Die EU-Kommission sieht in den vielen nationalen Einzelregelungen zur IT- und Cyber-Security ein Problem für das Funktionieren der europäischen Wirtschaftsordnung. Ab 2022 soll der einheitliche Anforderungskatalog DORA für Klarheit sorgen. Ein Mammut-Job für die IT der Finanzdienstleister.

×

Vor einigen Wochen begann in den Vereinigten Staaten ein Prozess wegen Bankraubs, der schon allein aufgrund der Schadenshöhe großes Aufsehen erregte. Die drei Angeklagten sollen mehr als 100 Millionen US-Dollar erbeutet haben. Eine Bank physisch betreten - mit Maske und Revolver - haben sie dafür nie. Sämtliche Beutezüge waren Hacks, bei denen sie weltweit in Computersysteme von Finanzdienstleistern eindrangen, unter anderem auch ins SWIFT-Netzwerk. 

Doch um den Verantwortlichen für die Informations- und Kommunikationstechnologie (IKT) von Finanzdienstleistern Schweißperlen auf die Stirn zu treiben, reicht auch schon eine an sich banale technische Panne, wie beim mehrstündigen Ausfall der TARGET2-Systeme der Europäischen Zentralbank (EZB) im vergangenen Oktober.

Vorschriften gegen den Cyber-Kollaps

Um sowohl interne wie externe Bedrohungen der Funktionsfähigkeit des Finanzmarktes möglichst von vorneherein abzuwehren, haben nationale wie übernationale Gesetzgeber eine ganze Reihe von Vorschriften zur IKT-Sicherheit im Finanzsektor beschlossen. Die wichtigsten davon in der EU sind aktuell 

• die zweite Zahlungsdiensterichtlinie PSD2, 
• die EU-Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit, 
• der Cyber Security Act des Europäischen Parlaments, 
• die Cyber Resilience Oversight Expectations (CROE) der EZB 
• sowie auf der nationalen Seite die Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankenaufsichtlichen Anforderungen an die IT (BAIT).

Das Grundproblem europäischer IKT-Sicherheitsverantwortlicher: Wo steht was, und vor allem, was gilt denn für wen? Denn es kommt vor, dass in einer Vorschrift Dinge verpflichtend sind, die in einer anderen Regelung als optional gelten. Berichtspflichten fallen völlig verschieden aus und sogar grundlegende Definitionen weichen voneinander ab. 

Digital Operational Resilience Act soll für Einheitlichkeit sorgen

Die Europäische Kommission will diesen Zustand in einem einheitlichen Wirtschaftsraum nicht länger hinnehmen - auch vor dem Hintergrund der steigenden Abhängigkeit der Gesellschaft von einer funktionierenden IKT. In der Konsequenz hat die Kommission Ende 2020 den Entwurf des Digital Operational Resilience Act (DORA) veröffentlicht. Dieser fasst als Teil der Strategie zur Digitalisierung im Finanzsektor die Vielzahl unterschiedlicher Rechtsvorschriften zur IKT-Sicherheit in einem einzigen Rechtsakt konsistent zusammen. DORA soll langfristig die Betriebsstabilität operativer Systeme gewährleisten und verbessern, also die Unternehmen befähigen, sich auf alle denkbaren Störungen und Bedrohungen in der IKT vorzubereiten und Zwischenfälle robust zu überstehen. 

Der Kommissionsvorschlag durchläuft derzeit den üblichen Rechtssetzungsprozess und tritt voraussichtlich in der ersten Jahreshälfte 2022 in Kraft. Die betroffenen Finanzdienstleister müssen sich daher eilen, denn der Anpassungsbedarf ist hoch und die notwendigen Veränderungen zum Teil grundlegender Natur. Zunächst einmal kodifiziert DORA einige Grundsätze, die auch ihren Adressatenkreis definieren. Es gilt:

• Gleiche Tätigkeiten von Unternehmen bei gleichem Risiko sollen den gleichen Regeln unterliegen.
• Die Regulierungsbehörden in der EU erhalten eine einheitliche Verantwortung und identische Befugnisse.
• Risiken soll mit geltenden Standards und Praktiken im IKT-Sektor begegnet werden.

Danach wendet sich die Verordnung sechs Handlungsfeldern zu, in denen Anpassungen der bestehenden Rechtslage nötig sind:

1. Governance
2. IKT-Risikomanagement
3. Berichterstattung
4. Belastbarkeitstests
5. IKT-Risiken Dritter
6. Informationsaustausch

Schnittstellen zu Drittanbietern und Outsourcing besonders prüfen

Welche Veränderungen in den einzelnen Bereichen zu erwarten sind, wird bereits umrissen. Finanzdienstleister sollten sich die entsprechenden Passagen sehr genau ansehen, den eigenen Anpassungsbedarf initial einschätzen und darauf aufbauend die Arbeiten für die Zeit bis zum Inkrafttreten von DORA priorisieren. Die längsten Vorlaufzeiten dürften aller Wahrscheinlichkeit nach die notwendigen Änderungen in der Zusammenarbeit mit Drittanbietern in Anspruch nehmen, vermutlich gefolgt von den Themen Teststrategie, Governance, IKT-Risikomanagement und Berichterstattung.

Der künftige Fokus der Aufsichtsbehörden auf den sogenannten Third Party Providern (TPP) ist ein klarer Paradigmenwechsel. So besteht demnächst eine Pflicht, das Auslagerungsregister offenzulegen und kritische Auslagerungen proaktiv zu melden. Verträge mit TPP müssen so gestaltet sein, dass bei Eintreten bestimmter Kriterien eine vorzeitige Vertragsbeendigung möglich ist. Ja mehr noch, die Aufsicht kann im Extremfall die Vertragskündigung sogar anordnen. Institute müssen zudem eine Auslagerungsstrategie beschließen. Die Mindestinhalte der Verträge sind durch DORA klar geregelt.

Neubewertung der Risiken

Die meisten Finanzdienstleister werden also in dieser Hinsicht nicht um eine signifikante Neubewertung der Risiken herumkommen. Denn es wird explizit eine Bestimmung des Konzentrationsrisikos sowie eine Identifizierung kritischer Drittanbieter gefordert. Unter diese Definition fallen TPP, bei denen eine Betriebsstörung systemische Auswirkungen für das Finanzunternehmen hätte. IKT-Dienste, die mit entsprechenden Leistungen beauftragt werden, müssen ihren Sitz innerhalb der EU haben. Angesichts dieser massiven rechtlichen Veränderungen ist angeraten, das Unternehmen bereits jetzt ihre Vertragsübersichten in die Hand nehmen und mögliche kritische Fälle identifizieren. 

Eine wichtige Rolle spielt hierbei der Ausgliederungsbeauftragte: Die Einrichtung dieser Funktion findet sich zwar im Kapitel Governance, spielt aber aufgrund des Aufgabenbereichs auch im Bereich TPP eine Rolle. Die verpflichtende Ernennung eines Verantwortlichen hierfür ist neu und war bislang in keiner Vorschrift bindend gefordert. Auch wurde in diesem Bereich noch einmal klar umrissen, welche Verantwortlichkeiten der IKT-Sicherheit zwingend bei der Geschäftsleitung liegen:

• Festlegung der Risikotoleranz,
• Definition von Verantwortlichkeiten mit IKT-Bezug,
• Verabschiedung von Business Continuity- und Desaster Recovery-Plänen,
• Freigabe der Audit-Pläne,
• Vergabe angemessener Budgets,
• Verpflichtung, über Geschäfte mit Drittparteien und Störfälle ausreichend informiert zu sein.

Risikoschulung für das Management wird obligatorisch

Um diese Aufgaben sachgerecht wahrnehmen zu können, sind Mitglieder der Geschäftsleitung in Zukunft gesetzlich verpflichtet, sich über ihr sonstiges Sachgebiet hinaus grundlegend im Hinblick auf IKT-Risiken schulen zu lassen. Auch das geht deutlich über die bisherigen Fortbildungspflichten für das höhere Management hinaus.

Der Umfang der notwendigen To-Dos für eine zeit- und sachgerechte Umsetzung von DORA ist also immens und alle Marktakteure sind betroffen. Egal ob traditionelle Organisationen wie Banken, Versicherungen und Investmentgesellschaften oder Fin- und Bigtechs mit Zahlungsdiensten, Versicherungen und IT-Dienstleistungen im Angebot: Sie alle treffen mehr und qualitativ anspruchsvollere Penetrationstests, veränderte Berichtspflichten, eine Neuorganisation des IKT-Kontrollframeworks. Und die Zeit läuft.