Der im Januar 2023 in Kraft getretene Digital Operation Resilience Act (“DORA”) vereinheitlicht EU-weit die Anforderungen an die IT-Sicherheit von Finanzunternehmen. Ziel der Verordnung ist es, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (“IKT“) zu stärken. Finanzunternehmen müssen die neuen Anforderungen bis spätestens 16. Januar 2025 umsetzen. Neben strengeren Vorgaben an Risikomanagement, IT- und Cybersicherheitssysteme und den Umgang mit Fehlern oder Angriffen bringt DORA erhöhte Anforderungen an das Management von Drittanbietern mit sich. Dies wird daher auch eine Herausforderung für IT-Anbieter, die Finanzunternehmen beliefern.
Mit DORA soll die Sicherheit des gesamten Finanzsektors gewährleistet werden. Dieser umfasst Banken, Versicherungen und andere kritische Finanzinfrastrukturen innerhalb der EU, die in Art.2 Abs.1 DORA konkret aufgelistet werden. Umfasst werden nicht nur die Finanzdienstleister selbst, sondern auch die Unternehmen, die für den Finanzsektor IKT-Dienstleistungen zur Verfügung stellen. Dies sind gemäß Art. 3 Nr. 21 DORA „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung oder Hardwaredienstleistungen“. Insbesondere soll durch DORA ein harmonisierter Risikomanagement-Rahmen in diesem Bereich geschaffen werden.
Die Anforderungen an die IKT-Sicherheit von Finanzunternehmen sind dabei in Teilen ähnlich mit denen der NIS 2 Richtlinie und deren Umsetzungsgesetze für wichtige und besonders wichtige Einrichtungen. Finanzunternehmen werden zu bestimmten Maßnahmen verpflichtet, ihre Cybersicherheit zu verbessern und die Widerstandsfähigkeit ihrer IKT-Systeme zu erhöhen. Anomalien, Angriffe oder Fehler sind möglichst frühzeitig zu erkennen. Dies ist regelmäßig von externen Dienstleistern zu testen, z.B. durch jährliche grundlegende Tests der IKT-Systeme und regelmäßige Penetration-Tests. Es ist ein Meldewesen für IKT-bezogene Vorfälle einzurichten, die für die Finanzinfrastruktur ein Risiko dargestellt haben.
Ein weiterer Schwerpunkt ist die Vorbereitung auf IKT-Ausfälle und Cyber-Angriffe. Finanzunternehmen müssen Business-Continuity-Richtlinien und Pläne für verschiedenste Notfallszenarien vorbereiten. Die Systeme sind so anzulegen, dass im Fall von Angriffen oder Ausfällen eine zeitnahe Wiederherstellung möglich ist.
Ausnahmen dieser Regelungen sind für Kleinstunternehmen vorgesehen, also solche, die einen Jahresumsatz von EUR 2 Millionen nicht überschreiten und weniger als zehn Personen beschäftigen.
In Art. 28 bis 44 DORA finden sich Regelungen, die das Risiko einer Auslagerung von IKT-Leistungen an Drittanbieter mindern sollen. Finanzunternehmen müssen bereits vor Vertragsschluss die möglichen Anbieter genau prüfen. Neben neuen Formvorschriften müssen sie außerdem auch vertragliche Vorkehrungen einhalten. Art. 30 DORA listet hierfür einen Katalog an verpflichtenden Vertragsbedingungen auf. Insbesondere sind die IKT-Anbieter zu konkreten Unterstützungsleistungen im Fall von IKT-Ausfällen oder Cyber-Angriffen zu verpflichten. Ferner müssen die Finanzunternehmen bei kritischen IKT-Leistungen eine Ausstiegsstrategie vorbereitet haben, einschließlich gegebenenfalls nötiger vertraglicher Abreden, wie Unterstützungsleistungen und fortlaufende Leistungserbringung beim Anbieterwechsel.
Es wird eine europäische Überwachung kritischer IKT-Drittdienstleister angestrebt. Die konkrete Einstufung als „kritischer“ Dienstleister wird von der EU-Kommission noch bestimmt, in Art.31 Abs. 2 DORA sind hierfür bereits einzelne Kriterien normiert. Kritische IKT-Dienstleister sollen unter anderem solche sein, deren Zusammenarbeit einen Einfluss auf die Stabilität, Kontinuität oder Qualität der Services der Finanzunternehmen haben. Die Systemrelevanz der den Drittdienstleister nutzenden Finanzunternehmen, deren Abhängigkeit von diesem Dienstleister und dessen Substituierbarkeit stellen weitere Kriterien dar. Mit einer Einstufung der Dienstleister im Einzelfall kann ab 2025 gerechnet werden.
Die neuen Verpflichtungen sind somit nicht nur für Finanzunternehmen relevant, sondern insbesondere auch für Anbieter von IKT-Leistungen. Vor allem Cloud-Dienstleister stehen hierbei im Fokus von DORA. Aber auch sonstige Softwareanbieter, Betreiber von Rechenzentren oder Anbieter von Datenanalysediensten werden umfasst. Soweit die Anbieter künftig Finanzunternehmen als Kunden gewinnen oder halten wollen, werden sie DORA-konforme Leistungen und Vertragsunterlagen daher zwingend bereitstellen müssen.
Die Anforderungen nach DORA an die IT-Sicherheit von Finanzunternehmen sind umfassend. Um diese umzusetzen, sollten die betroffenen Unternehmen zeitnah ihre IT-Systeme überprüfen. Bei Fremdbezug sind die Verträge der Drittanbieter zu prüfen und erforderlichenfalls anzupassen. Unterstützung bei der Umsetzung können die Hilfestellungen der BaFin bieten. Diese hat z.B. im Juni 2024 ihre „Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement“ veröffentlicht.
Bei Fragen unterstützen Sie unsere Experten aus den Bereichen IT-Recht und IT-Sicherheitsrecht selbstverständlich sehr gerne.