Marcus Michel, Vorstand FCH Gruppe AG
Die EU meint es ernst mit ihrer Strategie für ein digitales Finanzwesen
Die Europäischen Union („EU“) stellt mit dem Digital Operational Resilience Act („DORA“) europaweite Sicherheitsanforderungen auf, um den Einsatz von Informations- und Kommunikationstechnologien im Finanzsektor zu regulieren. Der DORA verpflichtet nicht nur Finanzunternehmen, sondern auch alle IT-Dienstleister, die im Finanzsektor tätig sind. Die Verordnung soll die Digitalisierung fördern und gleichzeitig die Stabilität und Resilienz der Finanzmärkte sichern.
Aus der wachsenden Abhängigkeit von Finanzunternehmen von Informations- und Kommunikationstechnologien („IKT“) folgen erhebliche Herausforderungen für die Betriebsstabilität und Leistungsfähigkeit der einzelnen Akteure sowie des Finanzsystems der EU insgesamt („IKT-Risiken“). Der Finanzsektor und die Gesellschaft sind hierdurch anfälliger für Cyberbedrohungen oder IKT-Störungen.
Der DORA soll als erstes europäisches Regelwerk diesen Gefahren entgegenwirken und einen detaillierten, einheitlichen und umfassenden Regelungsrahmen für alle Finanzunternehmen für die digitale Betriebsstabilität und Resilienz von EU-Finanzunternehmen schaffen. Die Verordnung gilt dementsprechend für sämtliche Akteure des Finanzsektors.
Die Verordnung zielt zunächst auf eine Verbesserung des IKT-Risikomanagements von Finanzunternehmen ab und stellt zahlreiche Vorkehrungen in personeller, technischer sowie physischer Hinsicht sowie gründliche interne und externe Prüfmechanismen auf: Neben internen Governance- und Kontrollmechanismen, die eine umsichtige Steuerung von IKT-Risiken ermöglichen, bedarf es eines umfassenden Risikomanagementrahmens, also Strategien, Leit- und Richtlinien, Verfahren, IKT-Protokollen und IKT-Tools, die die digitale Resilienz sicherstellen und laufend überwachen. Die Gesamtverantwortung für die Cybersicherheit wird ausdrücklich der Geschäftsleitung auferlegt.
Finanzunternehmen trifft nach der Verordnung zudem die Pflicht, Verfahren und Prozesse einzurichten, um alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen zu überwachen, zu erfassen und weiterzuverfolgen, um sicherzustellen, dass die Ursachen ermittelt, dokumentiert und angegangen werden. Eine bedeutende Neuerung ist zudem die Schaffung eines Mechanismus für die Meldung von schwerwiegenden IKT-Vorfällen, der dazu beitragen soll, den Verwaltungsaufwand für Finanzunternehmen zu verringern und deren Beaufsichtigung durch die zuständigen nationalen Behörden wirksamer zu machen.
Auslagerung an IT-Dienstleister (IKT) im besonderen Fokus
Der DORA adressiert schließlich das spezifische Risiko, das sich aus der Inanspruchnahme von IKT-Diensten von externen Drittunternehmen („IKT-Drittdienstleister“) ergibt („IKT-Drittparteienrisiko“). Hierfür sieht die Verordnung eine Vielzahl von Pflichten der Finanzunternehmen vor bei Abschluss, Erfüllung und Beendigung von Verträgen mit IKT-Drittdienstleistern.
Ein Novum ist das Überwachungs- und Aufsichtsregime für solche IKT-Drittdienstleister, die aufgrund ihrer Größe und Systemrelevanz u. a. von der Europäischen Bankenaufsichtsbehörde („EBA“) als „kritische IKT-Drittdienstleister“ eingestuft werden. Hintergrund sind die Finanzstabilitätsrisiken, die von der Nutzung von Big-Techs durch eine Vielzahl von Finanzunternehmen ausgehen können. Der DORA schafft erstmalig eigenständige Überwachungs- und Prüfungsbefugnisse der EBA unmittelbar gegenüber externen IT-Dienstleistern
PRAXISTIPPS
- Finanzunternehmen und deren IT-Dienstleister sollten sich frühzeitig mit dem neuen Regelwerk vertraut machen.
- Finanzunternehmen müssen sich auf Abstimmungs-, Schulungs- und Implementierungsaufwände einstellen.
- Die Einrichtung von Verfahren zur Befolgung der Meldepflichten stellt für zahlreiche Finanzunternehmen ein Novum dar.
- Auch IT-Dienstleistern, die in der Finanzbranche tätig sind, ist zu empfehlen, ihre Prozesse, Systeme und Verfahren darauf zu überprüfen, ob sie den Anforderungen zur Steuerung von IKT-Risiken, die sie für Finanzunternehmen mit sich bringen müssen, entsprechen.
Beitragsnummer: 21964