Mit der zunehmenden Digitalisierung im Finanzsektor steigt auch die Abhängigkeit von Informationstechnologien und Kommunikationstechnologien (IKT). Diese Entwicklung hat zahlreiche Vorteile, wie die Steigerung der Effizienz und die Erweiterung der Dienstleistungsangebote. Gleichzeitig erhöht sie jedoch auch die Anfälligkeit für IT-Störungen und Cyberangriffe, die die Stabilität des Finanzsystems gefährden können. Vor diesem Hintergrund wurde der Digital Operational Resilience Act (DORA) als Teil der Bemühungen der Europäischen Union eingeführt, um die IT-Sicherheit und die betriebliche Widerstandsfähigkeit im Finanzsektor zu stärken.
In diesem Beitrag werden die Bedeutung und die wichtigsten Aspekte von DORA erläutert. Besonderes Augenmerk wird dabei auf die spezifischen Anforderungen an Verträge mit Drittanbietern von IKT-Dienstleistungen gelegt.
Ziel und Anwendungsbereich von DORA
Mit der Verabschiedung des Digital Operational Resilience Act (DORA) am 16. Januar 2023, der am 17. Januar 2025 vollständig in Kraft treten wird, setzt die Europäische Union einen entscheidenden Schritt zur Stärkung der Cybersicherheit und zur Bewältigung von IKT-Risiken im gesamten EU-Finanzmarkt. Das primäre Ziel dieses Regelwerks ist es, eine einheitliche Behandlung dieser Risiken zu gewährleisten, um die Sicherheit, Stabilität und Resilienz des Finanzsystems in einer Zeit zu sichern, in der die Bedrohungen durch Cyberangriffe stetig zunehmen und die Abhängigkeit von digitalen Technologien weiter wächst.
DORA adressiert die Notwendigkeit einer harmonisierten Regulierungslandschaft, die es Finanzunternehmen ermöglicht, selbst unter extremen Bedingungen operationell widerstandsfähig zu bleiben. Die Verordnung erstreckt sich über ein breites Spektrum von Entitäten innerhalb des Finanzsektors, einschließlich Banken, Versicherungen, Wertpapierfirmen und anderen Finanzdienstleistungsunternehmen, sowie IKT-Drittdienstleistern, die mit diesen zusammenarbeiten. Der umfassende Anwendungbsereich soll gewährleisten, dass die Resilienzpraktiken und Sicherheitsmaßnahmen in der gesamten EU auf einem gleichmäßigen Schutzniveau gegenüber den vielfältigen Bedrohungen in der digitalen Landschaft sind.
Adressaten von DORA
DORA richtet sich wie bereits angedeutet an eine breite Palette von Akteuren innerhalb des Finanzsektors, um die digitale Widerstandsfähigkeit und Sicherheit in diesem Bereich zu stärken, Zu den Hauptadressaten der Regulierung gehören:
- Banken und Kreditinstitute: Diese sind verpflichtet, die Anforderungen von DORA umzusetzen, um die Resilienz ihrer digitalen Infrastrukturen und Prozesse zu sichern und somit die Kontinuität ihrer Dienstleistungen unter allen Umständen zu gewährleisten.
- Versicherungsunternehmen: Analog zu Banken sind Versicherer aufgefordert, ihre IT-Systeme und Betriebsabläufe so zu gestalten und zu pflegen, dass sie den strengen Vorgaben von DORA gerecht werden, was den Schutz der Kundendaten und die Aufrechterhaltung der Dienstleistungsverfügbarkeit betrifft.
- Finanzmarktteilnehmer: Darunter fallen auch Börsen, Wertpapierfirmen und andere Marktteilnehmer, die essenzielle Finanzdienstleistungen bereitstellen. Sie alle müssen sicherstellen, dass ihre Technologie und ihre Betriebsprozesse den durch DORA vorgegebenen Resilienzstandards entsprechen.
- Zahlungsdienstleister: Unternehmen, die Zahlungsdienstleistungen anbieten, sind ebenfalls von DORA betroffen. Sie müssen ihre Systeme und Prozesse so ausrichten, dass sie den Anforderungen an die operationale Widerstandsfähigkeit genügen.
- Finanztechnologie-Unternehmen (Fintechs): Unternehmen, die Finanzdienstleistungen mithilfe neuer Technologien anbieten oder unterstützen, müssen ebenfalls die DORA-Richtlinien befolgen, um die Sicherheit und Stabilität ihrer Angebote zu gewährleisten.
- Asset-Management-Unternehmen: Manager von Vermögenswerten und Fonds sind verpflichtet, die Vorgaben von DORA einzuhalten, was die Sicherheit und Resilienz ihrer operativen und informatiktechnischen Systeme angeht.
Kernbereiche von DORA
Die Verordnung sieht eine Umsetzungsfrist von zwei Jahren vor, die bis Januar 2025 läuft. In dieser Zeit müssen Finanzunternehmen Maßnahmen ergreifen, um den Anforderungen von DORA zu entsprechen. Dazu gehört beispielsweise die Aktualisierung ihrer IKT-Systeme, die Optimierung von Prozessen und die Schulung von Mitarbeitern, um die neuen Anforderungen zu erfüllen.
DORA deckt verschiedene Aspekte ab, darunter das IKT-Risikomanagement nach Art. 5-16, die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle nach Art. 17-23, das Testen der digitalen operationellen Resilienz einschließlich Threat-Ied Penetration Testing (TLPT) nach Art. 24-27, das Management des IKT-Drittparteirisikos nach Art. 28-30, der Überwachungsrahmen für kritische IKT-Drittdienstleister nach Art. 31 -44 sowie die Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen nach Art. 44 und Art. 49. Diese Bereiche sind wesentlich, um eine konsistente und effektive Risikobewältigung im Finanzsektor zu gewährleisten.
Spezifische Anforderungen an Verträge mit Drittanbieter-IKT-Dienstleistern
Ein wichtiger Aspekt von DORA sind die spezifischen Anforderungen an Verträge mit Drittanbietern von IT-Dienstleistungen. Diese Anforderungen müssen in das Vertragsmanagement von Finanzinstituten integriert werden. Diese Anforderungen sollen sicherstellen, dass die Finanzinstitute in die Lage versetzt werden, die Risiken, die von diesen externen Dienstleistern ausgehen, zu überwachen und zu kontrollieren.
Zu den wichtigsten Anforderungen gehören:
- Klar definierte Leistungsstandards: Verträge sollten klare Leistungsstandards und -ziele beinhalten, die von den Dienstleistern erfüllt werden müssen.
- Überwachungs- und Berichtspflichten: Es muss festgelegt werden, wie die Leistung der Dienstleister überwacht und berichtet wird.
- Reaktionspläne bei Sicherheitsvorfällen: Verträge müssen Regelungen für das Vorgehen bei Sicherheitsverletzungen oder anderen Vorfällen enthalten.
- Kündigungsrechte und Sanktionen: Bei Nichteinhaltung der vereinbarten Standards müssen klare Kündigungsrechte und Sanktionen definiert sein.
- Datenschutz und -sicherheit: Es müssen angemessene Maßnahmen zum Schutz und zur Sicherheit der Daten vereinbart werden.
- Audit-Rechte: Finanzunternehmen sollten das Recht haben, Audits bei den Dienstleistern durchzuführen, um die Einhaltung der Anforderungen zu überprüfen.
Anwendung auf die Blockchain-Technologie
Die Anwendung des Digital Operational Resilience Act auf die Blockchain-Technologie stellt für Finanzinstitute, die dezentrale Blockchain-Netzwerke für den Zahlungsverkehr nutzen, eine besondere Herausforderung dar. Durch DORA sollen die IT-Sicherheit und die betriebliche Widerstandsfähigkeit von Finanzunternehmen gestärkt werden.
Für die Implementierung von Blockchain-Technologien müssen daher spezifische Sicherheits- und Resilienzanforderungen berücksichtigt werden.
Sicherheit der Blockchain-Infrastruktur
Die Sicherheit der Blockchain-Infrastruktur ist von zentraler Bedeutung. Es ist erforderlich, regelmäßige Überprüfungen der Sicherheitsprotokolle durchzuführen, um Schwachstellen im Netzwerk zu identifizieren und zu beheben. Dazu gehört die Überwachung von Knotenpunkten im Netzwerk, die Implementierung von Verschlüsselungsverfahren zur Sicherung der Datenübertragung und die Gewährleistung der Widerstandsfähigkeit des Netzwerks gegenüber potenziellen Cyberangriffen. Obwohl die dezentrale Natur der Blockchain inhärente Sicherheitsvorteile durch Redundanz und Verteilung bietet, erfordert sie eine spezielle Herangehensweise an die Sicherheit, um das Gesamtsystem zu schützen.
Management von Smart Contracts
Die Sicherheit und Resilienz von Smart Contracts, die in Blockchain-Netzwerken verwendet werden, müssen gewährleistet sein. Smart Contracts automatisieren die Ausführung von Verträgen unter vordefinierten Bedingungen und erhöhen so Effizienz und Transparenz. Unter DORA wird gefordert, dass Smart Contracts gründlich auf potenzielle Sicherheitslücken geprüft werden und in einer Weise entwickelt werden, die unerwartete Auswirkungen oder Manipulationen verhindert. Die Durchführung von unabhängigen Audits zur Überprüfung und Validierung von Smart Contracts kann als wirksames Mittel angesehen werden, um ihre Sicherheit und Funktionalität zu gewährleisten.
Datenintegrität und -schutz
Die Gewährleistung der Datenintegrität und des Schutzes sensibler Kundendaten innerhalb der Blockchain wird als weiterer wesentlicher Aspekt betrachtet. Blockchain-Netzwerke speichern Daten auf eine Weise, die nachträgliche Änderungen äußerst schwierig macht, was die Integrität der Daten unterstützt. Dennoch müssen Maßnahmen ergriffen werden, um den Schutz persönlicher und finanzieller Informationen der Kunden zu gewährleisten und die Einhaltung von Datenschutzbestimmungen sicherzustellen. Dies beinhaltet die Anonymisierung sensibler Daten, die Verwendung von Technologien zum Schutz der Privatsphäre und die Einhaltung der rechtlichen Rahmenbedingungen zum Datenschutz.
Sie brauchen rechtliche Unterstützung? Kontaktieren Sie uns für eine kostenlose Erstberatung oder rufen Sie uns an.
Folgen für IKT-Drittdienstleister in der Finanzbranche
Für IKT-Drittdienstleister, die mit Finanzinstituten zusammenarbeiten, hat DORA erhebliche Auswirkungen.
Erhöhte Anforderungen an die Sicherheit | IKT-Drittdienstleister müssen sicherstellen, dass ihre Dienste und Produkte den hohen Sicherheitsstandards von DORA entsprechen. Dies kann zusätzliche Investitionen in Sicherheitstechnologien und -protokolle erfordern. |
Vertragliche und Compliance-Verpflichtungen | IKT-Drittdienstleister müssen möglicherweise ihre Verträge und Service-Level-Agreements (SLAs) überarbeiten, um die Einhaltung der DORA-Anforderungen zu gewährleisten. |
Regelmäßige Audits und Bewertungen | IKT-Drittdienstleister können regelmäßigen Audits und Bewertungen unterzogen werden, um sicherzustellen, dass sie die DORA-Standards einhalten. |
Zusammenarbeit mit Regulierungsbehörden | IKT-Drittdienstleister müssen möglicherweise eng mit Aufsichtsbehörden zusammenarbeiten, um Compliance zu demonstrieren und über etwaige Sicherheitsvorfälle zu berichten. |
Risikomanagement | Die Implementierung und Aufrechterhaltung eines effektiven Risikomanagementsystems wird für IKT-Drittdienstleister unerlässlich sein, um potenzielle Bedrohungen und Schwachstellen proaktiv zu identifizieren und zu steuern. |
Höhere Betriebskosten | Die Einhaltung der DORA-Vorschriften kann zu höheren Betriebskosten führen, da Investitionen in Technologie, Schulungen und Compliance-Management erforderlich sind. |
Insgesamt erfordert DORA von IKT-Drittdienstleistern in der Finanzbranche eine verstärkte Fokussierung auf Sicherheit, Resilienz und regulatorische Compliance, was zu einer Verbesserung der allgemeinen Cyber-Resilienz im Finanzsektor beitragen soll.
Unsere Einschätzung
DORA markiert einen wichtigen Schritt in der Sicherung des europäischen Finanzsektors gegen die wachsenden Risiken aus der digitalen Welt. Durch die Einführung spezifischer Anforderungen, insbesondere an Verträgen mit Drittanbieter-IKT-Dienstleistern, trägt DORA dazu bei, ein hohes Maß an digitaler Resilienz und Sicherheit im Finanzsektor zu gewährleisten.
Unternehmen stehen vor der Herausforderung, diese Anforderungen bis 2025 zu erfüllen, wodurch ein höheres Sicherheitsniveau und eine verbesserte Risikomanagementpraxis im gesamten Sektor erreicht werden. Externe Unterstützung kann hier Abhilfe schaffen.
DORA ist somit nicht nur eine regulatorische Verpflichtung, sondern auch eine Chance für Finanzunternehmen, ihre digitale Widerstandsfähigkeit zu stärken und sich auf die Herausforderungen einer zunehmend vernetzten und digitalisierten Welt vorzubereiten.
Kristian Borkert
Co-Autor
Kristian Borkert ist Gründer der JURIBO Anwaltskanzlei und hat sich insbesondere auf den Bereich IT, Wirtschaftsrecht und Datenschutz spezialisiert.
Anastasia Nomerowskaja
Co-Autor
Anastasia Nomerowskaja ist wissenschaftliche Mitarbeiterin und Social Media Managerin der JURIBO Anwaltskanzlei mit einem Bachelorabschluss in Deutschem und Europäischen Wirtschaftsrecht.
Yakub Vaysert
Co-Autor
Yakub Vaysert ist wissenschaftlicher Mitarbeiter bei der JURIBO Anwaltskanzlei mit dem Fokus auf Agile Verträge, Vergabe- und Datenschutzrecht.
Florian Bunes
Co-Autor
Florian Bunes ist Diplom-Jurist und zertifizierter Datenschutzbeauftragter. Seine Schwerpunkte sind das Datenschutzrecht sowie das Recht des geistigen Eigentums.
Elektromobilität & Vergabe – Whitepaper
Die Elektromobilität nimmt eine zentrale Rolle in der nachhaltigen Stadtentwicklung und den Verkehrssystemen ein. Angesichts der wachsenden ökologischen Herausforderungen und der Dringlichkeit der...
Unternehmen unter NIS2UmsuCG
Die NIS2-Richtlinie ist ein zentraler Bestandteil der EU-Strategie zur Stärkung der Cybersicherheit, der auf den Erfahrungen und Grenzen der ursprünglichen NIS-Richtlinie aufbaut. Ihre...
Legal Design in der Vertragsgestaltung
Agilität hat sich zu einem zentralen Begriff in der Entwicklung und Umsetzung moderner Geschäftsstrategien entwickelt, wobei ihr Einfluss weit über die Grenzen der Produktentwicklung hinausgeht. In...