Digital Operational Resilience Act (DORA): Herausforderungen und Lösungen für den Finanzsektor

Cyberkriminalität nimmt zu, besonders betroffen sind Unternehmen des Finanzsektors. Mit der EU-Verordnung DORA sollen die digitale Betriebsstabilität gestärkt und systemische IT-Risiken signifikant reduziert werden. Ein Expert:innen-Talk über erhöhte Sorgfalts- und Berichtspflichten im Rahmen eines komplexer werdenden Risikomanagements, das rund 22.000 Finanzunternehmen in Europa betrifft.

Ganz gleich, welche der zahlreichen Studien zum Thema Cybersicherheit in Unternehmen herangezogen wird, die Schlüsselaussage lautet immer: Cyberkriminalität nimmt konstant zu. Die KPMG-Studie „Cybersecurity in Österreich 2023“ zeigt beispielsweise auf, dass die Zahl der Cyberangriffe gegenüber dem Vorjahr um 201 Prozent angestiegen ist. Attackiert wurde jedes einzelne der 903 befragten Unternehmen. Auch in Deutschland schätzen mit dem Thema betraute Führungskräfte das Risiko digitaler Angriffe auf ihr eigenes Unternehmen so hoch wie nie zuvor ein. Für die EY Datenklaustudie 2023 wurden 509 Personen aus der Geschäftsführung, der Leitung Konzernsicherheit oder der Leitung IT-Sicherheit von Unternehmen verschiedenster Größe gefragt. Fast drei von vier Befragten sagen, das Gefährdungsrisiko für das eigene Unternehmen habe sich in den vergangenen beiden Jahren erhöht. Alle rechnen damit, dass die Gefahr, Opfer von Cyberangriffen und Datenklau zu werden, in Zukunft weiter zunehmen wird.

Finanzbranche im Fokus

Besonders betroffen sind weltweit Unter­nehmen aus der Finanzbranche. Um diese und ihre Kunden künftig besser schützen zu können, hat die EU den Digital Operational Resilience Act (DORA) verabschiedet. Ziel der EU-Verordnung, die am 16. Januar 2023 in Kraft getreten ist (Umsetzungsfrist: 17. Januar 2025), ist die Stärkung der digitalen Betriebsstabilität des europäischen Finanzsektors sowie die Reduktion systemischer IT-Risiken. Der Act gilt für al­le Arten von Finanzinstituten (Banken, Versicherer, Wertpapierdienstleister, Rating­agenturen, Pensionskassen etc.) und für IT-Drittanbieter (Cloud-Computing-Services, SaaS-Anbie­ter, Rechenzentren etc.). Betroffen sind in der EU mehr als 22.000 Finanzunternehmen und IKT-Dienstleister, die damit verpflichtet werden, Systeme aufzubauen, die Angrif­fe nicht nur frühzeitig erkennen und bekämpfen sollen. Die geforderten Maßnahmen müssen auch lückenlos dokumentiert werden. Aus ­DORA ergeben sich somit erhöhte Sorg­falts- und Berichtspflichten. Dazu zählen unter anderem eine revisionssi­chere Dokumentation von Auslage­rungen, gesetzeskonforme Verträge und jederzeitige Auskunftsfähigkeit.

Geänderte Bedrohungslage

Wie gut ist die Finanzbranche auf die neuen Herausforderungen vorbereitet? „Das hängt von der Cyber-Maturity, also vom Reifegrad jedes einzelnen Unternehmens ab. Grundsätzlich kann man aber sagen, dass es um die IT-Governance bei Finanzunternehmen, und da insbesondere bei Banken, gut bestellt ist“, sagt Anna Muri, Senior-Spezialistin für IT-Risiko-Aufsicht der Finanzmarktaufsicht (FMA). Dies gilt laut Florian Polt, Head of Group Security der UNIQA Insu­rance Group AG, in der Regel auch für Versicherer: „Aufgrund der großen IT-Abhängigkeit von Versicherungsunternehmen ist deren IT-Governance-Modell zumeist weiter entwickelt als etwa in der Industrie.“ Zugleich müsse man aber zur Kenntnis nehmen, dass die Qualität der Cyberangriffe stetig steigt und sich somit die Gefahrenlage verschärft. Das betont auch Gerald Kogler, Leiter des Branchenteams für Versicherungen bei EY Österreich: „Der Finanzsektor ist zwar vergleichsweise gut vorbereitet. Aber Hacker werden professioneller, die Möglichkeiten der künstlichen Intelligenz spielen dabei eine tragende Rolle.“ Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH, bestätigt: „Studien zeigen, dass Deepfake-Angriffe mit täuschend echten Bildern, Stimmen oder Videos, die mithilfe künstlicher Intelligenz erstellt werden, im Vormarsch sind.“

»Als Finanzmarktaufsicht setzen wir auf proaktive Kommunikation. Man kann davon ausgehen, dass jeder Finanzdienstleister, der von DORA betroffen ist, davon auch Kenntnis hat.«

Anna Muri

Senior-Spezialistin für IT-Risiko-Aufsicht, Finanzmarktaufsicht (FMA)

IKT-Drittrisiken managen

Einig sind sich die Expert:innen darin, dass sich die meisten Unternehmen des Finanzsektors der Gefahrenlage bewusst und auf die Anforderungen von DORA vorbereitet sind. „Die Unternehmen haben in der Regel bereits Kontakt mit dem Regulator aufgenommen. Als Finanzmarktaufsicht setzen wir zudem auf proaktive Kommunikation. Man kann also davon ausgehen, dass jeder Finanzdienstleister, der von DORA betroffen ist, davon auch Kenntnis hat“, so Anna Muri. Neue Herausforderungen gibt es dennoch, was vor allem mit dem DORA-Themenschwerpunkt der IT-Auslagerung zu tun hat. Eines der zentralen Ziele besteht nämlich darin, einen geeigneten Rahmen für ein solides Management von IKT-Dritt­risiken zu schaffen. Finanzunternehmen bleiben nach der Verordnung jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen durch die von ihnen beauftragten IKT-Drittdienstleister verantwortlich: „Um DORA-konform zu werden, müssen Finanzunternehmen ihre bestehenden Verträge kontrollieren, mit ihren Partnern sprechen, Ergänzungsvereinbarungen schließen und sämtliche Details zu ihren IKT-Dienstleistern inklusive deren Lieferketten im Informationsregister nachweisbar und jederzeit abrufbar vorhalten“, so Robin Schmeisser. Da sich die Daten, die es zu reporten gilt, aus den Verträgen ergeben, sieht er das automatisierte Management der Verträge mit IKT-Drittdienstleistern als Notwendigkeit zur fristgerechten Umsetzung der Berichtspflichten und zur Vorbereitung auf aufsichtsrechtliche Prüfungen.  

»Das automatisierte Management der Verträge mit IKT-Drittdienstleistern ist eine Notwendigkeit zur Umsetzung der Berichtspflichten und Vorbereitung auf aufsichtsrechtliche Prüfungen. «

Robin Schmeisser

Geschäftsführer, Fabasoft Contracts GmbH

Regelmäßige Resilienztests

„Zur Herausforderung können auch die vorgesehenen Verfahren werden, die der Überprüfung der digitalen operationalen Resilienz dienen“, sagt Florian Polt. So sind IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich auf operationale Resilienz zu testen. Die Tests umfassen z. B. Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen (soweit durchführbar), szenariobasierte Tests oder Penetrationstests. Dabei ist sicherzustellen, dass diese von unabhängigen, internen oder externen Parteien durchgeführt werden. Auch wenn die Behörde begleitend zur Seite steht, stellen die geforderten Testläufe einen nicht einfach zu handhabenden Prozess dar. „Grundsätzlich sind diese Tests im Sinne eines effizienten Risikomanagements zu begrüßen. Bei kleineren Unternehmen kann dies allerdings zu einer besonderen Herausforderung werden. Das gilt natürlich auch für die Dokumentationserfordernisse, die aus dem Cyber Incident Reporting erwachsen“, so Gerald Kogler. Schwierigkeiten für kleine und mittelständische Unternehmen sieht auch Robin Schmeisser: „Was die Dokumentationspflichten betrifft, ist der administrative Aufwand nicht zu unterschätzen. Insbesondere, da die Ressourcen in Unternehmen häufig eng und bereits gebunden sind. Je höher die Automatisierung der IT-Governance, der Prozesse sowie der Dokumentensteuerung, desto leichter gelingt die Umsetzung der gesetzlichen Anforderungen.“

»Der Finanzsektor ist in Sachen Cybersecurity vergleichsweise gut vorbereitet. Aber Hacker werden professioneller, die Möglichkeiten der künstlichen Intelligenz spielen dabei eine tragende Rolle.«

Gerald Kogler

Leitung Branchenteam für Versicherungen, EY Österreich

„Proportionalität ist dem EU-Gesetzgeber sehr wichtig gewesen“, verweist Anna Muri in diesem Kontext auf eine Reihe von DORA-Ausnahmeregelungen, die für Kleinstunternehmen (maximal zehn Beschäftigte und zwei Millionen Euro Bilanzsumme) gelten und das Ziel eines vereinfachten Risikomanagementrahmens verfolgen: „Es geht ja darum, einen gemeinsamen Raum zu schaffen, den Unternehmen mit unterschiedlichsten Größen und IT-Security-Reifegraden gleichzeitig bespielen können.“ Ins DORA-Boot geholt werden in diesem Sinne auch besonders große Technologiekonzerne: „Verfehlungen können mit erheblichen Geldstrafen geahndet werden, Feststellungen der Behörden werden durchsetzbar. Es sollen schlussendlich alle auf Compliance hinarbeiten und an einem gemeinsamen Strang ziehen.“

Querschnittsmaterie

„DORA schlägt die Brücke zwischen IT und Geschäft. Die Führungsebenen sind angesprochen, mit IT-Verantwortlichen optimal zu kommunizieren. Nur gemeinsam kann herausgefunden werden, welche kritischen Bedrohungsfelder es gibt und welche Schutzmaßnahmen daraus abzuleiten sind“, sagt Florian Polt. Unternehmen sind angehalten, ihr Silodenken zu durchbrechen und agiler zu werden: „Bei uns ist das DORA-Implementationsprojekt kein reines IT-, aber auch kein reines Sicherheitsprojekt, sondern ein crossdimensionales Unterfangen.“ Auch Robin Schmeisser betont die Relevanz der Einbindung aller Akteur:innen: „In Unternehmen gibt es unterschiedliche Stakeholder, die über die benötigten Informationen verfügen. Ein wichtiger Aspekt ist das Abstimmen von Auslagerungs- und Informationsregistern, um Synergien zu schaffen und Redundanzen zu vermeiden.“ Bei der Umsetzung unterstützt intelligente Software: „Ein smartes Datenmodell bildet digitale Prozesse ab, die sich an der Ablauforganisation des Finanzunternehmens orientieren. Aus der Datenbasis generiert das System automatisiert das Informationsregister gemäß den technischen Implementierungsstandards. Mit anderen Worten: ,Information at your fingertips‘“, so Schmeisser. 

»Zu einer besonderen Herausforderung können im Rahmen von DORA auch die vorgesehenen Testverfahren werden, die der Überprüfung der digitalen operationalen Resilienz dienen.«

Florian Polt

Head of Group Security, UNIQA Insurance Group AG

Dass gleich am 18. Januar 2025 alle betroffenen Unternehmen geprüft werden, kann laut Anna Muri schon allein aus behördlichen Ressourcengründen ausgeschlossen werden: „Man kann die Deadline so interpretieren, dass DORA am Stichtag in den aufsichtlichen Überprüfungsprozess überführt wird. Mit der Zeit werden dann vor Ort Prüfungen durchgeführt und es wird im Rahmen eines europaweit einheitlichen Vorgangs ein Supervisory Review and Evaluation Process (SREP) gestartet.“ Dieser Überprüfungs- und Bewertungsprozess wird von den Aufsichtsbehörden durchgeführt, um sicherzustellen, dass jedes Finanzunternehmen und jeder IKT-Dienstleister über Strategien, Verfahren, Kapital und Liquidität verfügt, die den Risiken angemessen sind. Die einheitliche Überprüfung der Risikoprofile dient als Grundlage bei der Entscheidung über etwaige erforderliche Aufsichtsmaßnahmen.