DORA-Verordnung: Wichtiges zur digitalen Betriebsfähigkeit & Cybersicherheit für Finanzunternehmen

In Zeiten von Cyberkriminalität werden die Sicherheit und Widerstandsfähigkeit des Finanzsektors zunehmend zur Priorität. Die EU hat reagiert und den Digital Operational Resilience Act (DORA) ins Leben gerufen, eine Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Cybersicherheit von Finanzunternehmen zu stärken. Doch was genau verbirgt sich hinter DORA und wie wird sie den Finanzsektor beeinflussen? Dieser Blogartikel bringt Licht ins Dunkel. Im Interview mit dem IT-Finanzmagazin erläutert Hendrik Fundermann, COO für den Geschäftsbereich Financial & Professional Services bei der d.velop AG, die Bedeutung und Auswirkungen des Digital Operational Resilience Acts (kurz DORA). Finde heraus, was Finanzunternehmen über die neue DORA-Verordnung wissen müssen und wie sie sich darauf vorbereiten können.

Die DORA-Verordnung im Überblick

Was verbirgt sich hinter der DORA-Verordnung und wie wirkt sie sich auf den Finanzsektor aus?

Beim Digital Operational Resilience Act (DORA) handelt es sich um eine Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit (Resilienz) von Unternehmen im Finanzsektor zu stärken und das Vertrauen der Verbraucher und Investoren in die Finanzmärkte zu wahren. Da sie als EU-Verordnung formuliert wurde, ist sie unmittelbar gültig und muss nicht erst noch in nationales Recht überführt werden. Die DORA-Verordnung schafft ein kohärentes europäisches Regelwerk für die digitale Betriebsfähigkeit sowie Cybersicherheit im Finanzsektor und setzt strenge Anforderungen an die Institute, um sicherzustellen, dass sie gut vorbereitet sind, um auf digitale Störungen und Sicherheitsvorfälle zu reagieren. Finanzunternehmen sollten sich daher intensiv mit den Anforderungen der DORA-Verordnung auseinandersetzen und sicherstellen, dass sie diese erfüllen. Es gilt jedoch zu berücksichtigen, dass vor allem auch die deutsche Aufsicht mit den BAIT, VAIT etc. in Verbindung mit den MaRisk und dem KGW bereits diverse Rahmenwerke geschaffen hat, auf die sehr gut aufgebaut werden kann.

Aus welchen Beweggründen und mit welchem Ziel ist die DORA-Verordnung entstanden?

Hinter der DORA-Verordnung steht der Präventionsgedanke, auf den die europäische Bankenaufsicht besonderen Wert legt. DORA wurde mit den folgenden Hauptzielen entwickelt:

1. Cybersicherheit und digitale Widerstandsfähigkeit: DORA zielt darauf ab, die Cybersicherheit im Finanzsektor zu stärken. Denn der Finanzsektor ist ein attraktives Ziel für Cyberkriminelle aufgrund der großen Mengen an finanziellen Daten und Transaktionen, die er verwaltet. Die Bedrohungen im Zusammenhang mit Cyberangriffen und digitalen Störungen haben in den letzten Jahren erheblich zugenommen. Hinzu kommen systemische Risiken. Ein schwerwiegender Cybersicherheitsvorfall in einem Finanzunternehmen kann schließlich nicht nur das betroffene Unternehmen, sondern auch das gesamte Finanzsystem destabilisieren.
2. Harmonisierung und Standardisierung: DORA soll ein kohärentes europäisches Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor schaffen. Dies soll sicherstellen, dass Finanzunternehmen in der gesamten EU ähnlichen Anforderungen genügen und so die regulatorische Fragmentierung reduzieren.
3. Vorbereitung und Reaktion: Außerdem geht es um die Verbesserung der Vorbereitung und Reaktion. So soll die DORA-Verordnung Finanzunternehmen dazu anhalten, besser auf digitale Störungen und Sicherheitsvorfälle vorbereitet zu sein und effektiv auf diese reagieren zu können.
4. Vertrauenswürdigkeit und Verbraucherschutz: Nicht vergessen werden darf zuletzt das Thema Vertrauenswürdigkeit und Verbraucherschutz. Der Finanzsektor spielt eine entscheidende Rolle im Leben der Menschen und Unternehmen und ist für die Aufbewahrung von Ersparnissen, Investitionen und Zahlungsverkehr verantwortlich. Die Gewährleistung der Sicherheit und Vertrauenswürdigkeit des Finanzsektors ist von grundlegender Bedeutung, um das Vertrauen der Verbraucher und Investoren aufrechtzuerhalten.

Wer ist von der DORA-Verordnung betroffen und bis wann muss sie umgesetzt werden?

Wer muss sich nun konkret mit der Regulatorik auseinandersetzen?

Grundsätzlich zielt die Verordnung auf das europäische Finanzsystem ab. In Deutschland betrifft dies in erster Linie alle von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) regulierten Unternehmen. Dazu gehören:

• Banken und Versicherungsgesellschaften
• Wertpapierfirmen, wie beispielsweise Broker
• Zahlungsdienstleister, einschließlich E-Geld-Institute
• Kreditinstitute und Finanzdienstleister gemäß BaFin-Regulierung

Zudem wird DORA zukünftig auch IKT-Unternehmen (d.h. Unternehmen aus der Informations- und Kommunikationstechnologie) sowie deren Funktionen nach ihrer Kritikalität einstufen. Die Aufsichtsbehörden behalten sich also das Recht vor, systemrelevante Anbieter (sog. kritische IKT-Dienstleister) und Anbieter von als kritisch/wichtig eingestuften Funktionen unmittelbar in den Fokus zu rücken und einer direkten Aufsicht durch die Aufsichtsbehörden zu unterziehen. Zusätzlich wird ein zentrales Melderegister für Vorfälle bzw. Anbieter implementiert. Dies bedeutet, dass ebenfalls alle IKT-Dienstleister, die den Financial-Service-Markt in Europa adressieren, sich der DORA-Verordnung und ihrer Auswirkung auf die eigenen Systeme bewusst sein sollten.

Und bis wann ist DORA umzusetzen?

Wie bei derartigen Verordnungen üblich, gibt es auch bei DORA eine Timeline, die es Finanzunternehmen ermöglicht, die nötigen Schritte zur Einhaltung umzusetzen. So ist die Verordnung zwar bereits zum 17.01.2023 in Kraft getreten, allerdings findet ihre tatsächliche Anwendung erst zum 17.01.2025 statt.

Synergien zwischen DORA und NIS2

Ein weiteres Thema, das den Finanzsektor aktuell umtreibt, ist NIS2. Lassen sich die beiden Dinge in einem Rutsch umsetzen oder hier zumindest Synergien heben?

Es bestehen Synergien bei der Umsetzung von DORA und NIS2, der Cybersicherheitsrichtlinie der Europäischen Union, insbesondere in Bezug auf die Cybersicherheit und digitale Resilienz. Denn obwohl es sich um separate Gesetzgebungen handelt, verfolgen sie in Teilen gemeinsame Ziele. Beide fordern Unternehmen auf, robuste Sicherheitsmaßnahmen zu implementieren, Risikoanalysen durchzuführen und sicherheitsrelevante Vorfälle zu melden. Die Unterschiede liegen hauptsächlich im Anwendungsbereich: DORA ist speziell auf den Finanzsektor ausgerichtet, während NIS2 eine breitere Palette von Sektoren abdeckt. Unternehmen sollten daher sicherstellen, dass sie die spezifischen Anforderungen jeder Gesetzgebung verstehen und entsprechende Maßnahmen zur Einhaltung ergreifen.

Die Rolle der IT-Dienstleister in Bezug auf DORA

Was können IT-Dienstleister wie d.velop dazu beitragen? Und können Sie jeder Bank oder Versicherung helfen oder setzt dies bestimmte Systemumgebungen voraus?

In erster Linie ist es unsere Aufgabe, für die DORA-Readiness unserer eigenen Produkte und Lösungen zu sorgen, sodass unsere Kunden mit Blick auf die notwendige Prüfung der eigenen Systemlandschaft die d.velop Systeme mit ruhigem Gewissen betrachten können. Das sieht für die d.velop bereits heute, nach ersten Konsultationen unabhängiger Experten, schon sehr gut aus und entspricht somit unserem Selbstverständnis als europäischer Softwarehersteller mit einem den höchsten regulatorischen Ansprüchen entsprechendem Produktportfolio. So setzt z.B. mit der BaFin der oberste Regulator der deutschen Finanzindustrie unternehmensweit auf Lösungen aus dem Hause d.velop.

Ist die DORA-Verordnung denn für Sie ein Türöffner bei Banken und Versicherungen – und sorgt das dafür, dass Banken ihre IT-Strategie in regulatorischer Hinsicht auf den Prüfstand stellen?

Regulatorik ist kein Problem, sondern eine Chance. Der Digital Operational Resilience Act ist ein wichtiger Schritt, um die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor zu stärken. Obwohl die DORA-Verordnung eine Herausforderung für Finanzunternehmen sein kann, bietet sie auch eine Chance, veraltete Strukturen aufzubrechen und in moderne, skalierbare Cloud-Anwendungen zu investieren. Softwareanbieter, wie die d.velop, können dabei eine entscheidende Rolle spielen, um bei der Umsetzung von DORA zu unterstützen.