DORA: Cybersicherheitsregeln für den Finanzsektor
Seit dem 17.01.2025 ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz für den Finanzsektor (Digital Operational Resilience Act, „DORA“) mit neuen Cybersicherheitsregeln verpflichtend zu beachten. Damit beginnt ein neues Kapitel für die IT-Sicherheitsanforderungen von Finanzunternehmen in der EU. Ziel der Verordnung ist es, die Cybersicherheit im Finanzsektor zu erhöhen und diesen in die Lage zu versetzen, auch bei erheblichen Betriebsstörungen widerstandsfähig zu bleiben.
Dieser Beitrag setzt sich mit den DORA-Vorgaben im Detail auseinander. Er beleuchtet insbesondere, wer von den Regeln betroffen ist, die Abgrenzung zu verwandten Regelwerken wie der NIS2-Richtlinie und der KI-Verordnung (KI-VO), welche neuen Cybersicherheitsregeln zu beachten sind und welche Konsequenzen Rechtsverstöße haben können.
Warum gibt es DORA?
Die zunehmende Digitalisierung des Finanzsektors birgt nicht nur Chancen, sondern auch erhebliche Risiken. Gerade der Zugriff auf Finanzdaten stellt für Kriminelle eine Goldgrube dar. Cyberangriffe, technische Ausfälle und Lieferkettenprobleme haben gezeigt, dass die Resilienz gegenüber digitalen Bedrohungen stärker reguliert werden muss. DORA setzt hier an, indem sie verbindliche Standards für das Risiko- und Störungsmanagement definiert, um den europäischen Finanzmarkt vor Cyberrisiken zu schützen.
Ab wann gelten die DORA-Regeln?
Am 14.12.2022 haben das Europäische Parlament und der Europäische Rat die DORA-Verordnung als Teil des Pakets zur Digitalisierung des Finanzsektors beschlossen. Nach der Veröffentlichung im Amtsblatt am 27.12.2022 ist sie am 17.01.2023 in Kraft getreten. Ab diesem Zeitpunkt lief die zweijährige Umsetzungsfrist für Unternehmen. Seit dem 17.01.2025 gilt die DORA nun verpflichtend für alle adressierten Institutionen. Das heißt sie müssen ab jetzt sämtliche Cybersicherheitsregeln, die die DORA für den Finanzsektor bestimmt, vollumfänglich befolgen.
Wer muss die neuen Regeln umsetzen?
Die DORA richtet sich an eine breite Palette von Finanzunternehmen und deren IT-Dienstleister. Erfasst sind fast alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors. Zielgruppe sind einerseits traditionelle Finanzunternehmen wie Banken, Investmentgesellschaften, Kreditinstitute, Versicherungen und Wertpapierfirmen. Adressiert sind aber auch modernere Finanzakteure, wie Krypto-Dienstleistern oder Crowdfunding-Plattformen.
Daneben gibt es auch Regeln für Zahlungs- und IT-Dienstleister von Finanzinstituten. Unter IT-Dienstleistern versteht man Anbieter von Informations- und Kommunikationstechnologie (IKT), die Dienstleistungen an Finanzunternehmen erbringen. Dies umfasst insbesondere sogenannte “kritische” Dienstleister, die direkten Verpflichtungen und einer spezifischen Aufsicht unterliegen.
Müssen auch Unternehmen außerhalb der EU die DORA beachten?
Die Verordnung richtet sich an Finanzinstitute, die in der EU tätig sind. Das bedeutet zum einen, dass Unternehmen, die ihren Sitz in einem EU-Mitgliedstaat haben betroffen sind. Daneben sind aber auch Institutionen aus Drittstaaten adressiert, wenn sie Dienstleistungen für europäische Finanzeinrichtungen oder Marktteilnehmer in der EU erbringen. Umfasst hiervon können beispielsweise Cloud-Betreiber oder Rechenzentren sein.
Verhältnis zu NIS2 und KI-VO
NIS2-Richtlinie
Die NIS2-Richtlinie konzentriert sich auf die allgemeine Cybersicherheit von Betreibern kritischer Infrastrukturen. Dazu gehören auch der Bankensektor und der Finanzmarkt. Die DORA adressiert speziell den Finanzsektor. Beide Regelwerke überschneiden sich in Bereichen wie Vorfallsmanagement und Drittanbieter-Risiken, jedoch ist die DORA deutlich granularer und branchenspezifischer. Wenn also beide Regelwerke Vorgaben zum gleichen Themengebiet definieren, gelten die DORA-Anforderungen als spezifischer und sind deshalb vorrangig zu beachten. Trotzdem bleiben Finanzunternehmen Teil des „Ökosystems“ der NIS-2-Richtlinie.
Für IKT-Dienstleister ergibt sich die Besonderheit, dass sie für einen Teil ihrer Kundschaft die NIS2-Vorgaben vorrangig beachten müssen und für ihre Kunden aus dem Finanzsektor die Cybersicherheitsregeln der DORA. Für solche Unternehmen könnte es sich anbieten ein einheitliches Vorgehen festzulegen, dass für alle Kunden gleichermaßen gilt und beiden Regelwerken genügt.
KI-Verordnung
Die KI-VO regelt den Einsatz von Künstlicher Intelligenz in der EU, mit Schwerpunkt auf Transparenz und Risikominimierung. Im Gegensatz zur DORA zielt sie auf technologische Anwendungen ab, ohne spezifisch auf digitale Resilienz einzugehen. Allerdings können KI-Systeme im Finanzsektor ebenfalls unter DORA fallen, sofern sie kritische Funktionen übernehmen. Während die DORA Risiken im Kontext der operativen IT-Sicherheit und der Kontinuität des Geschäftsbetriebs bewertet, analysiert die KI-VO Risiken auf Basis der potenziellen Auswirkungen der KI-Systeme auf die Rechte und Freiheiten von Menschen.
Pflichten für Finanzunternehmen
Unternehmen, die von der DORA betroffen sind, müssen einige wesentliche neue Vorgaben umsetzen. Diese beziehen sich vorwiegend auf das Risikomanagement – und zwar auch in Bezug auf Drittanbieter – Verhalten bei Sicherheitsvorfällen, Meldepflichten und Resilienztests. Daneben gibt es auf nationaler Ebene das Gesetz über die Digitalisierung des Finanzmarkts (Finanzmarktdigitalisierungsgesetz, FinmadiG), dass unteranderem die Durchführung und Umsetzung der DORA gewährleistet.
Vorfallsmanagement und Meldepflichten
Die Cybersicherheitsregeln für den Finanzsektor der DORA machen verschiedene Vorgaben zu IKT-bezogenen Vorfällen.
- Ein IKT-bezogener Vorfall ist ein von dem Finanzunternehmen nicht geplantes Ereignis […], das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (vgl. Art. 3 Nr. 8 & 10 DORA).
- Ab dem Zeitpunkt, ab dem ein Vorfall als „schwer“ eingestuft wird, muss eine Erstmeldung innerhalb von 4 Stunden erfolgen. Wann das genau der Fall ist, bestimmt sich nach dem Regulatory Technical Standard (RTS).
- Unabhängig davon muss eine Meldung spätestens 24 Stunden nach Bekanntwerden des Vorfalls erfolgen.
- Folgeberichte müssen innerhalb von 72 Stunden und einem Monat erfolgen.
- Bei schweren Vorfällen müssen betroffene Kunden unverzüglich über diesen und mögliche finanzielle Auswirkungen unterrichtet werden. Zudem sollten sie über zu ergreifende Schutzmaßnahmen informiert werden.
- Es besteht auch die Möglichkeit der freiwilligen Meldung erheblicher Cyberbedrohungen.
- Die BaFin ist der nationale Melde-Hub für IKT-Vorfälle im Finanzsektor und nimmt auch Anzeigen im Rahmen des Drittanbietermanagements an. Meldungen sollten über das BaFin-Portal zur Melde- und Veröffentlichungsplattform (MVP-Portal) erfolgen. Hier gibt es verschiedene Formulare, die auszufüllen sind. Um Meldungen einreichen zu können, müssen die zuständigen Unternehmensvertreter im MVP-Portal registriert sein und auch für das DORA-Fachverfahren freigeschaltet sein. Als Hilfestellung hat die BaFin auch Umsetzungshinweise zur DORA veröffentlicht.
Risikomanagement
Eine zentrale Neuerung der Cybersicherheitsregeln für den Finanzsektor durch die DORA sind strenge Vorgaben zum Risikomanagement.
- Finanzunternehmen sollten ein umfassendes und sorgfältig dokumentiertes Rahmenwerk für das IKT-Risikomanagement pflegen. Dieses muss Risiken Identifizieren, Schutz- und Präventionsmaßnahmen etablieren, bei Sicherheitsvorfällen Gegenmaßnahmen festschreiben und die Wiederherstellung sichern, sowie Weiterentwicklung und Kommunikation fördern.
- Das Management ist verantwortlich für die Erstellung, Genehmigung, Überwachung und Durchsetzung des Regelwerks. Sie müssen auch dafür sorgen, dass sie hinreichend aktuelle Kenntnisse und Fähigkeiten besitzen, um ihre Aufgabe ordnungsgemäß erfüllen zu können.
Drittanbieter-Risikomanagement
Neben dem allgemeinen Risikomanagement gibt es auch spezielle Vorgaben für den Umgang mit Drittanbietern.
- IKT-Dienstleistungen sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen (Art. 3 Abs. 1 Nr. 21 DORA). Jeder Fremdbezug von IT-Dienstleistungen dürfte eine IKT-Dienstleistung sein.
- Ab dem 30.04.2025 ist ein vollständiges Register aller vertraglichen Vereinbarungen mit IKT-Dienstleistern zu führen.
- Einmal jährlich ist an Finanzbehörden über wichtige Inhalte des Registers zu berichten.
- Es sind klare vertragliche schriftliche Regelungen mit IKT-Dienstleistern zu treffen, einschließlich der Verpflichtung zur Einhaltung von DORA-Anforderungen. Hierzu gehört die Verpflichtung bei einem IKT-Vorfall Unterstützung zu leisten. Schon vor dem Vertragsschluss muss eine Risikobewertung stattfinden.
- Finanzunternehmen müssen eine Strategie zu IKT-Drittanbieter-Risiken entwickeln und überwachen.
Resilienztests
- Unternehmen müssen ein Testprogramm etablieren und regelmäßige Tests ihrer digitalen Resilienz durchführen. Das beinhaltet die Analyse von verwendeter Software, die Kontrolle der physischen Sicherheit von Finanzeinrichtungen und szenariobasierte Tests sowie Penetrationskontrollen.
- Das umfasst auch „Thread-led Penetration Testing“ (TLPT). Hierbei handelt es sich um einen Rahmen, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohungen empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht. Es müssen jedoch nur einige wenige Finanzinstitute TLPT durchführen. Die BaFin unterrichtet diese mittels eines Identifikationsbescheids über diese Pflicht.
- Ausnahmen von der Pflicht zur Etablierung eines Testprogramms gibt es für Kleinstunternehmen und Finanzunternehmen, die nach Art. 16 DORA einen vereinfachten IKT-Risikomanagementrahmen erstellen dürfen. Von der Testpflicht als solche sind jedoch auch diese nicht befreit.
Pflichten für IKT-Dienstleister
Zunächst ergeben sich für IKT-Dienstleisters grundsätzlich mittelbar Pflichten durch die Vorgaben, die ihre Vertragspartner aufgrund der DORA erfüllen müssen. Daneben bestimmt die DORA aber auch unmittelbar einige Vorgaben für IKT-Dienstleister, die mit Finanzinstituten zusammenarbeiten. Welche Pflichten einzuhalten sind, hängt davon ab, wie relevant der Dienstleister für den Finanzsektor ist.
Kritische IKT-Dienstleister
IKT-Dienstleister, die als „kritisch“ zu bewerten sind, sind unmittelbar von der DORA betroffen. Wann das der Fall ist, entscheidet die European Securities and Markets Athority (ESA). Diese Einstufung basiert auf verschiedenen Kriterien.
Beispielsweise ist relevant, welche Auswirkungen eine Betriebsstörung des IKT-Dienstleisters auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen hätte. Außerdem kommt es darauf an, welchen systematischen Charakter oder Bedeutung die Finanzunternehmen haben, die auf diesen IKT-Dienstleister zurückgreifen. Es kommt auch darauf an, inwiefern der IKT-Dienstleister austauschbar ist.
Zudem ist zu untersuchen, ob eine Abhängigkeit des Finanzunternehmens in Bezug auf kritische oder wichtige Funktionen zum IKT-Dienstleister besteht. Eine kritische oder wichtige Funktion ist eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.
Handelt es sich um einen kritischen IKT-Dienstleister, unterliegt er der direkten Aufsicht durch europäische Behörden. In diesem Zusammenhang soll ein europäisches Überwachungsrahmenwerk aufgebaut werden, um ein effizientes Aufsichtskonzept zu fördern. Die federführende Überwachungsbehörde hat gegenüber dem IKT-Dienstleister zwangsgeldbewährte Überwachungs-, Kontroll- und Informationsbefugnisse. Hierbei geht es insbesondere darum, ob die Vorgaben an das IKT-Risikomanagement eingehalten werden.
Was passiert bei einem Verstoß gegen die DORA?
Bei Missachtung der Vorgaben der DORA drohen verschiedene Sanktionen. Zum einen kann die zuständige Behörde abhängig von der Art des Verstoßes empfindliche Bußgelder in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes eines Finanzunternehmens oder bis zu zehn Millionen Euro verhängen. Für ITK-Drittanbieter droht ein Zwangsgeld von bis zu einem Prozent des durchschnittlichen täglichen weltweiten Umsatzes für jeden Tag der Missachtung.
Was müssen Unternehmen jetzt tun?
Die Cybersicherheitsregeln für den Finanzsektor der DORA entfalten bereits jetzt Wirkung und müssen umgesetzt werden. Die Umsetzung kann mit hohen zeitlichen und finanziellen Kosten verbunden sein und sollte deshalb, wenn nicht bereits geschehen, schnellstmöglich angegangen werden. Dafür sollte zunächst eine Analyse darüber gestartet werden, wo noch Lücken bestehen und wie diese geschlossen werden können. Wesentlich ist, dass sämtliche Compliance-Schritte sorgfältig dokumentiert werden, um bei Kontrollen durch die Aufsichtsbehörde diese nachweisen zu können. Zur ordnungsgemäßen Umsetzung sollten Finanzinstitutionen zumindest folgende Schritte vornehmen:
- Erstellung eines IKT-Risikomanagementrahmenwerks
- Etablierung eines robusten IKT-Dienstleister-Risikomanagements
- Festlegung effektiver Verhaltensrichtlinien für Sicherheitsvorfälle
- Erneuerung der IT-Sicherheitssysteme
- Durchführung von Cybersicherheitsschulungen für Mitarbeiter
Fazit
Mit den Cybersicherheitsregln der DORA setzt die EU neue Maßstäbe für die digitale Widerstandsfähigkeit im Finanzsektor. Wenn nicht bereits getan, müssen sich Unternehmen schnellstmöglich auf die umfangreichen Anforderungen einstellen, um Risiken zu minimieren. Das kann zunächst mit höheren Investitionen in IT-Sicherheitssysteme und Personal einhergehen. Neben den empfindlichen Bußgeldern kann eine Missachtung allerdings auch zu Reputationsschäden und einer erhöhten behördlichen Kontrolle führen.
Bei richtiger Umsetzung kann sich hierin aber auch eine Chance ergeben, die Digitalisierung im Unternehmen auf den neusten Stand zu bringen und ein nachhaltiges und effektives Sicherheitskonzept zu entwickeln. So kann langfristig und frühzeitig von den Vorteilen neuer Technologien profitiert und gleichzeitig Vertrauen bei Kunden aufgebaut werden.
Die Anforderungen der DORA sind komplex und betreffen zahlreiche technische und rechtliche Bereiche. Gerade durch die Verflechtungen mit anderen Regelwerken, wie der NIS2-Richtlinie oder der KI-Verordnung, ergeben sich oft Überschneidungen und Abgrenzungsfragen. Um Rechts- und Haftungsrisiken zu vermeiden, ist eine individuelle Analyse und maßgeschneiderte Umsetzung der Vorgaben essenziell. Erfahrene Rechtsberater können nicht nur bei der Einhaltung der DORA-Vorgaben unterstützen, sondern auch Strategien entwickeln, um Geschäftsprozesse rechtssicher und effizient zu gestalten.