffene Unternehmen betreiben müssen, kann aufgrund des Verhältnismäßigkeitsgrundsatzes allerdings erheblich variieren.

Über den Interviewpartner:
Timo Bernau ist Partner in der Bank- und Finanzrechtspraxis von GSK Stockmann. Er berät Banken, Finanzdienstleister, Fintechs, Versicherer und Fondsanbieter zu aufsichtsrechtlichen Fragen und Kapitalmarkt-Compliance sowie institutionelle Investoren zu Kapitalanlagen.