Die Digitalisierung von Produkten und Prozessen bringt für Banken und Zahlungsdienstleister nicht nur Chancen, sondern auch zunehmende Risiken mit sich. Cyberangriffe und IT-Ausfälle können enorme finanzielle und reputative Schäden verursachen. Genau hier setzt DORA, das Digital Operational Resilience Act, an. Diese EU-Verordnung soll sicherstellen, dass Finanzinstitute widerstandsfähiger gegenüber Bedrohungen ihrer technischen Infrastrukturen werden und Cyber Security unternehmensweit einen höheren Stellenwert erhält.
In diesem Blogartikel erklären wir, was DORA beinhaltet, welche Anforderungen auf Banken und Zahlungsdienstleister zukommen und wie Sie diesen Anforderungen gerecht werden können.
Was ist DORA?
Das Digital Operational Resilience Act (DORA) ist eine wegweisende EU-Verordnung mit dem Ziel, die digitale operative Resilienz des Finanzsektors zu stärken. Es soll sichergestellt werden, dass Banken und Zahlungsdienstleister robust gegen Cyberangriffe, IT-Ausfälle und andere digitale Bedrohungen gewappnet sind. Mittels der Verordnung werden einheitliche Standards für IT-Sicherheit festgelegt, die insbesondere die Bereiche des Managements der Risiken der Informations- und Kommunikationstechnologie (IKT), der Meldung von IKT-Vorfällen und der Überwachung von Risiken durch IKT-Drittdienstleister betreffen.
Durch leistungsstarke, stabile IKT-Strukturen soll ein sicheres Finanzsystem geschaffen werden, dass die Risiken des digitalen Wandels für Markteilnehmer minimiert. Maßgeblich steigen in diesem Zuge Analyse- und Reporting-Anforderungen an Finanzinstitute, die Strukturen mit IKT-Leistungen betreiben oder betreiben lassen. Hierbei rücken durch DORA insbesondere der aktuell hohe Outsourcing-Grad der Banken-IT sowie Strategien der Banken zur digitalen Transformation in den Fokus der Aufsicht.
DORA ist zwar bereits am 17. Januar 2023 in Kraft getreten, wird jedoch erst ab dem 17. Januar 2025 vollständig angewandt, sodass Finanzinstitute bis Januar 2025 DORA-Konformität sicherstellen müssen.
Der Zeitplan von DORA (2023-2025)
Was sind die Hauptziele von DORA?
Verbesserung der IKT-Risikomanagementprozesse und IKT-Governance
DORA verlangt von Finanzinstituten IKT-Risikomanagementsysteme zu entwickeln und umzusetzen. Dies umfasst die Identifikation, Bewertung und Minderung von IKT-Risiken. Durch standardisierte Prozesse und regelmäßige Überprüfungen, sollen Risiken frühzeitig erkannt und Handlungsfähigkeit geschaffen werden. Interne Strukturen sollen sicherstellen, dass IKT-Risiken auf höchster Managementebene überwacht und gesteuert werden.
Erhöhung der Widerstandsfähigkeit gegen Cyberbedrohungen
Ein weiteres Ziel ist die Verstärkung der Maßnahmen zur Erkennung, Prävention und Reaktion auf Cyberbedrohungen. Banken und Zahlungsdienstleister müssen Pläne zur Bewältigung entwickeln und regelmäßig testen. So soll eine schnelle und effektive Reaktionsfähigkeit geschaffen werden, die es ermöglicht den Geschäftsbetrieb aufrecht zu erhalten.
Sicherstellung der Kontinuität von kritischen Funktionen
DORA fordert die Entwicklung von Notfallplänen und Strategien zur Geschäftskontinuität. Finanzinstitute müssen sicherstellen, dass auch im Falle von schwerwiegenden IKT-Störfällen die kritischen Funktionen fortgeführt werden können. Regelmäßige Tests der IKT-Sicherheitsmaßnahmen sind entscheidend.
Stärkung der Überwachung und Meldung von IKT-Vorfällen
Die Regulierung führt Meldepflichten für schwerwiegende IKT-Vorfälle ein. IKT-Vorfälle sind verpflichtend an zuständige Behörden zu melden und ihre Ursachen zu analysieren. Ziel ist es, Transparenz für Aufsichtsbehörden zu schaffen, sodass effektive Kontrollmechanismen implementiert werden können.
Förderung der Sorgfaltspflichten bei Drittanbietern
DORA legt großen Wert auf die Sorgfaltspflichten bei der Auswahl und Überwachung von Drittanbietern, die kritische IKT-Dienste bereitstellen. Banken und Zahlungsdienstleister müssen sicherstellen, dass ihre Dienstleister angemessene Sicherheitsmaßnahmen treffen und regelmäßig bewertet werden. Dies minimiert das Risiko, das durch Outsourcing entsteht und erhöht die Sicherheit entlang der gesamten Lieferkette.
Erhöhte Analyse- und Reportingpflichten: IKT-Auslagerungen von Banken im Überblick (beispielhaft)
Welchen konkreten Handlungsbedarf hat DORA für Banken und Zahlungsdienstleister zur Folge?
Die neuen Anforderungen zwingen die Institute dazu ihre IKT-Risikomanagementprozesse zu überdenken und anzupassen. Konkret sollten folgende Maßnahmen ergriffen werden, um regulatorische Konformität sicherzustellen:
IKT-Governance und Risikomanagement: Anpassung interner Richtlinien und Prozesse
Interne Richtlinien müssen überarbeitet und geschaffen werden, um die neuen IKT-Compliance-Anforderungen gemäß DORA abzubilden und eine kontinuierliche Risikobewertung- und Bewältigung sicherzustellen (u.A. Dokumentation von Prozessen für Nachweispflicht gegenüber der Aufsicht).
Testen der digitalen operationalen Resilienz: Umsetzung von Basistests und TLPT
Interne Richtlinien und Prozesse müssen regelmäßige Basistests und TLPT (Threat-led Penetration Tests) umfassen, um potenzielle Schwachstellen aufzudecken und zu beheben. Testing-Dienstleister können in diesem Zuge in Betracht gezogen werden.
Störfälle und Meldepflichten: Aufbau eines Meldewesens
Entwicklung eines internen Meldesystems für IKT-Vorfälle mit klaren Prozessen und Kriterien zur Klassifizierung und Meldung von Sicherheitsvorfällen.
Management des Drittparteienrisikos: IKT-Auslagerungsmanagement und Aufsicht über kritische IKT-Dienstleister
Überprüfung und Aktualisierung von Auslagerungsrichtlinien, Verträgen und internen Prozessen zur Risikoanalyse von Drittanbietern, u.A. regelmäßige Due-Diligence-Verfahren und Führung eines Informationsregisters, Anpassung von Ausschreibungsprozessen anhand von erweiterten Bewertungskriterien.
Zu den meisten Regelungskomplexen wird es im Laufe des Jahres 2024 konkretisierende Rechtsakte in Form von technischen Standards (RTS und ITS) geben.
Das sind die Auswirkungen von DORA im Überblick:
DORA stellt für Finanzinstitute eine Herausforderung dar, bietet aber auch die Chance, die IKT-Sicherheit und Resilienz zu verbessern. Die Umsetzung von DORA erfordert zwar zwar erhebliche Anstrengungen und Investitionen, trägt jedoch wesentlich zur langfristigen Stabilität und Sicherheit des europäischen Finanzsektors bei.
Wie unterstützen wir Banken und Zahlungsdienstleister erfolgreich?
Als langjähriges Beratungsunternehmen im Payment- und Banking-Bereich unterstützen wir Sie gerne bei der Umsetzung der DORA-Anforderungen. Neben dem Umgang mit den Anforderungen aus DORA in Ihrem Unternehmen können wir unser Wissen und unsere Erfahrungen aus diversen Sourcing-Strategie-Projekten und Umsetzungen einbringen. Insbesondere im Kontext der Auslagerung von IKT-Leistungen an Drittparteien steigen die Anforderungen enorm an. Neue Anforderungen umfassen u.a. die Durchführung einer Risikoanalyse vor Abschluss einer vertraglichen Vereinbarung mit einem Dritten. Anders als bei z.B. Regelungen der MaRisk wird bei DORA, nicht mehr zwischen Auslagerungen und sonstigem Fremdbezug von IKT-Dienstleistungen unterscheiden.
Das bedeutet:
Zukünftig fällt auch der sonstige Fremdbezug von IKT-Dienstleistungen in den Anwendungsbereich der DORA, einhergehend mit entsprechenden Sorgfaltspflichten auf Seiten der Bank oder des Finanzdienstleisters.
Sourcing-Strategien und bestehende Auslagerungen von IKT-Dienstleistungen sollten daher frühzeitig einem Check unterzogen werden, um die Anforderungen aus DORA rechtzeitig zu berücksichtigen und wenn erforderlich Anpassungen z.B. in der Dienstleistersteuerung umzusetzen.
Sie möchten robuste und innovative Vorgehensmodelle entwickeln, ihre digitale Resilienz stärken und ihr Unternehmen fit für die Zukunft machen?
Dann kontaktieren Sie uns gerne.
Weitere Informationen zum Thema DORA bietet u.a. die BaFin, mehr dazu finden Sie hier.
Schon gewusst? – Unser Workshop #NextGen Payments
DORA ist ebenfalls Bestandteil unseres neuen Workshops „NextGen Payments: Revolution oder Evolution bis 2030?“ Hier zeigen wir Ihnen in einem maßgeschneiderten Workshop wie sich die Zukunftstreiber Digitalisierung, Regulation und Cyber Security auf Ihre Geschäftsmodelle auswirken und erarbeiten gemeinsam individuelle Lösungsansätze. Mehr Informationen finden Sie hier.
Weitere Regularien – PSD3 und PSR
Neben DORA beeinflussen auch weitere regulatorische Regularien wie PSD3 und PSR den Zahlungsverkehr. Mehr erfahren Sie in diesem Blogartikel.
Jens Hegeler
Hauke Peters
