Ihr Ansprechpartner

Stefan Bauer

Die Regulierung im Finanzsektor nimmt – insbesondere seit der globalen Finanzkrise im Jahr 2008 – kontinuierlich zu. Ein wesentlicher Grund sind die weiterhin immensen Schäden durch Cyberkriminalität (148 Mrd. Euro jährlich allein in Deutschland)[1].

Mit der EU-Verordnung „DORA“ (Digital Operational Resilience Act), die am 16.01.2023 in Kraft gesetzt wurde, rollt die nächste Regulierungswelle auf Finanzunternehmen zu. DORA soll bestehende nationale Regelungen zum Risikomanagement für IKT (Informations- und Kom­munikationstechnologien) im Finanzsektor innerhalb der EU vereinheitlichen, um den Finanz­markt gegen Cyberrisiken und IKT-Störungen widerstandsfähiger zu machen. Die Regelung soll ab 17.01.2025 angewendet werden.

Für Finanzunternehmen bedeutet das: DORA wird die Anforderungen aus MaRisk/BAIT bzw. VAIT noch einmal deutlich verschärfen. Hinzu kommt eine Detaillierung der Anforderungen in Form von verpflichtenden technischen Regulierungsstandards (RTS) und technischen Durch­führungsstandards (ITS) durch die European Supervisory Authorities (EBA, EIOPA, ESMA) bis Mitte 2024.

Im Folgenden geben wir einen Überblick über wesentliche Aufwandstreiber für die Umsetzung der regulatorischen Anforderungen aus DORA.

Wesentliche Aufwandstreiber in der Umsetzung von DORA

Wir haben im Rahmen eines detaillierten Abgleichs von DORA gegenüber MaRisk/BAIT bzw. VAIT insbesondere die in Abbildung 1 genannten Anforderungen als Aufwandstreiber für die Umsetzung identifiziert.

Wesentliche Aufwandstreiber von DORA
Abbildung 1 – Wesentliche Aufwandstreiber von DORA

Betrachten wir nun diese Aufwandstreiber in den folgenden Abschnitten etwas näher.

IKT-Risikomanagement (DORA Kap. II)

Neben der Erstellung eines umfassenden IKT-Risikomanagementrahmens (u.a. Strategie zur digitalen operationalen Resilienz, Leit- und Richtlinien, Verfahren sowie IKT-Protokollen und
-Tools) wird insbesondere die geforderte Integration des IKT-Risikomanagements in das Gesamtrisikomanagement hohe Aufwände bei den Beteiligten in Risikomanagement, Compliance und Revision (für die geforderte Prüfung durch unabhängige Dritte) erzeugen.

Die Anforderung, stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und
-Tools einzusetzen, wird nur mit einem entsprechenden Lebenszyklusmanagement umzu­setzen sein. Gut aufgestellte Finanzdienstleister setzen dies bereits seit Jahren als Erweiterung ihres IT-Assetmanagements ein. Wer jetzt erst damit startet, sollte daran denken, dass der Hauptaufwand nicht in der Einführung eines Tools, sondern in der initialen Datenerhebung und nachfolgend in der Fortschreibung nach einem zu definierenden Aktualisierungsprozess liegt.

Die Konkretisierung der Schutzbedarfsanalyse für IKT-Risiken verlangt, dass Prozesse über die Grenze zu IKT-Dienstleistern hinweg betrachtet werden. DORA unterscheidet dabei nicht zwischen „IT-Auslagerung“ und „sonstigem Fremdbezug von IT-Dienstleistungen“, wodurch die Anzahl einzubeziehender IKT-Dienstleister und damit der Aufwand nicht unbeträchtlich steigen dürfte.

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (DORA Kap. III)

Die geforderte umgehende Erkennung und Klassifizierung aller IKT-bezogenen Vorfälle er­fordert das Aufsetzen eines entsprechenden Prozesses mit Einbezug des Security Operations Centers (Erkennung) und IKT-Risikomanagements (Klassifizierung).

Die verlangte detaillierte Aufzeichnung aller Tätigkeiten vor und während eines IKT-bezogenen Vorfalls wird – neben der Definition eines entsprechenden Prozesses – eine tool­gestützte und automatisierte Umsetzung erfordern. Der Aufwand für die technische Imple­mentierung hängt u.a. vom Reifegrad des eingesetzten SIEM (Security Information and Event Management) und den vorhandenen Möglichkeiten zur Erfassung und revisionssicheren Protokollierung aller Tätigkeiten ab.

Die Meldepflichten werden erweitert um die Meldung der geschätzten aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende IKT-bezogene Vorfälle verursacht wurden. Bei schwerwiegenden IKT-Vorfällen ist ein detailliertes Reporting an die Aufsichtsbehörde sowie Information der betroffenen Kunden gefordert. Neben den entsprechenden Prozessen müssen die Rollen und Verantwortlichkeiten definiert werden.

Im Rahmen der Klassifizierung sind auch die wirtschaftlichen Auswirkungen (namentlich direkte und indirekte Kosten und Verluste) des jeweiligen IKT-bezogenen Vorfalls zu ermitteln.

Testen der digitalen operationalen Resilienz (DORA Kap. IV)

DORA unterscheidet zwischen Tests von IKT-Tools und -Systemen und erweiterten Tests auf Basis von Threat Led Penetration Testing (TLPT).

Bei Ersteren ist erwähnenswert, dass diese u.a. auch Schwachstellenscans, Open-Source-Analysen und Quellcodeprüfungen sowie Penetrationstests enthalten sollen. Das sollte bereits heute gängige Praxis sein, bspw. Schwachstellenanalysen durch Level-3-Analysten des Security Operations Centers und Pentests durch unabhängige Dritte.

Bei den neu hinzukommenden erweiterten Tests (TLPT) aller kritischen oder wichtigen Funktionen sind die jeweiligen IKT-Dienstleister einzubeziehen, was ein übergreifendes Test­management erfordert. Es versteht sich von selbst, dass bedrohungsorientierte Penetra­tionstests gegen das Produktivsystem auszuführen sind. Die Testinhalte sind von der Aufsichtsbehörde zu genehmigen und die Testergebnisse zum Erhalt einer Bescheinigung vorzulegen. Entsprechend aufwändig sind die Planung, Durchführung und revisionssichere Dokumentation dieser alle drei Jahre geforderten Tests.

Threat Led Penetration Tests können auch durch interne Tester durchgeführt werden, jeder dritte TLP-Test muss jedoch durch externe Tester erfolgen. Tester müssen dafür spezifisches Fachwissen nachweisen (bspw. Bedrohungsanalyse, Penetrationstests und Red-Team-Tests) und über eine Berufshaftpflichtversicherung verfügen. Der Einsatz interner Tester muss zudem durch die Aufsichtsbehörde genehmigt werden. Neben den Aufwänden für die (Teil-) Auslagerung der Tests an externe Dienstleister sind dabei auch Qualifizierungs­maßnahmen für interne Tester einzuplanen.

Management des IKT-Drittparteienrisikos (DORA Kap. V)

DORA stellt im Vergleich zu BAIT bzw. VAIT weitergehende Anforderungen an die Inhalte von IKT-Dienstleisterverträgen. So ist beim Bezug von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen neben einer Exit-Klausel bspw. auch eine Klausel darüber zu vereinbaren, dass Verträge nicht aufgrund einer Umstrukturierung gekündigt, ausgesetzt oder geändert werden können. Diese und weitere Detaillierungen erfordern eine Überprüfung und ggf. Anpassung aller betroffenen Verträge, was mit deutlichem Aufwand für die Rechts­abteilung einhergehen dürfte.

Detailregelungen RTS und ITS lassen weitere Aufwände erwarten

Die regulatorischen Anforderungen aus DORA werden derzeit noch in verpflichtenden tech­nischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) kon­kretisiert und bis 17.01.2024 bzw. 17.07.2024 finalisiert. Die Übersicht in Abbildung 2 zeigt die Themenfelder und deren Fertigstellungstermine.

Technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS)
Abbildung 2 – Technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS)

Die RTS und ITS enthalten u.a. Detaillierungen

  • zu erweiterten Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT (Threat Led Penetration Testing),
  • zum Management des IKT-Drittparteienrisikos, wie Vorgaben für ein Register inkl. dessen Befüllung, zu internen Richtlinien sowie zur Unterauslagerung von kritischen oder wichtigen Funktionen,
  • zur Klassifizierung von IKT-bezogenen Vorfällen (bspw. Schwellenwerte zur Bestimmung schwerwiegender IKT-Vorfälle und Cyberbedrohungen) und
  • zur Berichtspflicht, Meldeterminen, einheitlichen Meldeformaten für schwerwiegende IKT-Vorfälle sowie Mitteilung wesentlicher Cyberbedrohungen,

die von Finanzunternehmen in der Umsetzung zu berücksichtigen sind.

Vor der Veröffentlichung der RTS und ITS kann noch nicht abgeschätzt werden, welche Aufwände für die Umsetzung aus diesen Detaillierungen resultieren werden, insbesondere für TLPT dürften diese jedoch aufgrund der Komplexität und des Umfangs mit vielen einzu­beziehenden Beteiligten (inkl. IKT-Dienstleister) nicht gering ausfallen.

Fazit

Die aufgezeigten Aufwandstreiber und die schiere Anzahl an Verschärfungen und Detaillierun­gen der aufsichtsrechtlichen Anforderungen aus DORA sind es, die Finanzunternehmen vor allem vor kapazitative Herausforderungen in der Umsetzung stellen werden. Davon sind neben der IT vor allem Risikomanagement, Compliance, Revision sowie die Rechtsabteilung betroffen.

Wie hoch die Welle der neuen Anforderungen aus DORA für das jeweilige Institut wird, hängt insbesondere auch vom bisher erreichten Reifegrad der Umsetzung MaRisk/BAIT bzw. VAIT und der Ausstattung mit den erforderlichen Ressourcen für die Umsetzung ab.

Daher ist ein vorbereitender Schritt, der sofort angegangen werden sollte, eine Standortbestimmung (Gap-Analyse) der Umsetzung BAIT bzw. VAIT, um die „Absprungbasis“ für die Umsetzung von DORA zu kennen. Parallel dazu sollten in Arbeit befindliche Umset­zungen regulatorischer Vorgaben hinsichtlich der Überschneidung mit DORA geprüft werden, um Doppelarbeiten zu vermeiden.

Auf Basis dieser Vorarbeiten kann unmittelbar mit der Umsetzungsplanung für DORA begonnen und eine Ressourcenplanung für die IT und die genannten Fachabteilungen durch­geführt werden, um sicherzustellen, dass die Umsetzung von DORA nicht zu einem Anforderungsstau bei der Umsetzung wichtiger Vorhaben führt.


[1] Vgl. Bitkom Presseinformation vom 01.09.2023

Ihr Ansprechpartner

Stefan Bauer
DataNavigator
Eine Künstliche Intelligenz (KI) ist nur so gut wie die Daten, die zum Training der KI verwendet werden. Sören Bey
DataNavigator
Der richtige Umgang mit Daten kann ein entscheidender Wettbewerbsvorteil im Retail Payment sein. Stefan Schnitzler erläutert in unserer Reihe DataNavigator
DataNavigator
Kann der Einsatz von Künstlicher Intelligenz die Erfüllung der Anforderungen an die Nachhaltigkeitsberichterstattung erleichtern? Tomislav Bisic und Simon Wilmerding schildern