DORA-DAY – 17.01.2025 – jetzt wirds ernst … doch Unklarheiten bleiben

Mit dem endgültigen Inkrafttreten des Digital Operational Resilience Act (DORA) heute am 17. Januar 2025 stehen Finanzinstitute in der gesamten EU vor der Aufgabe, ihre Cybersicherheit und operative Widerstandsfähigkeit maßgeblich zu stärken. DORA führt umfassende Anforderungen ein, die von der Meldung von Sicherheitsvorfällen bis zum Management von Risiken entlang der Lieferkette reichen. DOCH: Letzte technische Details sind selbst zum Stichtag noch nicht bekannt.

Einmal mehr noch zum Hintergrund: Mit der DORA-Verordnung (Digital Operational Resilience Act, zum Gesetzestext via BaFin) verfolgt die Europäische Kommission das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen.

DORA verlagert den Schwerpunkt von der Gewährleistung der finanziellen Widerstandsfähigkeit von Finanzunternehmen.”

Finanzinstitute müssen künftig die Aufrechterhaltung eines widerstandsfähigen Betriebs im Falle einer schwerwiegenden Betriebsunterbrechung, die die Sicherheit des Netzes und der Informationssysteme gefährden könnte, sicherstellen. Denn durch steigende Cyberangriffe ist es für Finanzunternehmen notwendiger denn je, sich auf Vorfälle vorzubereiten und Maßnahmen zur Stärkung der Cyber-Resilienz einzuführen.

DORA: Eine für alle, doch Details fehlen

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.

Doch gibt es nach wie vor noch nicht definierte Lücken: Ein Kernpunkt ist das Management von Drittparteienrisiken.

Finanzunternehmen müssen sowohl interne IKT-Risiken steuern als auch Gefahren durch Drittanbieter und deren Subunternehmer berücksichtigen.”

Für das Vertragsmanagement mit Dienstleistern sollten daher die noch ausstehenden Vorgaben zur Unterauftragsvergabe zügig finalisiert werden.

Auch die Überwachung von sogenannten kritischen IKT-Dienstleistern, die eine besondere Relevanz für den Finanzsektor haben, könnte effizienter gestaltet werden, wird teilweise bemäkelt. Während in der Vergangenheit die Finanzunternehmen für deren Überwachung verantwortlich waren, sollen künftig auch die europäischen Aufsichtsbehörden Informations-, Kontroll- und Prüfrechte ausüben.

Fazit

Die neue DORA-Verordnung bietet deutschen Banken und Finanzinstituten große Chancen, sich durch strenge Richtlinien zur digitalen Resilienz und IT-Sicherheit einen Wettbewerbsvorteil in Europa zu sichern, denn Deutschland zeichnet sich im europäischen Vergleich durch ein hohes Maß an regulatorischen Vorgaben und Sicherheitsauflagen aus. Dies verleiht den deutschen Finanzinstituten ein besonderes Maß an Sicherheit und Vertrauen, das auch für ausländische Investoren und Kunden attraktiv ist. dk