A wie Anton,B wie Berta,
C wie Cäsar,
D wie Dora?
Wir kennen alle die Buchstabiertafel. In einem Artikel habe ich gelesen, dass es Bestrebungen gibt, die Personennamen durch deutsche Städtenamen zu ersetzen. Aus Dora soll Düsseldorf werden. Ob sich das allerdings praktisch durchsetzen würde – fraglich.
Beim Management von Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT-Risiken) wird uns DORA hingegen noch lange beschäftigen. Es handelt sich bei DORA nämlich um den Digital Operational Resilience Act (Verordnung zur Stärkung der digitalen operativen Resilienz). Als Teil der Strategie zur Digitalisierung des Finanzsektors – neben DORA gibt es weitere Verordnungen zu Kryptowerten und zum Massenzahlungsverkehr – soll der EU-Finanzsektor digitaler, einheitlicher, sicherer und verbraucherfreundlicher gestaltet werden.
Der Status Quo
Aktuell ist der EU-Finanzsektor von vielen uneinheitlichen Regelungen geprägt. So gibt es beispielsweise in Deutschland die BAIT für den Bankensektor und gleichzeitig die VAIT für Versicherungen. Auch über Ländergrenzen hinweg bestehen uneinheitliche Regularien. Zudem sind Vorschriften in den vergangenen zehn Jahren zu unterschiedlichen Zeitpunkten erarbeitet worden und behandeln IKT-Risiken dabei häufig nur mit untergeordneter Priorität. Als Konsequenz sind die Anforderungen an den Finanzsektor zur Eindämmung von IKT-Risiken fragmentiert und inkohärent und vor allem international tätige Banken bzw. Finanzdienstleister leiden unter uneinheitlicher Regulatorik.
Möglicherweise arbeiten Sie selbst in der Banksteuerung und kennen die Probleme, die sich daraus ergeben. Rechtsunklarheiten, komplexe Regulierung, hoher administrativer Aufwand und damit hohe finanzielle Kosten sind nur ein Teil der Schwierigkeiten.
Hier schafft DORA durch eine einheitliche, EU-weite Regelung zur Abwehr von IKT-Risiken Abhilfe.
Worum geht es in DORA?
In DORA werden verschiedene Themenbereiche behandelt, von denen ich vier näher vorstellen möchte.
Von der Governance wird gefordert, dass notwendige Mittel für die Cybersicherheit bereitgestellt werden und dass es klare Verantwortlichkeiten inklusive einer Rollen- und Rechtevergabe gibt. Zum IAM hat mein Kollege Andreas Bruckner bereits einen Blog-Eintrag geschrieben. Schauen Sie doch dort auch einmal vorbei (https://ppi-banking.xdev.zellwerk.net/von-der-pflicht-zur-kuer-so-nutzen-sie-die-bait-als-wettbewerbsvorteil/). Für die Einhaltung der IKT-Richtlinien ist zudem die Geschäftsleitung verantwortlich.
Die Anforderungen an das IKT-Risikomanagement beziehen sich auf spezifische Fähigkeiten und Funktionen, die Finanzunternehmen zukünftig erreichen beziehungsweise erfüllen müssen. Dazu zählen beispielsweise die Identifizierung von Bedrohungen, Angriffsprävention, Aufdeckung von Schwachstellen oder auch Wiederherstellungspläne. Verpflichtend ist hierbei die Verwendung von international anerkannten technischen Normen zur Prävention von IKT-Risiken.
Digitale operationelle Belastbarkeitstests zielen darauf ab, IKT-Systeme regelmäßig auf die Präventions-, Erkennungs-, Reaktions- und Wiederherstellungsfähigkeiten zu testen, um potenzielle IKT-Schwachstellen aufzudecken und zu beheben. Als mögliche Testarten listet DORA unter anderem Gap-Analysen, Quellcodeprüfungen, szenariobasierte Tests, End-to-End-Tests oder bedrohungsorientierte Penetrationstests auf. Insbesondere bei den Penetrationstests ist zudem besonders auf die Eignung der Prüfer zu achten.
Ein besonderes Augenmerk legt DORA auf das IKT-Drittrisiko. In der IKT-Strategie von Finanzunternehmen spielt die Auslagerung von digitalen Funktionen eine wichtige Rolle. Dadurch können diese sich auf ihre Kernkompetenzen konzentrieren. Funktionieren können Auslagerungen aber nur, wenn die Institute die Risiken weiterhin unter Kontrolle behalten. DORA hilft, prinzipienbasierte Regeln festzulegen, an denen sich Finanzinstitute bei der Überwachung von Risiken im Zusammenhang mit der Auslagerung von IKT-Dienstleistungen orientieren können und gibt z.B. Mindestanforderungen an die Vertragsgestaltung vor.
Mein Fazit
DORA wird meiner Meinung nach ein wichtiger Baustein zur Vereinheitlichung des EU-Finanzsektors sein und damit der weiteren Europäisierung im Finanzwesen dienen. Ich finde es gut, wenn in jedem EU-Land einheitliche Bedingungen gelten und jeder Wettbewerber den gleichen Regeln unterliegt. Die EU wächst erfreulicherweise immer weiter zusammen und auch der Finanzsektor soll diese bereits begonnene Entwicklung weiter gehen.
Ihre Meinung zu DORA interessiert mich ebenfalls. Was halten Sie von der Vereinheitlichung der Anforderungen an das IKT-Risikomanagement im Finanzsektor? Lassen Sie es mich gerne in den Kommentaren wissen.
Viele Grüße
Sebastian Nagel
