Das Gesetz DORA (Digital Operational Resilience Act) beinhaltet neue Anforderungen an Unternehmen aus der Finanzbranche sowie deren IT-Dienstleister. Banken, Versicherungen und Börsen sind heute zum großen Teil IT-Dienstleister. Ob Onlinebanking, Schadensregulierung oder Handel – für alle Dienstleistungen gilt: Nichts geht ohne IT.
Umso verheerender wäre es, wenn die IT tatsächlich nicht funktionieren würde. Zum Beispiel durch einen Cyberangriff, aktuell sehr prominent bestätigt durch die Schadsoftware Ransomware. Fast täglich wird von betroffenen Unternehmen in der Presse berichtet. Aus Sicht der Angreifer sind Banken, Versicherungen und Börsen besonders interessante Opfer. Trotzdem konnten gerade diese Unternehmen bisher sehr erfolgreich Angriffe abwehren.
Das ist kein Zufall. Denn die BaFin fordert von deutschen Instituten schon lange Mindeststandards für deren IT-Betrieb und Informationssicherheit. Um sicherzustellen, dass alle regulierten Institute entsprechende Maßnahmen umsetzen, hat die BaFin bereits 2017 minimale Anforderungen an die IT und Informationssicherheit in Deutschland gestellt, die durch BAIT, VAIT, KAIT und ZAIT geregelt werden. Seitdem wurden diese Regeln mehrfach erweitert und konkretisiert. Nun kommt der nächste Schritt: eine einheitliche und übergeordnete IT-Regulierung für alle Institute in Europa. Es handelt sich um eine sogenannte „Lex specialis“, also ein Gesetz, welches nicht erst durch die einzelnen Mitgliedsländer umzusetzen ist, sondern ab sofort gilt.
Das neue Gesetz DORA ist bereits seit Januar 2023 in Kraft und ist bis zum 17. Januar 2025 durch alle betroffenen Organisationen der EU-Mitgliedsstaaten zu erfüllen. Betroffen sind erstmalig nicht nur die Institute selbst. Auch wichtige IT-Dienstleister werden nun direkt reguliert – ein wirkliches Novum für Unternehmen wie Microsoft, AWS, Google und Co.
Mit DORA definiert die Europäische Kommission einen einheitlichen Rahmen für das Management von Cyber-Sicherheitsrisiken, für die Aufrechterhaltung des IT-Betriebs bei Cyberangriffen und für die Meldung von Vorfällen. Das Gesetz verpflichtet zudem zu vorbereitenden Maßnahmen. Einige Themen waren in Deutschland bereits in ähnlicher Weise geregelt. Aber auch neue Anforderungen kommen hinzu.
Neben Kreditinstituten, Versicherungsunternehmen und Zahlungsinstituten, die bisher in Deutschland bereits durch BAIT, VAIT und ZAIT im Bereich IT und Informationssicherheit reguliert waren, wird die Anzahl der Organisationen massiv ausgeweitet. Hierzu gehören unter anderem:
Wie beschrieben, werden nun erstmalig auch die wesentlichen IT-Dienstleister für diese Institute, die im Gesetz sogenannten IKT-Drittanbieter, reguliert. Dabei ist die Liste der betroffenen Dienstleister aktuell noch in der Erstellung. Wichtig zu wissen ist auch, dass in der ersten Version des Gesetzes ebenfalls Wirtschaftsprüfer der Institute betroffen waren. Diese wurden jedoch während der Konsultierungsphase wieder aus dem Fokus genommen.
Alle betroffenen Institute sollten sich schon jetzt mit DORA beschäftigen und eine Gap-Analyse durchführen. Diese ist die Basis für den nächsten Schritt – die Implementierung der Änderungen in Bezug auf die neuen Anforderungen. Doch Achtung: Auch wenn das Gesetz schon in Kraft ist, sind einige Details noch nicht vollständig bekannt. Durch sogenannte technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) wird das Gesetz um weitere Anforderungen ergänzt werden.
Für Finanzunternehmen sowie deren Zulieferer und Dienstleister gilt es nun verstärkt, aktiv zu werden und die relevanten Themen- und Handlungsfelder zu identifizieren. Hier sind Fach- und Führungskräfte gefragt, Gaps zu analysieren, den Anpassungsbedarf im eigenen Haus einzuschätzen, Umsetzungsprojekte aufzusetzen und durchzuführen. Mitarbeitende der entsprechenden Unternehmensbereiche erhalten in einem eintägigen Seminar an der Frankfurt School einen Überblick über die Inhalte von DORA sowie Anregungen und Beispiele für den Wissenstransfer in die Praxis.