FRANKFURT SCHOOL

BLOG

DORA – Digital Operational Resilience Act in der Finanzdienstleistungsbranche
Weiterbildung / 22. Juni 2023
  • Teilen

  • 5178

  • 0

  • Drucken
Dr. Jörg Lobbes ist als IT-Compliance Officer bei der Eurex Clearing AG innerhalb der Gruppe Deutsche Börse tätig. Darüber hinaus unterrichtet er seit vielen Jahren an der Frankfurt School in den Bereichen IT-Governance und Risikomanagement.

Autorenprofil

Mehr Blog Posts
IT-Governance im Fokus: DORA - Schlüssel zu digitaler Sicherheit im Finanzsektor
Alles unter Kontrolle? KI und maschinelles Lernen in der Finanzbranche
Kollektive Künstliche Intelligenz: Federated-Learning in der modernen Prüfung

Das Gesetz DORA (Digital Operational Resilience Act) beinhaltet neue Anforderungen an Unternehmen aus der Finanzbranche sowie deren IT-Dienstleister. Banken, Versicherungen und Börsen sind heute zum großen Teil IT-Dienstleister. Ob Onlinebanking, Schadensregulierung oder Handel – für alle Dienstleistungen gilt: Nichts geht ohne IT.

Umso verheerender wäre es, wenn die IT tatsächlich nicht funktionieren würde. Zum Beispiel durch einen Cyberangriff, aktuell sehr prominent bestätigt durch die Schadsoftware Ransomware. Fast täglich wird von betroffenen Unternehmen in der Presse berichtet. Aus Sicht der Angreifer sind Banken, Versicherungen und Börsen besonders interessante Opfer. Trotzdem konnten gerade diese Unternehmen bisher sehr erfolgreich Angriffe abwehren.

Das ist kein Zufall. Denn die BaFin fordert von deutschen Instituten schon lange Mindeststandards für deren IT-Betrieb und Informationssicherheit. Um sicherzustellen, dass alle regulierten Institute entsprechende Maßnahmen umsetzen, hat die BaFin bereits 2017 minimale Anforderungen an die IT und Informationssicherheit in Deutschland gestellt, die durch BAIT, VAIT, KAIT und ZAIT geregelt werden. Seitdem wurden diese Regeln mehrfach erweitert und konkretisiert. Nun kommt der nächste Schritt: eine einheitliche und übergeordnete IT-Regulierung für alle Institute in Europa. Es handelt sich um eine sogenannte „Lex specialis“, also ein Gesetz, welches nicht erst durch die einzelnen Mitgliedsländer umzusetzen ist, sondern ab sofort gilt.

Das neue Gesetz DORA ist bereits seit Januar 2023 in Kraft und ist bis zum 17. Januar 2025 durch alle betroffenen Organisationen der EU-Mitgliedsstaaten zu erfüllen. Betroffen sind erstmalig nicht nur die Institute selbst. Auch wichtige IT-Dienstleister werden nun direkt reguliert – ein wirkliches Novum für Unternehmen wie Microsoft, AWS, Google und Co.

Was wird geregelt?

Mit DORA definiert die Europäische Kommission einen einheitlichen Rahmen für das Management von Cyber-Sicherheitsrisiken, für die Aufrechterhaltung des IT-Betriebs bei Cyberangriffen und für die Meldung von Vorfällen. Das Gesetz verpflichtet zudem zu vorbereitenden Maßnahmen. Einige Themen waren in Deutschland bereits in ähnlicher Weise geregelt. Aber auch neue Anforderungen kommen hinzu.

Wer wird reguliert?

Neben Kreditinstituten, Versicherungsunternehmen und Zahlungsinstituten, die bisher in Deutschland bereits durch BAIT, VAIT und ZAIT im Bereich IT und Informationssicherheit reguliert waren, wird die Anzahl der Organisationen massiv ausgeweitet. Hierzu gehören unter anderem:

  • E-Geld-Institute
  • Anbieter von Krypto-Dienstleistungen
  • Handelsplätze
  • Zentralverwahrer
  • Zentrale Gegenparteien
  • Datenbereitstellungsdienste
  • Ratingagenturen
  • Crowdfunding-Dienstleister

Wie beschrieben, werden nun erstmalig auch die wesentlichen IT-Dienstleister für diese Institute, die im Gesetz sogenannten IKT-Drittanbieter, reguliert. Dabei ist die Liste der betroffenen Dienstleister aktuell noch in der Erstellung. Wichtig zu wissen ist auch, dass in der ersten Version des Gesetzes ebenfalls Wirtschaftsprüfer der Institute betroffen waren. Diese wurden jedoch während der Konsultierungsphase wieder aus dem Fokus genommen.

Vorgehensweise für die Implementierung

Alle betroffenen Institute sollten sich schon jetzt mit DORA beschäftigen und eine Gap-Analyse durchführen. Diese ist die Basis für den nächsten Schritt – die Implementierung der Änderungen in Bezug auf die neuen Anforderungen. Doch Achtung: Auch wenn das Gesetz schon in Kraft ist, sind einige Details noch nicht vollständig bekannt. Durch sogenannte technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) wird das Gesetz um weitere Anforderungen ergänzt werden.

Die Umsetzung von DORA in der Praxis

Für Finanzunternehmen sowie deren Zulieferer und Dienstleister gilt es nun verstärkt, aktiv zu werden und die relevanten Themen- und Handlungsfelder zu identifizieren. Hier sind Fach- und Führungskräfte gefragt, Gaps zu analysieren, den Anpassungsbedarf im eigenen Haus einzuschätzen, Umsetzungsprojekte aufzusetzen und durchzuführen. Mitarbeitende der entsprechenden Unternehmensbereiche erhalten in einem eintägigen Seminar an der Frankfurt School einen Überblick über die Inhalte von DORA sowie Anregungen und Beispiele für den Wissenstransfer in die Praxis.

0 Kommentare

Senden