DORA – als Revision frühzeitig die richtigen Fragen stellen

Marcus Michel, Vorstand, FCH AG

Der Digital Operational Resilience Act (DORA) wurde nach einem über zwei Jahre andauernden Konsultationsprozess mit Veröffentlichung im Amtsblatt der EU am 27.12.2022 finalisiert. Die Anforderungen treten zum 16.01.2023 in Kraft und sind spätestens nach zwei Jahren durch die betroffenen Unternehmen zu erfüllen.

Kernziel von DORA ist die Schaffung eines EU-weiten Rechtsrahmens mit einheitlichen Anforderungen zur Stärkung der EU-weiten Cybersicherheit und digitaler, operationeller Resilienz im Finanzsektor unter Einbezug der IT-Dienstleister. Hierdurch soll die Aufrechterhaltung der Funktionsfähigkeit und Wiederherstellungsfähigkeit des europäischen Finanzmarktes gewährleistet werden. Dazu wurde der Anwenderkreis gegenüber den bisherigen europäischen und nationalen Regularien deutlich erweitert.

Hintergrund sind zunehmende operationelle Risiken insbesondere in Verbindung mit der Informationssicherheit durch

• fortschreitende Digitalisierung, u. a. im Zusammenhang mit dem seit der Corona-Pandemie steigenden Home-Office-Anteil,
• politische Unsicherheiten und Bedrohungen durch Cyber- und Hackerangriffe sowie
• wachsende Nutzung von Dienstleistern (Cloud-Diensten) und Einsatz von KI-Lösungen.

Zwar finden sich in DORA viele Vorgaben, die kongruent sind mit Vorschriften aus bestehenden Regularien, wie EBA-Leitlinien zu Auslagerungen und IKT sowie MaRisk/BAIT. Allerdings enthält DORA auch einige Abweichungen, Detaillierungen und Ergänzungen gegenüber diesen Regularien. Der Anwenderkreis erstreckt sich grundsätzlich auf Kreditinstitute, Versicherungs- und Rückversicherungsunternehmen, Investmentfirmen, Zahlungsinstitute sowie IKT-Drittdienstleister.

Notwendige Anpassungen in der Kreditwirtschaft sind aber notwendig und sollten rechtzeitig vorbereitet werden. Hier sollte auch frühzeitig die Revision einwirken, da die Projekte teilweise mit einem hohen Umsetzungsaufwand einhergehen. Exemplarisch werden hier einige Beispiele aus den verschiedenen DORA-Artikeln genannt:

IKT-Risikomanagementrahmen (Art. 5–16)

• Etablierung klarer Vorgaben zur Identifikation, Schutz & Prävention, Gegenmaßnahmen, Wiederherstellung und Kommunikation von IKT-Störungen.
• Etablierung eines Prozesses für die Überprüfung und Auswertung von Erkenntnissen aus IKT-Vorfällen sowie Bereitstellung aktueller und vollständiger Informationen über IKT-Risiken an die zuständigen Behörden.
• Vereinheitlichung des IKT-Risikomanagementrahmens hinsichtlich Vergleichbarkeit von Risiken mittels einheitlicher Metriken, Parameter und Risikoregister.
• IKT-Pläne für die Wiederherstellung sind im Notfall einer unabhängigen Prüfung zu unterziehen. Erweiterung der Meldepflicht zu IKT-bezogenen Vorfällen um alle dadurch verursachten Kosten und Verluste.

IKT-bezogene Vorfälle – Bewältigung, Klassifizierung & Berichterstattung (Art. 17–23)

• Verpflichtende, detaillierte Aufzeichnung aller Tätigkeiten vor und während eines IKT-bezogenen Vorfalls.
• Erheblich erweiterte Meldepflichten mit vorlagenbasierten Berichten zu schwerwiegenden IKT-Vorfällen an nationale Behörden sowie erweiterte Informationspflicht an Dienstnutzer und Kunden.

Prüfung der digitalen Betriebsstabilität (Art. 24–37)

• Testprogramm mit internen Validierungsmethoden, die sicherstellen, dass sämtliche Sicherheitslücken schnellstmöglich geschlossen werden.
• Erweiterte Prüfungen von IKT-Instrumenten, -Systemen & -Prozessen auf Basis von Thread Led Penetration Tests (TLPT) im Turnus von drei Jahren für kritische Funktionen & Dienstleistungen inkl. Auslagerungen.

Steuerung von IKT-Drittdienstleister-Risiken (Art. 38–44)

• Führung eines Informationsregisters zu IKT-Drittdienstleistern (z. B. inkl. IT-Fremdbezüge).
• Durchführung einer Risikoanalyse und Vorhaltepflicht von Ausstiegsstrategien für die Inanspruchnahme von Leistungen der IKT-Drittdienstleister durch die Finanzdienstleister auch für IT-Fremdbezüge.
• Finanzunternehmen müssen auch bei IT-Fremdbezügen bei der Vertragsgestaltung und der Überwachung des Risikos die Unterauftragsnehmer der IKT-Drittdienstleister, insbesondere aus Drittländern, berücksichtigen.

Die erweiterten Anforderungen führen insgesamt zu einem umfangreichen Umsetzungsaufwand in der Kreditwirtschaft. Die Vorgaben sind bis spätestens 17.01.2025 vollständig umzusetzen.

Die Revision sollte daher neben dem notwendigen Aufbau des neuen/erweiterten Fachwissens durch gezielte Fragestellungen in den Projekten die notwendigen Umsetzungsprozesse unterstützen und ggf. auch etwas vorantreiben.

Hierzu auch einige exemplarische Beispiele:

• Besteht ein Prozess für die zeitnahe Überprüfung und Auswertung von Erkenntnissen aus IKT-Vorfällen sowie die Bereitstellung aktueller und vollständiger Informationen über IKT-Risiken (anhand vergleichbarer Werte)? 
• Werden IKT-Pläne für die Wiederherstellung im Notfall regelmäßig einer unabhängigen Prüfung unterzogen?
• Werden Thread Led Penetration Tests (TLTP) im vorgegebenen Turnus durchgeführt/geplant und sind die kritischen Funktionen und Dienstleistungen, inkl. Auslagerungen, hierfür identifiziert?
• Bestehen Ausstiegsstrategien zu IKT-Drittdienstleistern und sind diese in den Verträgen verankert?
• Werden bei IT-Fremdbezügen auch Unterauftragsnehmer der IKT-Drittdienstleister bei der Vertragsgestaltung und Überwachung des Risikos berücksichtigt?

PRAXISTIPPS

• Sind Sie als Revision fit für die neuen Herausforderungen des DORA? Gerade die Änderungen im Bereich Risikomanagement und IKT-Auslagerungssteuerung steigen die Anforderungen deutlich und erfordern auch neue, erweiterte Prüfungsansätze.
• Nutzen Sie die Möglichkeiten der Projektrevision, um aktiv die notwendigen aufsichtsrechtlichen DORA-Projekte voranzutreiben.
• Beschäftigen Sie sich frühzeitig mit der notwendigen Veränderung/Anpassung Ihrer Prüfungs-Checklisten, um hier direkt in 2025 vorbereitet zu sein.
• Da DORA eine gesetzliche Verpflichtung ist, müssen Sie entsprechende Umsetzungsprüfungen im Rahmen Ihrer Prüfungsplanung rechtzeitig in 2025 berücksichtigen.