Digital Operational Resilience Act: Steigende Anforderungen an die Cyber-Sicherheit im Finanzsektor

Die Anforderungen lassen sich in vier zentrale Schwerpunkte unterteilen:  

• Risikomanagement 
  Die Verordnung sieht für betroffene Finanzunternehmen die Etablierung eines Risikomanagements zur Bewältigung von IKT-Risiken vor. Sie betont die Verantwortung der Geschäftsleitung für die Definition, Genehmigung und Umsetzung des Risikomanagementrahmens, was die unternehmensbezogenen Informations- und Kommunikationstechnologien direkt in die Unternehmensstrategie einbettet. Zusätzlich ist ein umfassendes Business-Continuity-Management einzuführen. Diese Anforderungen sind bereits aus MaRisk und BAIT bekannt –werden jedoch durch DORA konkretisiert.  

• IKT-Vorfallmeldewesen 
  IKT-bezogene Vorfälle sind künftig anhand eines Überwachungsprozesses zu protokollieren und im Falle von schwerwiegenden Ereignissen an die Aufsichtsbehörde zu melden. Der Prozess soll der frühzeitigen Identifikation, Behandlung und Beobachtung von Sicherheitslücken dienen. DORA vereinheitlicht bereits geltende Berichtspflichten für Finanzdienstleister.  

• Tests der digitalen operationalen Resilienz 
  Die operationale Resilienz und insbesondere die digitale Betriebsstabilität ist durch geeignete Verfahren jährlich auf ihre Funktionsfähigkeit zu prüfen sowie bei Mängeln umgehend wiederherzustellen. Abhängig von Risikoprofil und Unternehmensgröße kommen unterschiedliche Anforderungen an die Testverfahren zum Tragen, beispielsweise Penetrationstests, Kompatibilitäts- oder Leistungstests. Mit der Umsetzung von DORA kommt eine Erweiterung der Frequenz und Intensität solcher Resilienztests auf die Finanzdienstleister der EU zu. 

• Outsourcing und IKT-Drittparteirisikomanagement 
  Unter DORA werden auch die mit Outsourcing einhergehenden Risiken aufgegriffen. Für Auslagerungsverträge werden beispielsweise wesentliche Vorgaben hinsichtlich einer Vertragsbeendigung gemacht.  IKT-Drittanbieter, die von den European Supervisory Authorities (ESAs) als kritisch eingestuft werden, unterliegen mit der neuen Verordnung bestimmten Dokumentations- und Prüfungspflichten, die bei Verstößen zu Zwangsgeldern führen können.  

Die Fülle an neuen Anforderungen, welche durch DORA auf den Finanzsektor zukommen, machen eine umgehende Planung konkreter Maßnahmen und deren zeitnahe Umsetzung unabdingbar. Stetig zunehmende Cyberrisiken, insbesondere in kritischen Sektoren, machen eine Einbettung von IKT-Risiken und -Plänen in die gesamte Unternehmensstrategie notwendig. Dies erfordert eine ganzheitliche Analyse unter Berücksichtigung technischer, finanzieller und juristischer Perspektiven.  

Baker Tilly steht Ihnen bei der Bewertung und Umsetzung der DORA-Vorschriften mit einem auf Ihre Unternehmenssituation zugeschnittenen Assessment zur Seite. Je nach Reifegrad Ihrer digitalen und betrieblichen Widerstandsfähigkeit bieten wir Ihnen ein DORA Readiness Assessment oder ein umfangreiches Audit, zum Beispiel auch im Rahmen der Jahresabschlussprüfung.