DORA am Horizont: wichtige Änderungen für den Finanzsektor 🏦

DORA – neue Standards für Cybersicherheit 🔒

Im digitalen Zeitalter, in dem die meisten Finanztransaktionen online abgewickelt werden, gewinnt die Sicherheit unserer Daten und Gelder zunehmend an Bedeutung. Was passiert, wenn einer der am häufigsten genutzten Online-Dienste für Unternehmen, Office 365, betroffen ist, haben wir alle vor kurzem am Beispiel des Absturzes der Microsoft-Betriebssysteme gesehen. ✈️🚫

Flugverbindungen wurden gestrichen, die Londoner Börse funktionierte nicht, und auch Bankkunden meldeten Probleme (in Polen waren u. a. die Santander Bank und PKO BP betroffen). Microsoft schätzt, dass bis zu 8,5 Millionen Windows-Geräte von dem Vorfall betroffen waren. Die Auswirkungen dessen, was sich als „nur“ ein Absturz herausstellte, brachten einen Teil der Welt für einen Moment zum Stillstand. Das Ausmaß der Unterbrechung des Betriebs von Unternehmen in vielen Branchen lässt die Frage aufkommen, was passieren könnte, wenn es sich nicht um einen Absturz, sondern um einen erfolgreichen Cyberangriff handelt. 🤔💻

Die Europäische Union hat die wachsenden Risiken im Bereich der digitalen Sicherheit für den Finanzsektor und seine Kunden erkannt und im Dezember 2023 den Digital Operational Resilience Act (kurz DORA) erlassen, der neue Standards für die Cybersicherheit von Finanzunternehmen festlegt, um ihre Widerstandsfähigkeit gegenüber allen IKT-bezogenen Störungen und Bedrohungen zu gewährleisten. 🌐📜

Die neuen Vorschriften zielen darauf ab:

Minimierung der Risiken, die nicht nur mit Cyberangriffen, sondern mit Sicherheitsvorfällen im Allgemeinen verbunden sind. Durch die Festlegung einheitlicher Standards und Verfahren soll DORA dazu beitragen, die Integrität, Sicherheit und Kontinuität von Finanzdienstleistungen in der Europäischen Union zu schützen. 🛡️🇪🇺

Der Countdown läuft ⏳

Die Finanzunternehmen haben bis zum 17. Januar 2025 Zeit, die DORA einzuhalten. Nach diesem Datum wird es keine vergünstigten Tarife mehr geben – die FSA warnt bei Schulungen und Treffen mit dem Finanzsektor, dass sie nicht auf Nachzügler warten wird und plant, die Umsetzung der neuen Verpflichtungen vom ersten Tag an zu überprüfen und durchzusetzen. 📅🔍

Wichtig ist, dass es sich bei DORA nicht um eine Richtlinie handelt (wie bei einem anderen für die Cybersicherheit relevanten Gesetz wie NIS2), sondern um eine Verordnung. Das bedeutet, dass sie für die Adressaten in vollem Umfang verbindlich ist und in allen Ländern der Europäischen Union unmittelbar gilt, ohne dass sie durch Gesetze in lokale Rechtsordnungen umgesetzt werden muss. 📜⚖️

Wer ist von DORA betroffen? 🏦💼

DORA betrifft in erster Linie – aber nicht ausschließlich – ein breites Spektrum von Finanzinstituten und digitalen Finanzunternehmen. Unter anderem sind Banken, Versicherungen, Investmentfonds, Kreditinstitute, Kryptowährungsanbieter, E-Geldinstitute und andere Finanzdienstleister verpflichtet, die neuen Vorschriften einzuhalten. 💳🏢

Darüber hinaus führt DORA bestimmte Verpflichtungen für Technologieanbieter ein, einschließlich Anbieter von Cloud-Diensten und andere IKT-Dienstleister. ☁️💻

Was bedeutet DORA für den Finanzsektor? 📊🔒

DORA erlegt den Akteuren des Finanzsektors Verpflichtungen auf und verlangt von den Finanzinstituten nicht nur, auf Vorfälle zu reagieren, sondern auch eine Reihe von Präventivmaßnahmen zu ergreifen, basierend auf dem Grundsatz, dass Vorbeugen besser ist als Heilen. 💡🔧

In der Praxis bedeutet dies, vor allem in den folgenden Schlüsselbereichen tätig zu werden:

1. IKT-Risikomanagement 🖥️⚠️Instytucje Die Finanzabteilung sollte eine umfassende IKT-Risikomanagementstrategie entwickeln und umsetzen. Diese Strategie sollte die Identifizierung, Bewertung, Überwachung und Kontrolle von IKT-Risiken beinhalten, um die Sicherheit und Integrität der IT-Systeme zu gewährleisten.
2. Management von IKT-Vorfällen 🛡️🚨Die Klassifizierung und Meldung von IKT-Vorfällen ist laut DORA der Schlüssel zu einem effektiven Sicherheitsmanagement. Die Finanzinstitute müssen klare Richtlinien für die Klassifizierung von Vorfällen befolgen, was zu einer angemessenen Verfolgung, Analyse und Reaktion führen soll.Zu den Aufgaben in diesem Bereich gehören unter anderem:Erstellung und Umsetzung einheitlicher Richtlinien für die Klassifizierung von Vorfällen, um Vorfälle nach Schweregrad und Art der Bedrohung zu kategorisieren.Regelmäßige Meldung von Vorfällen an die zuständigen Behörden und Interessengruppen in Übereinstimmung mit den geltenden Normen und Vorschriften.Durchführung von Ursachenanalysen von Vorfällen, um Schwachstellen zu ermitteln und Korrekturmaßnahmen zu ergreifen.
3. Risikomanagement bei externen IKT-Dienstleistern 🤝🔍Finanzinstitute sollten Richtlinien für die Zusammenarbeit mit externen IKT-Dienstleistern festlegen. Zu den Aufgaben in diesem Bereich gehören unter anderem die Entwicklung von Kriterien für die Bewertung und Auswahl von IKT-Dienstleistern, um sicherzustellen, dass sie die Sicherheits- und Compliance-Anforderungen erfüllen, die Gewährleistung, dass die mit den IKT-Dienstleistern geschlossenen Verträge den von der DORA festgelegten Anforderungen entsprechen, und die regelmäßige Überwachung und Bewertung der Leistung der Dienstleister.
4. Die Prüfung der operationellen digitalen Resilienz 🔄🛠️Obowiązki in diesem Bereich umfasst unter anderem die Einrichtung eines umfassenden Programms zur Prüfung der operationellen digitalen Resilienz. Finanzunternehmen, die keine Kleinstunternehmen sind, werden verpflichtet, alle IKT-Systeme und -Anwendungen mindestens einmal jährlich zu testen. Für einige Verpflichtete sieht die DORA auch die zusätzliche Verpflichtung vor, mindestens alle drei Jahre fortgeschrittene Penetrationstests (TLPT) zur Bedrohungssuche durchzuführen.

Wo es Verpflichtungen gibt, gibt es auch Sanktionen ⚖️💰.

Das Verständnis und die Anpassung an die Anforderungen der DORA sind aus der Sicht der Finanzakteure von wesentlicher Bedeutung, nicht nur um ein angemessenes Niveau an operativer digitaler Widerstandsfähigkeit zu gewährleisten, sondern auch um schwerwiegende rechtliche und finanzielle Konsequenzen zu vermeiden.

DORA impliziert, dass die zuständigen Behörden (in Polen wird dies in erster Linie die FSA sein) mit weitreichenden Befugnissen zur Überwachung und Durchsetzung von DORA ausgestattet werden. Sie werden berechtigt sein, Zugang zu allen Dokumenten und Daten zu verlangen, die sie im Rahmen ihrer Ermittlungen für relevant halten. Die Finanzinstitute müssen auf mögliche Prüfungen und Inspektionen vorbereitet sein. Die Verweigerung der Zusammenarbeit oder der Bereitstellung der angeforderten Informationen kann zu zusätzlichen Sanktionen führen. 🔍📋

Bei Verstößen gegen die DORA können die Aufsichtsbehörden verschiedene Verwaltungssanktionen verhängen. Dazu gehören u. a. Unterlassungsanordnungen für nicht vorschriftsmäßige Tätigkeiten, die Aufforderung zur Beendigung vorschriftswidriger Praktiken und die Verhängung finanzieller Sanktionen zur Durchsetzung der Einhaltung der Vorschriften. 💼💸

Zusammenfassung 📊✍️

Natürlich wird eine vollständige Bewertung der Auswirkungen der neuen Vorschriften erst nach einiger Zeit möglich sein, aber wir wagen schon jetzt die Hypothese, dass DORA ein Meilenstein auf dem Weg zur Gewährleistung der digitalen operativen Widerstandsfähigkeit im EU-Finanzsektor ist. Mit der Einführung neuer IKT-Risikomanagementstandards und der Forderung nach einem proaktiven Ansatz für die digitale Sicherheit dürfte DORA nicht nur zum Schutz der Finanzinstitute beitragen, sondern auch das Vertrauen der Kunden in Finanzdienstleistungen stärken. Der Zug ist nun auf der Seite des Finanzsektors – das Erreichen des Ziels von DORA und der damit verbundenen Vorteile wird nur möglich sein, wenn die Umsetzung der neuen Vorschriften ernst genommen wird. 🔜🔧