DORA: Darauf müssen sich Banken und Zahlungsdienstleister jetzt einstellen

Steigende regulatorische Herausforderungen: IKT-Sicherheitsstandards und Meldepflichten zur Stärkung der digitalen Resilienz

Die Digitalisierung von Produkten und Prozessen bringt für Banken und Zahlungsdienstleister nicht nur Chancen, sondern auch zunehmende Risiken mit sich. Cyberangriffe und IT-Ausfälle können enorme finanzielle und reputative Schäden verursachen. Genau hier setzt DORA, das Digital Operational Resilience Act, an. Diese EU-Verordnung soll sicherstellen, dass Finanzinstitute widerstandsfähiger gegenüber Bedrohungen ihrer technischen Infrastrukturen werden und Cyber Security unternehmensweit einen höheren Stellenwert erhält.

In diesem Artikel erklären wir, was DORA beinhaltet, welche Anforderungen auf Banken und Zahlungsdienstleister zukommen und wie Sie diesen Anforderungen gerecht werden können.

Was ist DORA?

Das Digital Operational Resilience Act (DORA) ist eine wegweisende EU-Verordnung mit dem Ziel, die digitale operative Resilienz des Finanzsektors zu stärken. Es soll sichergestellt werden, dass Banken und Zahlungsdienstleister robust gegen Cyberangriffe, IT-Ausfälle und andere digitale Bedrohungen gewappnet sind. Mittels der Verordnung werden einheitliche Standards für IT-Sicherheit festgelegt, die insbesondere die Bereiche des Managements der Risiken der Informations- und Kommunikationstechnologie (IKT), der Meldung von IKT-Vorfällen und der Überwachung von Risiken durch IKT-Drittdienstleister betreffen.

Durch leistungsstarke, stabile IKT-Strukturen soll ein sicheres Finanzsystem geschaffen werden, dass die Risiken des digitalen Wandels für Markteilnehmer minimiert. Maßgeblich steigen in diesem Zuge Analyse- und Reporting-Anforderungen an Finanzinstitute, die Strukturen mit IKT-Leistungen betreiben oder betreiben lassen. Hierbei rücken durch DORA insbesondere der aktuell hohe Outsourcing-Grad der Banken-IT sowie Strategien der Banken zur digitalen Transformation in den Fokus der Aufsicht.

DORA ist zwar bereits am 17. Januar 2023 in Kraft getreten, wird jedoch erst ab dem 17. Januar 2025 vollständig angewandt, sodass Finanzinstitute bis Januar 2025 DORA-Konformität sicherstellen müssen.

Der Zeitplan von DORA (2023-2025)

Am 08. Juli 2024 hat die Bundesaufsicht für Finanzdienstleistungsaufsicht (BaFin) eine Aufsichtsmitteilung zu DORA veröffentlicht. Diese beinhaltet umfangreiche Umsetzungshinweise u.a. an das Informations- und Kommunikationstechnologie (IKT)-Risikomanagement und an das IKT-Drittparteienrisikomanagement. Die Umsetzungshinweise sind nicht verpflichtend umzusetzen, sondern stellen eine Hilfestellung und ergänzende Erläuterungen für Unternehmen zur Erfüllung der DORA-Anforderungen dar. Sie stellt zusätzlich die bereits geltenden IT-Anforderungen (BAIT/VAIT) den DORA-Anforderungen gegenüber. Mit der Bereitstellung der Aufsichtsmitteilung teilt die BaFin mit, dass die bisherigen IT-Anforderungen (BAIT/VAIT) durch DORA größtenteils abgedeckt und erweitert werden. Mit der nationalen Umsetzung durch das FinmadiG (Finanzmarktdigitalisierungsgesetz) plant die BaFin, die bisherigen Anforderungen an die IT (BAIT/VAIT/KAIT/ZAIT) aufzuheben. Unternehmen, die nicht unter DORA fallen, müssen weiterhin angemessene Maßnahmen zum Umgang mit IT- und Cyberrisiken ergreifen.

Was sind die Hauptziele von DORA?

Verbesserung der IKT-Risikomanagementprozesse und IKT-Governance

DORA verlangt von Finanzinstituten IKT-Risikomanagementsysteme zu entwickeln und umzusetzen. Dies umfasst die Identifikation, Bewertung und Minderung von IKT-Risiken. Durch standardisierte Prozesse und regelmäßige Überprüfungen, sollen Risiken frühzeitig erkannt und Handlungsfähigkeit geschaffen werden. In den Umsetzungshinweisen der BaFin zu DORA wird betont, dass die Verantwortung für das IKT-Risikomanagement beim Leitungsorgan der Finanzunternehmen angesiedelt ist.

Erhöhung der Widerstandsfähigkeit gegen Cyberbedrohungen

Ein weiteres Ziel ist die Verstärkung der Maßnahmen zur Erkennung, Prävention und Reaktion auf Cyberbedrohungen. Banken und Zahlungsdienstleister müssen Pläne zur Bewältigung entwickeln und regelmäßig testen. Neben dem retrospektiven Blick auf IKT-bezogene Vorfälle und die Leistungsfähigkeit des IKT-Risikomanagementrahmens in der Vergangenheit sollen auch neue technologische Entwicklungen, u. a. mit Blick auf Cyberangriffe, überwacht werden. So soll eine schnelle und effektive Reaktionsfähigkeit geschaffen werden, die es ermöglicht den Geschäftsbetrieb aufrecht zu erhalten.

Sicherstellung der Kontinuität von kritischen Funktionen

DORA fordert die Entwicklung von Notfallplänen und Strategien zur Geschäftskontinuität. Finanzinstitute müssen sicherstellen, dass auch im Falle von schwerwiegenden IKT-Störfällen die kritischen Funktionen fortgeführt werden können. Regelmäßige Tests der IKT-Sicherheitsmaßnahmen sind entscheidend.

Stärkung der Überwachung und Meldung von IKT-Vorfällen

Die Regulierung führt Meldepflichten für schwerwiegende IKT-Vorfälle ein. IKT-Vorfälle sind verpflichtend an zuständige Behörden zu melden und ihre Ursachen zu analysieren. Ziel ist es, Transparenz für Aufsichtsbehörden zu schaffen, sodass effektive Kontrollmechanismen implementiert werden können. Durch die Einführung eines IKT-Assetmanagement und die Klassifizierung von Risiken sollen Abhängigkeiten zu IKT-Drittdienstleistern, Risiken aus Cyberbedrohungen und IKT-Schwachstellen identifiziert und regelmäßig neu bewertet werden.

Förderung der Sorgfaltspflichten bei Drittanbietern

DORA legt großen Wert auf die Sorgfaltspflichten bei der Auswahl und Überwachung von Drittanbietern, die kritische IKT-Dienste bereitstellen. Banken und Zahlungsdienstleister müssen sicherstellen, dass ihre Dienstleister angemessene Sicherheitsmaßnahmen treffen und regelmäßig bewertet werden. Aus den Umsetzungshinweisen zu DORA gehen erweiterte Vertragsanforderungen für die Nutzung von IKT-Dienstleistungen hervor, einschließlich Mindestinhalte für alle vertraglichen Vereinbarungen und Verpflichtungen zur Prüfung und Testung. Dies minimiert das Risiko, das durch Outsourcing entsteht und erhöht die Sicherheit entlang der gesamten Lieferkette.

Erhöhte Analyse- und Reportingpflichten: IKT-Auslagerungen von Banken im Überblick (beispielhaft)

Welchen konkreten Handlungsbedarf hat DORA für Banken und Zahlungsdienstleister zur Folge?

Die neuen Anforderungen zwingen die Institute dazu ihre IKT-Risikomanagementprozesse zu überdenken und anzupassen. Konkret sollten folgende Maßnahmen ergriffen werden, um regulatorische Konformität sicherzustellen:

IKT-Governance und Risikomanagement: Anpassung interner Richtlinien und Prozesse
Interne Richtlinien müssen überarbeitet und geschaffen werden, um die neuen IKT-Compliance-Anforderungen gemäß DORA abzubilden und eine kontinuierliche Risikobewertung und -bewältigung sicherzustellen (u.A. Dokumentation von Prozessen für Nachweispflicht gegenüber der Aufsicht). Zusätzlich ist eine Funktion zu etablieren, die für das Management und die Überwachung der IKT-Risiken zuständig ist.

Testen der digitalen operationalen Resilienz: Umsetzung von Basistests und TLPT

Interne Richtlinien und Prozesse müssen regelmäßige, mindestens einmal jährlich stattfindende Basistests und TLPT (Threat-led Penetration Tests) umfassen, um potenzielle Schwachstellen aufzudecken und zu beheben. Testing-Dienstleister können in diesem Zuge in Betracht gezogen werden. Hierbei ist die Berücksichtigung erweiterter Szenarien wie Klimawandel, Insider-Angriffe und großflächige Stromausfälle erforderlich.

Störfälle und Meldepflichten: Aufbau eines Meldewesens
Entwicklung eines internen Meldesystems für IKT-Vorfälle mit klaren Prozessen und Kriterien zur Klassifizierung und Meldung von Sicherheitsvorfällen. Finanzunternehmen müssen sicherstellen, dass Logs gegen Manipulation und Löschen geschützt sind und dass alle IKT-Systeme mit einer verlässlichen Referenzzeit synchronisiert werden.

Management des Drittparteienrisikos: IKT-Auslagerungsmanagement und Aufsicht über kritische IKT-Dienstleister

Überprüfung und Aktualisierung von Auslagerungsrichtlinien, Verträgen und internen Prozessen zur Risikoanalyse von Drittanbietern, u.A. regelmäßige Due-Diligence-Verfahren und Führung eines Informationsregisters, Anpassung von Ausschreibungsprozessen anhand von erweiterten Bewertungskriterien. Dies umfasst u.a. Mindestinhalte für alle vertraglichen Vereinbarungen, Prüfungs- und Testrechte sowie Kündigungsrechte.

Zu ergänzenden Regelungskomplexen wird es im weiteren Verlaufe des Jahres 2024 konkretisierende Rechtsakte in Form von technischen Standards (RTS und ITS) geben.

Das sind die Auswirkungen von DORA im Überblick:

DORA stellt für Finanzinstitute eine Herausforderung dar, bietet aber auch die Chance, die IKT-Sicherheit und Resilienz zu verbessern. Die Umsetzung von DORA erfordert zwar erhebliche Anstrengungen und Investitionen, trägt jedoch wesentlich zur langfristigen Stabilität und Sicherheit des europäischen Finanzsektors bei.

Wie unterstützen wir Banken und Zahlungsdienstleister erfolgreich?

Als langjähriges Beratungsunternehmen im Payment- und Banking-Bereich unterstützen wir Sie gerne bei der Umsetzung der DORA-Anforderungen. Neben dem Umgang mit den Anforderungen aus DORA in Ihrem Unternehmen können wir unser Wissen und unsere Erfahrungen aus diversen Sourcing-Strategie-Projekten und Umsetzungen einbringen. Insbesondere im Kontext der Auslagerung von IKT-Leistungen an Drittparteien steigen die Anforderungen enorm an. Neue Anforderungen umfassen u.a. die Durchführung einer Risikoanalyse vor Abschluss einer vertraglichen Vereinbarung mit einem Dritten. Anders als bei z.B. Regelungen der MaRisk wird bei DORA, nicht mehr zwischen Auslagerungen und sonstigem Fremdbezug von IKT-Dienstleistungen unterscheiden. Das bedeutet:

Zukünftig fällt auch der sonstige Fremdbezug von IKT-Dienstleistungen in den Anwendungsbereich der DORA, einhergehend mit entsprechenden Sorgfaltspflichten auf Seiten der Bank oder des Finanzdienstleisters. Sourcing-Strategien und bestehende Auslagerungen von IKT-Dienstleistungen sollten daher frühzeitig einem Check unterzogen werden, um die Anforderungen aus DORA rechtzeitig zu berücksichtigen und wenn erforderlich Anpassungen z.B. in der Dienstleistersteuerung umzusetzen.

Sie möchten robuste und innovative Vorgehensmodelle entwickeln, ihre digitale Resilienz stärken und ihr Unternehmen fit für die Zukunft machen? Dann kontaktieren Sie uns gerne.

Weitere Informationen zum Thema DORA bietet u.a. die BaFin, mehr dazu finden Sie hier.

Wussten Sie schon? – Unser Workshop #NextGen Payments

DORA ist ebenfalls Bestandteil unseres neuen Workshops „NextGen Payments: Revolution oder Evolution bis 2030?“ Hier zeigen wir Ihnen in einem maßgeschneiderten Workshop wie sich die Zukunftstreiber Digitalisierung, Regulation und Cyber Security auf Ihre Geschäftsmodelle auswirken und erarbeiten gemeinsam individuelle Lösungsansätze. Mehr Informationen finden Sie hier.

Weitere Regularien – PSD3 und PSR

Neben DORA beeinflussen auch weitere regulatorische Regularien wie PSD3 und PSR den Zahlungsverkehr. Mehr erfahren Sie in diesem Blogartikel.

Jens Hegeler

Hauke Peters

Diesen Artikel teilen