Die Verordnung über die digitale operationale Resilienz (DORA) verstehen

Die Verordnung über die digitale operationale Resilienz ist eine Verordnung der Europäischen Union (EU), die regelt, wie Finanzinstitute und ihre Partner im Bereich der Informations- und Kommunikationstechnologie (IKT) mit Cyberrisiken umgehen sollen. Sie schafft einen verbindlichen Aufsichtsrahmen und legt technische Standards fest, die EU-Finanzeinrichtungen und ihre Dienstleister in ihren IKT-Systemen umsetzen müssen.

Die Europäische Kommission schlug die DORA-Verordnung im September 2020 vor, und das Europäische Parlament verabschiedete sie zwei Jahre später. Am 17. Januar 2024 schließlich veröffentlichten die Europäische Bankenaufsichtsbehörde (EBA), die Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) die endgültigen technischen Standards. Am selben Tag trat die DORA-Verordnung offiziell in Kraft.

Nun hatten EU-Finanzeinrichtungen und IKT-Dienstleister bis zum 17. Januar 2025 Zeit, ihre DORA-Anforderungen zu erfüllen. Jeder EU-Mitgliedstaat ist für die Durchsetzung der Vorschriften verantwortlich. Eine benannte Regulierungsbehörde, eine so genannte „zuständige Behörde“, kann Einrichtungen auffordern, bestimmte Sicherheitsmaßnahmen zu ergreifen und bekannte Schwachstellen zu beseitigen. 

Bei Nichteinhaltung sind die Strafen hoch. IKT-Dienstleister, die von der Europäischen Kommission als „kritisch“ eingestuft werden, werden von „Lead Overseers“ beaufsichtigt. Diese Organisationen können Anbieter, die sich nicht an die Vorschriften halten, mit Geldbußen von bis zu 1 % ihres durchschnittlichen weltweiten Tagesumsatzes im vorangegangenen Geschäftsjahr bestrafen.

Welche Auswirkungen haben die DORA-Anforderungen auf Ihre Organisation?

Die DORA-Verordnung wirkt sich am unmittelbarsten auf Organisationen aus, die Finanzdienstleistungen in der Europäischen Union anbieten. Dazu gehören Banken, Kreditgenossenschaften, Wertpapierfirmen, Versicherungsgesellschaften und andere Arten von Finanzinstituten. Doch das ist noch nicht alles.

Auch IKT-Dienstleister unterliegen der DORA-Compliance. Mit anderen Worten: Jedes Technologieunternehmen, das IKT-Systeme für den EU-Finanzsektor bereitstellt, muss sich an dessen Vorschriften halten. Im Rahmen der DORA-Verordnung schließt dies auch jeden IKT-Anbieter ein, der zwar außerhalb der EU ansässig ist, aber dennoch unter die Rechtsprechung der EU fällt.

Nehmen wir an, Ihr Unternehmen hat seinen Sitz in den Vereinigten Staaten und bietet Cloud-Dienste und Datenanalysen für österreichische Kunden an. In diesem Fall muss Ihr Unternehmen eine Tochtergesellschaft in der EU gründen, um eine effektive Governance zu ermöglichen.

Laut PricewaterhouseCoopers (PwC) gilt die DORA-Verordnung für über 22.000 Finanzunternehmen und IKT-Dienstleister. Als technischer Regulierungsstandard legt DORA zahlreiche betriebliche Anforderungen fest. Wir werden diese später ausführlicher behandeln, aber im Großen und Ganzen sind dies folgende:

• Die betroffenen Organisationen müssen eine umfassende Strategie für die digitale operationale Resilienz entwickeln, die Risikobewertungen für die Cybersicherheit, Pläne für die Geschäftskontinuität und Protokolle für die Reaktion auf Vorfälle umfasst.
• Einrichtungen sind verpflichtet, bedeutende Vorfälle, die ihren digitalen Betrieb betreffen, unverzüglich den nationalen Behörden zu melden, um eine koordinierte Reaktion in der gesamten EU zu gewährleisten.
• Finanzinstitute müssen die Risiken im Zusammenhang mit ihren externen IKT-Anbietern steuern und überwachen. Hierzu gehören die Durchführung von Due-Diligence-Prüfungen und die Sicherstellung, dass die Anbieter die vertraglichen Anforderungen erfüllen.
• Einrichtungen müssen den Rahmen für die operationale Resilienz regelmäßig überprüfen, um Schwachstellen zu ermitteln und zu beheben.
• Einrichtungen müssen über Governance-Strukturen verfügen, bei denen die Geschäftsleitung und der Vorstand für die Überwachung der Resilienz und die Einhaltung der Vorschriften verantwortlich sind.
• DORA ermutigt Organisationen zum Austausch von Bedrohungsdaten und bewährten Verfahren, um das operative Risikomanagement gemeinsam zu verbessern.

Warum ist die DORA-Verordnung nötig?

Die Finanzdienstleister sind gefährdet. Die DORA-Verordnung zielt darauf ab, die Cyber-Resilienz auf zwei Arten zu stärken:

1. IKT-Risikomanagement für Finanzinstitute in großem Maßstab
2. Vereinheitlichung der Vorschriften für das Risikomanagement in einem kohärenten Rahmen

Bisher konzentrierten sich die EU-Vorschriften vor allem darauf, sicherzustellen, dass Finanzunternehmen über genügend Kapital verfügen, um operationelle Risiken und Störungen abzudecken. Einige Aufsichtsbehörden veröffentlichten Leitlinien für das IKT-Risikomanagement, die jedoch nicht für alle Einrichtungen in gleicher Weise galten. Außerdem basierten sie auf allgemeinen bewährten Verfahren und nicht auf technischen Standards.

Ohne einen einheitlichen Aufsichtsrahmen erließ jeder EU-Mitgliedstaat seine eigenen Vorschriften. Dadurch entstand ein Labyrinth unzusammenhängender Vorschriften, in dem sich grenzüberschreitende Unternehmen nur schwer zurechtfinden konnten.

Die DORA-Verordnung löst dieses Problem mit einem technischen Regulierungsstandard für alle betroffenen Einrichtungen, unabhängig davon, wo sie in der EU tätig sind. Durch die Vereinheitlichung des Risikomanagements im Finanzsektor minimiert die DORA-Verordnung die Verwirrung und legt die Messlatte für IKT-Sicherheit, operatives Risikomanagement und Geschäftskontinuität höher.

Was ist Cyber-Resilienz?

Die DORA-Verordnung soll die „Cyber-Resilienz“ der beaufsichtigten Finanzeinrichtungen stärken. Dieser Begriff umfasst die Fähigkeit einer Organisation, die betriebliche Integrität und Geschäftskontinuität bei Störungen wie Datenschutzverletzungen und Cyberangriffen aufrechtzuerhalten. 

Kontinuität ist vor allem im Finanzsektor von entscheidender Bedeutung, wo die IKT-Systeme eine Schlüsselrolle dabei spielen, wie die Verbraucher auf ihr Geld zugreifen und es verwalten. Laut ESMA sind die Finanzdienstleistungen mittlerweile stark abhängig von digitalen Technologien, um das Tagesgeschäft abzuwickeln. Diese Abhängigkeit wiederum hat das Cyberrisiko exponentiell erhöht.

Schon ein einziger IKT-Vorfall kann erhebliche Auswirkungen auf die kritischen Infrastrukturen haben. Wenn Risiken nicht richtig gehandhabt werden, kann die Erbringung von Finanzdienstleistungen gestört werden, was sich auf andere Einrichtungen, Sektoren und sogar die europäische Wirtschaft insgesamt auswirken kann.

Stellen Sie sich ein Szenario vor, bei dem die Handelsplattform einer Investmentbank während eines Denial-of-Service-Angriffs offline geht. Dies würde nicht nur die Erfahrung der Endnutzer stören, sondern könnte die Kunden auch viel Geld auf dem Markt kosten.

Erschwerend kommt hinzu, dass geopolitische Ereignisse staatlich gesponserte Angreifer und skrupellose Hacktivisten auf den Plan gerufen haben, die es auf Finanzdienstleistungen abgesehen haben. Russlands Krieg in der Ukraine beispielsweise inspirierte pro-russische Cyberkriminelle zu einem Angriff auf die Netzwerkinfrastruktur der Europäischen Investitionsbank im Jahr 2023. Glücklicherweise beeinträchtigte der Vorfall nur kurzzeitig die Verfügbarkeit der Website der Bank.

Der umfassende Rahmen der DORA-Verordnung ist auf fünf Säulen aufgebaut. Jede dieser Säulen befasst sich mit einem anderen Aspekt der Cyber-Resilienz und des Risikomanagements, doch in Kombination bilden sie die Grundlage für einen starken und sicheren Finanzsektor.

1. IKT-Risikomanagement und -Governance

Gemäß Artikel 6 sollen die Leitungsorgane über einen „soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen“ verfügen, der sie in die Lage versetzt, Cyberrisiken zu mindern und die operationale Resilienz auf einem Niveau zu gewährleisten, das ihren geschäftlichen Anforderungen, ihrer Größe und ihrer Komplexität entspricht. Führungskräfte, die dies nicht tun, können persönlich für die Non-Compliance haftbar gemacht werden.

Generell müssen Organisationen über Systeme verfügen, die die Geschäftskontinuität im Falle eines IKT-Vorfalls gewährleisten. Risikomanagementrahmen sollten Strategien, Richtlinien, Verfahren und Instrumente zum Schutz physischer Komponenten und digitaler Infrastrukturen vor unbefugtem Zugriff oder Schäden umfassen.

Darüber hinaus sind die Unternehmen zu Folgendem verpflichtet:

• Abbildung ihrer IKT-Systeme, um kritische Anlagen, Funktionen und Abhängigkeiten zwischen Anbietern zu ermitteln
• Regelmäßige Risikobewertungen ihrer IKT-Systeme, um Cyberbedrohungen zu dokumentieren, zu klassifizieren und sich darauf vorzubereiten
• Analysen der Auswirkungen auf das Geschäft, um zu verstehen, wie schwerwiegende Unterbrechungen den Betrieb beeinträchtigen könnten
• Implementierung geeigneter Cybersicherheitsmaßnahmen, wie Tools zur Identitäts- und Zugriffsverwaltung (IAM), automatische Systeme zur Erkennung von Bedrohungen usw.
• Erstellung von Plänen für die Geschäftskontinuität und zur Notfallwiederherstellung bei Cyberangriffen, Serviceausfällen und Naturkatastrophen
• Durchführung von Überprüfungen nach Vorfällen, um aus vergangenen Ereignissen zu lernen und kontinuierliche Verbesserungen zu erzielen

2. Melden von Vorfällen

Artikel 15 verpflichtet die Finanzeinrichtungen, einen IKT-bezogenen Vorfallmanagement-Prozess einzurichten und umzusetzen. Insbesondere müssen die Organisationen Frühwarnsysteme einrichten, um Vorfälle so schnell wie möglich zu erkennen, zu entschärfen und zu melden. Außerdem müssen sie Prozesse zur Überwachung von Vorfällen während und nach dem Vorkommnis einrichten, damit die Teams die Ursachen ermitteln und beseitigen können.

Und gemäß Artikel 16–20 müssen Organisationen Folgendes tun:

• IKT-bezogene Vorfälle anhand der Kriterien, die für die verschiedenen Auswirkungsstufen gelten, klassifizieren
• Erstellung einer gemeinsam nutzbaren Vorlage oder eines Verfahrens für die Meldung von Vorfällen an die Aufsichtsbehörde
• Endnutzer und Kunden über einen schwerwiegenden Vorfall sowie über alle Maßnahmen zur Abmilderung seiner Folgen unverzüglich informieren
• Ereignisse bis zum Ende des Arbeitstages oder innerhalb von vier Stunden nach Beginn des nächsten Arbeitstages (wenn der Vorfall innerhalb von zwei Stunden nach Ende des vorangegangenen Arbeitstages eintritt) melden

Die DORA-Verordnung verlangt von Einrichtungen die Einreichung drei verschiedener Arten von Berichten:

1. Einen ersten Bericht zur Benachrichtigung der Behörden
2. Einen Zwischenbericht, zur Mitteilung der Fortschritte bei der Lösung des Vorfalls
3. Einen Abschlussbericht zur Analyse der Ursachen des Vorfalls und deren Behebung

3. Tests zur digitalen operationalen Resilienz

Die DORA-Verordnung legt einige grundlegende Anforderungen an die Resilienztests fest. Die Durchführung von Tests ermöglicht es Organisationen, ihre Vorbereitung auf IKT-bezogene Vorfälle zu bewerten, Schwachstellen zu erkennen und Abhilfemaßnahmen zu ergreifen.

Gemäß Artikel 21 müssen Einrichtungen Folgendes tun:

• Ein Testprogramm einrichten, das ihrer Größe, ihrem Geschäft und ihrem Risikoprofil entspricht
• Eine Reihe von Bewertungen, Tests, Methoden und Tools einsetzen
• Einen risikobasierten Ansatz verfolgen, der die sich entwickelnde Landschaft der IKT-Risiken berücksichtigt
• Sicherstellen, dass die Tests von unabhängigen Parteien durchgeführt werden
• Alle entdeckten Probleme und Schwachstellen priorisieren, klassifizieren und vollständig beheben
• Alle kritischen IKT-Systeme und -Anwendungen mindestens einmal jährlich testen

Darüber hinaus heißt es in Artikel 23, dass Finanzeinrichtungen mindestens alle drei Jahre bedrohungsorientierte Penetrationstests durchführen sollten. Diese zielen auf ein höheres Maß an Risikoexposition ab, wie z. B. die zugrundeliegenden IKT-Prozesse, die kritische Funktionen und Dienstleistungen unterstützen (einschließlich derer, die an einen Dienstleister ausgelagert wurden).

4. Management der mit Dritten verbundenen Risiken

Die DORA-Verordnung erwartet von Finanzunternehmen, dass sie die mit Dritten verbundenen Risiken aktiv managen und bei der Aushandlung vertraglicher Vereinbarungen die operationale Resilienz im Auge behalten. Im Einzelnen legt die DORA-Verordnung die folgenden Regeln für das Management der mit Dritten verbundenen Risiken fest:

• Die Finanzeinrichtungen müssen ein Register mit Informationen über die vertraglichen Vereinbarungen mit IKT-Drittdienstleistern führen.
• Unternehmen müssen den zuständigen Behörden mindestens einmal pro Jahr mitteilen, wie viele neue Verträge sie mit IKT-Lieferanten abgeschlossen haben.
• Die Einrichtungen sollten bei der Bewertung von Verträgen mit der gebotenen Sorgfalt vorgehen, indem sie alle relevanten Risiken und potenziellen Interessenkonflikte ermitteln. Sie müssen auch Bedingungen zu Ausstiegsstrategien, Audits und Leistungszielen für Zugänglichkeit und Sicherheit aushandeln.
• Die Rechte und Pflichten der Finanzeinrichtung und des IKT-Drittdienstleisters sollten zugewiesen und schriftlich festgelegt werden, so dass sie beiden Parteien zugänglich sind. 
• Kritische IKT-Anbieter unterliegen der direkten Aufsicht durch eine zuständige Aufsichtsbehörde.

Gemäß der Verordnung ist es Einrichtungen untersagt, Verträge mit IKT-Firmen abzuschließen, die die entsprechenden technischen Standards nicht erfüllen. Die zuständigen Behörden können sogar Vereinbarungen aussetzen oder kündigen, die nicht den Anforderungen entsprechen.

5. Austausch von Informationen

Obwohl dies nicht strikt durchgesetzt wird, ermutigt die DORA-Verordnung auch zur Zusammenarbeit zwischen vertrauenswürdigen Finanzeinrichtungen, in der Hoffnung, Folgendes zu erreichen:

• Sensibilisierung für IKT-bezogene Risiken
• Minimierung der Verbreitung von IKT-Bedrohungsvektoren
• Austausch von Abwehrtechniken, Abhilfestrategien und Bedrohungsdaten

Die DORA-Verordnung ist eine von mehreren EU-Richtlinien, die sich mit Cyber-Resilienz und digitaler Sicherheit befassen. Die überarbeitete Verordnung über Netzwerk- und Informationssysteme (NIS 2) überschneidet sich stark mit der DORA-Compliance, so dass sich einige fragen, welche Richtlinien sie befolgen müssen.

Im September 2023 hat die Europäische Kommission das Verhältnis klargestellt zwischen den beiden Rechtsakten. Entscheidend ist, dass die DORA-Verordnung sektorspezifisch ist und sich hauptsächlich auf Finanzdienstleistungsorganisationen auswirkt. Bei der NIS 2 handelt es sich dagegen um einen umfassenderen Rechtsrahmen, der kritische Infrastrukturen wie Energie und Verkehr abdeckt.

Gemäß Artikel 4 Absätze 1 und 2 der NIS-Richtlinie gelten die DORA-Bestimmungen anstelle der Bestimmungen der NIS 2. Das bedeutet, dass die DORA-Verordnung für Finanzeinrichtungen Vorrang hat, zumindest wenn es um das IKT-Risikomanagement, die Meldung von Vorfällen und Resilienztests geht.

Die DORA-Verordnung legt die Messlatte für das Risikomanagement hoch, was bedeutet, dass es nicht leicht sein wird, die Anforderungen zu erfüllen. Zum Glück gibt es einen klaren Weg, den Sie einschlagen können, um damit zu beginnen:

1. Führen Sie eine Lückenanalyse durch: Eine erste Lückenanalyse umfasst die Bewertung des gesamten Unternehmensprofils von oben bis unten, die Bestimmung des Cyber-Reifegrads und das Verstehen des bestehenden Risikomanagementrahmens. Anhand dieser Übung können Sie feststellen, inwieweit Ihre derzeitigen Prozesse und Verfahren aktualisiert werden sollten.
2. Schreiben Sie IKT-Schulungen vor: Am besten ist es, ein fortlaufendes Schulungsprogramm für alle Mitarbeiter – einschließlich der Führungskräfte – zu erstellen. Führungskräfte haften bei DORA-Non-Compliance. Sorgen Sie also dafür, dass jeder über die neuesten IKT-Sicherheitsbedrohungen informiert und wachsam ist.
3. Prüfen Sie Verträgen mit Dritten: Ein tiefer Einblick in Ihre vertraglichen Vereinbarungen kann Ihnen helfen, die Abhängigkeiten von IKT-Anbietern zu verstehen. Im Gegenzug können Sie Sicherheitsmaßnahmen zum Schutz dieser Verbindungen identifizieren und priorisieren. Machen Sie eine Bestandsaufnahme aller Verträge, einschließlich der Verträge mit Cloud-Dienstleistern, Softwareanbietern und anderen IKT-Systemen. Stellen Sie dann sicher, dass sie Bestimmungen enthalten, die mit den DORA-Anforderungen übereinstimmen.

Stärkung der Cyber-Resilienz mit Entrust

Überlassen Sie die DORA-Compliance nicht dem Zufall. Unabhängig davon, ob Sie eine Finanzeinrichtung oder ein ICT-Anbieter sind, bietet das Entrust-Portfolio alles, was Sie brauchen, um Ihre Verteidigung zu stärken und kritische Infrastrukturen zu schützen.

Unsere Lösungen umfassen Folgendes:

• Hardware-Sicherheitsmodule (HSMs): nShield-HSMs bieten eine sichere Umgebung für die Erzeugung, Verwaltung und den Schutz von kryptografischen Schlüsseln, die für die Datenverschlüsselung und sichere Kommunikation entscheidend sind.
• Verwaltung der Cloud-Sicherheitslage Die Sicherheitsplattform Entrust CloudControl hilft Ihnen, Ihre hybriden Cloud-Umgebungen zu schützen, indem sie es einfach macht, Konfiguration und Compliance auf einem einzigen Bildschirm zu identifizieren, zu korrigieren und darüber zu berichten.
• Schlüsselverwaltung: Die Schlüsselverwaltung ist für die Gewährleistung der Vertraulichkeit und Integrität von Daten und Finanztransaktionen unerlässlich. Entrust KeyControl hilft Ihnen bei der Verwaltung von kryptographischen Assets während ihres gesamten Lebenszyklus und verhindert so den unautorisierten Zugriff auf ICT-Systeme.
• Identitäts- und Zugriffsverwaltung: Entrust Identity as a Service ist eine intelligente Plattform, die Benutzerauthentifizierung, Autorisierung und Zugangskontrolle optimiert. Treten Sie mit Ihren Kunden über sichere Portale, Identitätsüberprüfung und mehr in Kontakt.
• Public Key Infrastructure (PKI): Entrust PKI hilft, einen Rahmen für sichere Kommunikation und Authentifizierung zu schaffen, indem digitale Zertifikate zur Verifizierung von Entitäten und zur Verschlüsselung von Daten verwendet werden.