Digital Operational Resilience Act (DORA): Herausforderungen und Lösungen für den Finanzsektor
Cyberkriminalität nimmt zu, besonders betroffen sind Unternehmen des Finanzsektors. Mit der U-Verordnung DORA sollen die digitale Betriebsstabilität gestärkt und systemische IT-Risiken signifikant reduziert E werden. Ein Expert:innen-Talk über erhöhte Sorgfalts- und Berichtspflichten im Rahmen eines komplexer werdenden Risikomanagements, das rund 22.000 Finanzunternehmen in Europa betrifft.
‘‘ Als Finanzmarktaufsicht setzen wir auf proaktive Kommunikation. Man kann davon ausgehen, dass jeder Finanzdienstleister, der von DORA betroffen ist, davon auch Kenntnis hat.
Anna Muri Senior-Spezialistin für IT-Risiko-Aufsicht, Finanzmarktaufsicht (FMA)
Ganz gleich, welche der zahlreichen Studien zum Thema Cybersicherheit in Unternehmen herangezogen wird, die Schlüsselaussage lautet immer: Cyberkriminalität nimmt konstant zu. Die KPMG-Studie „Cybersecurity in Österreich 2023“zeigt beispielsweise auf, dass die Zahl der Cyberangriffe gegenüber dem Vorjahr um 201 Prozent angestiegen ist. Attackiert wurde jedes einzelne der 903 befragten Unternehmen. Auch in Deutschland schätzen mit dem Thema betraute Führungskräfte das Risiko digitaler Angriffe auf ihr eigenes Unternehmen so hoch wie nie zuvor ein. Für die EY Datenklaustudie 2023 wurden 509 Personen aus der Geschäftsführung, der Leitung Konzernsicherheit oder der Leitung IT-Sicherheit von Unternehmen verschiedenster Größe gefragt. Fast drei von vier Befragten sagen, das Gefährdungsrisiko für das eigene Unternehmen habe sich in den vergangenen beiden Jahren erhöht. Alle rechnen damit, dass die Gefahr, Opfer von Cyberangriffen und Datenklau zu werden, in Zukunft weiter zunehmen wird.
Finanzbranche im Fokus
Besonders betroffen sind weltweit Unternehmen aus der Finanzbranche. Um diese und ihre Kunden künftig besser schützen zu können, hat die EU den Digital Operational Resilience Act (DORA) verabschiedet. Ziel der EU-Verordnung, die am 16. Januar 2023 in Kraft getreten ist (Umsetzungsfrist: 17. Januar 2025), ist die Stärkung der digitalen Betriebsstabilität des europäischen Finanzsektors sowie die Reduktion systemischer IT-Risiken. Der Act gilt für alle Arten von Finanzinstituten (Banken, Versicherer, Wertpapierdienstleister, Ratingagenturen, Pensionskassen etc.) und für ITDrittanbieter (Cloud-ComputingServices, SaaS-Anbieter, Rechenzentren etc.). Betroffen sind in der EU mehr als 22.000 Finanzunternehmen
und IKT-Dienstleister, die damit verpflichtet werden, Systeme aufzubauen, die Angriffe nicht nur frühzeitig erkennen und bekämpfen sollen. Die geforderten Maßnahmen müssen auch lückenlos dokumentiert werden. Aus DORA ergeben sich somit erhöhte Sorgfalts- und Berichtspflichten. Dazu zählen unter anderem eine revisionssichere Dokumentation von Auslagerungen, gesetzeskonforme Verträge und jederzeitige Auskunftsfähigkeit.
Geänderte Bedrohungslage
Wie gut ist die Finanzbranche auf die neuen Herausforderungen vorbereitet? „Das hängt von der CyberMaturity, also vom Reifegrad jedes einzelnen Unternehmens ab. Grundsätzlich kann man aber sagen, dass es um die IT-Governance bei Finanzunternehmen, und da insbesondere bei Banken, gut bestellt ist“, sagt Anna Muri, SeniorSpezialistin für IT-Risiko-Aufsicht der Finanzmarktaufsicht (FMA). Dies gilt laut Florian Polt, Head of Group Security der UNIQA Insurance Group AG, in der Regel auch für Versicherer: „Aufgrund der großen IT-Abhängigkeit von Versicherungsunternehmen ist deren IT-Governance-Modell zumeist weiter entwickelt als etwa in der Industrie.“Zugleich müsse man aber zur Kenntnis nehmen, dass die Qualität der Cyberangriffe stetig steigt und sich somit die Gefahrenlage verschärft. Das betont auch Gerald Kogler, Leiter des Branchenteams für Versicherungen bei EY Österreich: „Der Finanzsektor ist zwar vergleichsweise gut vorbereitet. Aber Hacker werden professioneller, die Möglichkeiten der künstlichen Intelligenz spielen dabei eine tragende Rolle.“Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, bestätigt: „Studien zeigen, dass Deepfake-Angriffe mit täuschend echten Bildern, Stimmen oder Videos, die mithilfe
künstlicher Intelligenz erstellt werden, im Vormarsch sind.“
IKT-Drittrisiken managen
Einig sind sich die Expert:innen darin, dass sich die meisten Unternehmen des Finanzsektors der Gefahrenlage bewusst und auf die Anforderungen von DORA vorbereitet sind. „Die Unternehmen haben in der Regel bereits Kontakt mit dem Regulator aufgenommen. Als Finanzmarktaufsicht setzen wir zudem auf proaktive Kommunikation. Man kann also davon ausgehen, dass jeder Finanzdienstleister, der von DORA betroffen ist, davon auch Kenntnis hat“, so Anna Muri. Neue Herausforderungen gibt es dennoch, was vor allem mit dem DORAThemenschwerpunkt der IT-Auslagerung zu tun hat. Eines der zentralen Ziele besteht nämlich darin, einen geeigneten Rahmen für ein solides Management von IKT-Drittrisiken zu schaffen. Finanzunternehmen bleiben nach der Verordnung jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen durch die von ihnen beauftragten IKT-Drittdienstleister verantwortlich: „Um DORA-konform zu werden, müssen Finanzunternehmen ihre bestehenden Verträge kontrollieren, mit ihren Partnern sprechen, Ergänzungsvereinbarungen schließen und sämtliche Details zu ihren IKT-Dienstleistern inklusive deren Lieferketten im Informationsregister nachweisbar und jederzeit ab
‘‘ Das automatisierte Management der Verträge mit IKTDrittdienstleistern ist eine Notwendigkeit zur Umsetzung der Berichtspflichten und Vorbereitung auf aufsichtsrechtliche Prüfungen.
Robin Schmeisser Geschäftsführer, Fabasoft Contracts GmbH
rufbar vorhalten“, so Robin Schmeisser. Da sich die Daten, die es zu reporten gilt, aus den Verträgen ergeben, sieht er das automatisierte Management der Verträge mit IKT-Drittdienstleistern als Notwendigkeit zur fristgerechten Umsetzung der Berichtspflichten und zur Vorbereitung auf aufsichtsrechtliche Prüfungen.
Regelmäßige Resilienztests
„Zur Herausforderung können auch die vorgesehenen Verfahren werden, die der Überprüfung der digitalen operationalen Resilienz dienen“, sagt Florian Polt. So sind IKTSysteme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich auf operationale Resilienz zu testen. Die Tests umfassen z. B. Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen (soweit durchführbar), szenariobasierte Tests oder Penetrationstests. Dabei ist sicherzustellen, dass diese von unabhängigen, internen oder externen Parteien durchgeführt werden. Auch wenn die Behörde begleitend zur Seite steht, stellen die geforderten Testläufe einen nicht einfach zu handhabenden Prozess dar. „Grundsätzlich sind diese Tests im Sinne eines effizienten Risikomanagements zu begrüßen. Bei kleineren Unternehmen kann dies allerdings zu einer besonderen Herausforderung werden. Das gilt natürlich auch für die Dokumentationserfordernisse, die aus dem Cyber Incident Reporting erwachsen“, so Gerald Kogler. Schwierigkeiten für kleine und mittelständische Unternehmen sieht auch Robin Schmeisser: „Was die Dokumentationspflichten betrifft, ist der administrative Aufwand nicht zu unterschätzen. Insbesondere, da die Ressourcen in Unternehmen häufig eng und bereits gebunden
sind. Je höher die Automatisierung der IT-Governance, der Prozesse sowie der Dokumentensteuerung, desto leichter gelingt die Umsetzung der gesetzlichen Anforderungen.“
„Proportionalität ist dem EUGesetzgeber sehr wichtig gewesen“, verweist Anna Muri in diesem Kontext auf eine Reihe von DORAAusnahmeregelungen, die für Kleinstunternehmen (maximal zehn Beschäftigte und zwei Millionen Euro Bilanzsumme) gelten und das Ziel eines vereinfachten Risikomanagementrahmens verfolgen: „Es geht ja darum, einen gemeinsamen Raum zu schaffen, den Unternehmen mit unterschiedlichsten Größen und IT-Security-Reifegraden gleichzeitig bespielen können.“Ins DORA-Boot geholt werden in diesem Sinne auch besonders große Technologiekonzerne: „Verfehlungen können mit erheblichen Geldstrafen geahndet werden, Feststellungen der Behörden werden durchsetzbar. Es sollen schlussendlich alle auf Compliance hinarbeiten und an einem gemeinsamen Strang ziehen.“
Querschnittsmaterie
„DORA schlägt die Brücke zwischen IT und Geschäft. Die Führungsebenen sind angesprochen, mit IT-Verantwortlichen optimal zu kommunizieren. Nur gemeinsam kann herausgefunden werden, welche kritischen Bedrohungsfelder es gibt und welche Schutzmaßnahmen daraus abzuleiten sind“, sagt Florian Polt. Unternehmen sind angehalten, ihr Silodenken zu durchbrechen und agiler zu werden: „Bei uns ist das DORA-Implementationsprojekt kein reines IT-, aber auch kein reines Sicherheitsprojekt, sondern ein crossdimensionales Unterfangen.“Auch Robin Schmeisser betont die Relevanz der Einbindung aller Akteur:innen: „In Unternehmen gibt es unterschiedliche Stakeholder, die über die benötigten
Informationen verfügen. Ein wichtiger Aspekt ist das Abstimmen von Auslagerungs- und Informationsregistern, um Synergien zu schaffen und Redundanzen zu vermeiden.“Bei der Umsetzung unterstützt intelligente Software: „Ein smartes Datenmodell bildet digitale Prozesse ab, die sich an der Ablauforganisation des Finanzunternehmens orientieren. Aus der Datenbasis generiert das System automatisiert das Informationsregister gemäß den technischen Implementierungsstandards. Mit anderen Worten: ,Information at your fingertips‘“, so Schmeisser.
Dass gleich am 18. Januar 2025 alle betroffenen Unternehmen geprüft werden, kann laut Anna Muri schon allein aus behördlichen Ressourcengründen ausgeschlossen werden: „Man kann die Deadline so interpretieren, dass DORA am Stichtag in den aufsichtlichen Überprüfungsprozess überführt wird. Mit der Zeit werden dann vor Ort Prüfungen durchgeführt und es wird im Rahmen eines europaweit einheitlichen Vorgangs ein Supervisory Review and Evaluation Process (SREP) gestartet.“Dieser Überprüfungsund Bewertungsprozess wird von den Aufsichtsbehörden durchgeführt, um sicherzustellen, dass jedes Finanzunternehmen und jeder IKT-Dienstleister über Strategien, Verfahren, Kapital und Liquidität verfügt, die den Risiken angemessen sind. Die einheitliche Überprüfung der Risikoprofile dient als Grundlage bei der Entscheidung über etwaige erforderliche Aufsichtsmaßnahmen.
‘‘ Zu einer besonderen Herausforderung können im Rahmen von DORA auch die vorgesehenen Testverfahren werden, die der Überprüfung der digitalen operationalen Resilienz dienen.
Florian Polt Head of Group Security, UNIQA Insurance Group AG
‘‘ Der Finanzsektor ist in Sachen Cybersecurity vergleichsweise gut vorbereitet. Aber Hacker werden professioneller, die Möglichkeiten der künstlichen Intelligenz spielen dabei eine tragende Rolle.
Gerald Kogler Leitung Branchenteam für Versicherungen, EY Österreich