Die EU hat umfassende Anforderungen an die operationelle Resilienz des gesamten Finanzsektors festgelegt. Diese Anforderungen sind in der Verordnung 2022/2554 (Digital Operational Resilience Act, DORA) verankert und werden ab dem 17. Januar 2025 verbindlich angewendet.

Im Kern von DORA stehen ein funktionsfähiger Risikomanagementrahmen für Informations- und Kommunikationstechnologie (IKT) sowie umfassende Anforderungen an ein IKT-Drittparteienmanagement, dessen Erfüllung große Schnittmengen mit den bisherigen aufsichtlichen Anforderungen an die IT von Finanzdienstleistern (BAIT/VAIT/KAIT/ZAIT zusammengefasst im Text kurz xAIT) aufweist. Da DORA umfassendere Anforderungen stellt und teilweise andere Schwerpunkte setzt, sind Maßnahmen zu ergreifen. Die BaFin hat eine Aufsichtsmitteilung mit unverbindlichen Umsetzungshinweisen veröffentlicht, um Unternehmen den Übergang von den bekannten xAIT  hin zu DORA zu erleichtern. Die Hinweise beziehen sich größtenteils auf Banken (BAIT) und Versicherer (VAIT), sind für Kapitalverwalter (KAIT) und E-Geldinstitute (ZAIT) aber in vergleichbarer Weise umzusetzen, weshalb wir im Text allgemein auf xAIT referenzieren. Die Aufsichtsmitteilung beleuchtet die methodischen und inhaltlichen Unterschiede zwischen den beiden Regelwerken. Grundlage dafür bilden die Ergebnisse von sechs Arbeitsgruppen, die 2023 von Vertretern der Industrie, der Deutschen Bundesbank und der BaFin ins Leben gerufen wurden.

Wir empfehlen nach wie vor ein dreiphasiges Vorgehen.

Die Umsetzungshinweise für das IKT-Risikomanagement und IKT-Drittparteienrisikomanagement zur Implementierung der DORA-Anforderungen sind in acht Schwerpunkte unterteilt:

1.       Governance und Organisation

2.       Informationsrisiko- und Informationssicherheitsmanagement

3.       IT-Betrieb

4.       IKT-Geschäftsfortführungsmanagement

5.       IT-Projektmanagement und Anwendungsentwicklung

6.       IKT-Drittparteienrisikomanagement

7.       Operative Informationssicherheit

8.       Identitäts- und Rechtemanagement

Im Folgenden haben wir diese acht Punkte bewertet und die wichtigsten Umsetzungshinweise knapp herausgearbeitet.

Im Vergleich zu den xAIT fordert DORA keine explizite IT-Strategie. Stattdessen finden sich diverse Anforderungen, die bei den xAIT auf der Ebene der IT-Strategie angesiedelt sind, in DORA unterhalb dieser Strategieebene wieder. Beispielsweise betrifft dies die Entwicklung der IT-Aufbau- und -Ablauforganisation, das Notfallmanagement sowie die Festlegung von Zielen und Zuständigkeiten in Bezug auf die Informationssicherheit.

Während die xAIT den Schwerpunkt eher auf die Informationssicherheit legen, fokussiert sich DORA stärker auf den internen IKT-Governance- und Kontrollrahmen. Zudem stellt DORA umfangreichere allgemeine Anforderungen an die Richtlinien für IKT-Sicherheit. Obwohl es inhaltliche Überschneidungen mit den xAIT gibt, unterscheiden sich die beiden Regelwerke dennoch, was Anpassungsbedarf mit sich bringt.

Generell erwartet DORA erweiterte Kenntnisse des Leitungsorgans im Management von IKT-Risiken. Dies schließt nicht nur die Kompetenz zur Risikobewältigung ein, sondern bindet das Leitungsorgan auch aktiv in die Definition, Prüfung und Genehmigung von Richtlinien und Plänen ein – beispielsweise bei IKT-Revisionsplänen und dem IKT-Risikomanagementrahmen.

Die Festlegung eines Informationsverbunds sowie Verfahren zur Schutzbedarfsfeststellung werden in DORA durch ein IKT-Assetmanagement und die Klassifizierung und Verknüpfung der Prozesse, Informationen und IKT-Assets ersetzt. Dabei gilt es gesamtheitlich, Schwachstellen und Abhängigkeiten von IKT-Drittdienstleistern über den gesamten Informationsverbund zu identifizieren, zu bewerten und Maßnahmen abzuleiten. Hierbei sollen Risiken mitigiert werden

DORA sieht eine IKT-Kontrollfunktion in Anlehnung an den Informationssicherheitsbeauftragten (ISB) vor. Allerdings ordnet DORA dem ISB nicht mehr die „Wahrnehmung aller Belange der Informationssicherheit“ zu, sondern vielmehr die „Zuständigkeit für das Management und die Überwachung des IKT-Risikos“.

Zusätzlich führt DORA umfangreiche neue Prüfungs- und Analyseanforderungen zu IKT-Risiken, neuen Technologien, Altsystemen, Vorfällen und Tests ein. Damit einher gehen weitere Berichtspflichten, teilweise auch gegenüber der Aufsicht. Beispiele sind die jährliche oder anlassbezogene Prüfung des IKT-Risikomanagementrahmens sowie die Untersuchung spezifischer Risiken aller IKT-Altsysteme. Zudem müssen leitende IKT-Mitarbeiter jährlich über IKT-Vorfälle berichten.

Eine weitere Neuerung ist die starke Betonung der Schulungspflichten für Mitarbeiter und leitende Angestellte, um das Bewusstsein für IKT-Sicherheit und digitale operative Resilienz zu schärfen. Außerdem sollen Kommunikationsstrategien, -leitlinien und -pläne für IKT-Vorfälle etabliert werden. Schließlich muss laut DORA eine Person definiert werden, die das Thema gegenüber Medien und der Öffentlichkeit vertritt.

In DORA sind die Anforderungen an die Betriebsstabilität im Vergleich zu den xAIT verschärft. IKT-Systeme müssen stets auf dem neuesten Stand gehalten werden, um Zuverlässigkeit und technologische Resilienz sicherzustellen. Neu ist die Forderung, dass eine angemessene Informationsverarbeitung auch in angespannten Marktphasen gewährleistet sein muss. Zudem wurden die Anforderungen an das Kapazitätsmanagement erhöht, inklusive Dokumentation, Ressourcenoptimierung und der Schaffung redundanter IKT-Kapazitäten.

DORA betrachtet im Vergleich zu den xAIT ein ganzheitliches Bild der IKT-Systeme und -Informationen. Sämtliche Änderungen an IKT-Systemen müssen nach DORA erfasst, getestet, bewertet, genehmigt, implementiert und überprüft werden – nicht nur wesentliche Änderungen.

Die Anforderungen an Datensicherung und Wiederherstellung sind umfangreicher im Vergleich zu den xAIT, wo vorrangig ein Sicherheitskonzept für Datensicherung gefordert ist. Unter anderem sind IKT-Systeme physisch und logisch vom Quellsystem getrennt zu halten sowie die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten zu gewährleisten.

DORA stellt umfassendere Anforderungen an das IKT-Geschäftsfortführungsmanagement. Eine zentrale Neuerung ist die Forderung nach einer IKT-Geschäftsfortführungsleitlinie. Diese Leitlinie beschreibt unter anderem eine angemessene Reaktion auf alle IKT-bezogenen Vorfälle und erfordert eine zwingende Einschätzung der vorläufigen Auswirkungen, Schäden und Verluste.

Darüber hinaus sind die Anforderungen an Wiederherstellungspläne erhöht, und es werden Tests unter Einbeziehung von IKT-Drittdienstleistern gefordert. Bei der Erstellung der IKT-Reaktions- und Wiederherstellungspläne müssen spezifische Szenarien berücksichtigt werden, die in den xAIT nicht betrachtet wurden. Ein Beispiel hierfür ist die Auswirkung des Klimawandels und damit verbundene Umweltverschlechterungen.

Die Genehmigung und regelmäßige Überwachung des IKT-Geschäftsfortführungsmanagements obliegt gemäß DORA dem Leitungsorgan bzw. dem Finanzunternehmen. Mindestens einmal jährlich ist eine Überprüfung erforderlich.

Eine weitere Neuerung in DORA ist die Stärkung des Krisenmanagements durch die Einführung einer Krisenmanagementfunktion. Zudem müssen Kommunikationsstrategien und -leitlinien entwickelt werden, die verschiedene Interessengruppen wie z.B. Mitarbeiter berücksichtigen.

Im IKT-Projektmanagement gelten für DORA vergleichbare Anforderungen wie bei den xAIT, jedoch mit Unterschieden in der Risikobetrachtung von Projektabhängigkeiten. DORA legt besonderen Wert auf die Bewertung der Auswirkungen von Projekten auf kritische Funktionen.

Bei der Anwendungsentwicklung legt DORA weniger Fokus auf die Dokumentation als die xAIT und stellt die sichere Implementierung in den Mittelpunkt. Außerdem beinhaltet DORA detaillierte Anforderungen an eine Richtlinie zur Beschaffung, Entwicklung und Instandhaltung und erhöht die Maßnahmen zu IT-Tests und Qualitätssicherung

Die Unterscheidung zwischen wesentlichen und nicht wesentlichen Änderungen an IKT-Systemen entfällt in DORA. Stattdessen müssen alle Änderungen betrachtet und geprüft werden. Besonderes Augenmerk liegt dabei auf der Schutzbedürftigkeit von Daten als wertvollem Asset im IKT-Änderungsmanagement.

DORA regelt die Nutzung von IKT-Dienstleistungen durch IKT-Drittdienstleister. Dabei werden Schlüsselprinzipien für das Management des IKT-Drittparteienrisikos definiert, einschließlich Governance, Lebenszyklus des IKT-Dienstleistungsbezugs, Risikobewältigung und Mindestvertragsinhalte.

DORA erweitert die Definition vertraglicher Vereinbarungen zur Nutzung von IKT-Dienstleistungen und bezieht sie für Finanzunternehmen auf alle „IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit“. Besonderes Augenmerk liegt auf den IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen und deren Ausfall oder Einschränkung signifikante Auswirkungen hat. Hierbei sind geeignete Kriterien zur Einstufung und die Bewertung aller Sachverhalte erforderlich.

Anforderungen an Verträge werden ebenfalls erweitert, einschließlich Vorgaben zu Kündigungsrechten, Prüfungs- und gegebenenfalls Testrechten sowie ausreichenden Mitteilungspflichten bei wesentlichen Änderungen. Oftmals sind Nachverhandlungen mit IKT-Drittdienstleistern zu erwarten.

Unterauftragsvergaben werden in DORA strenger reguliert, unter anderem durch schärfere Überwachung und Dokumentation.

Auch die Anforderungen an Due Diligence und Risikoanalysen werden erhöht. Die Einhaltung aufsichtsrechtlicher Bedingungen und Informationssicherheitsstandards muss verstärkt beachtet werden. Besonders anspruchsvoll sind die Anforderungen bei IKT-Dienstleistungen, die kritische oder wichtige Funktionen beeinflussen, wobei verschiedene Risikoarten berücksichtigt werden müssen.

Beim Ausstieg aus Verträgen mit IKT-Drittdienstleistern muss die nahtlose Geschäftstätigkeit gewährleistet sein. Konzentrationsrisiken sollten dabei abgewogen und Alternativen in Betracht gezogen werden.

Die Governance des IKT-Drittparteienrisikos bindet das Leitungsorgan stärker in die Risikobewertung und Genehmigung von Leitlinien ein.

DORA legt im Bereich der operativen Informationssicherheit die Messlatte deutlich über die bisherigen xAIT. Dies umfasst unter anderem eine gestärkte Netzwerksicherheit, die eine Segmentierung und Segregation des Netzwerks mit regelmäßigen Überprüfungen der Netzwerkarchitektur vorsieht. Weitere Schwerpunkte sind eine sichere Firewall und der Schutz übertragener Informationen. Im Falle eines Cyberangriffs müssen Informationen automatisch isoliert werden, was einen erhöhten Implementierungsaufwand bedeutet.

Auch die Anforderungen an die Datenverschlüsselung während der Datenverarbeitung sind erweitert. Dies dürften aus unserer Sicht nur die allerwenigsten Unternehmen erreichen. Daher gilt es geeignete und angemessene alternative Maßnahmen zu prüfen und umzusetzen.  DORA verlangt außerdem Richtlinien und Maßnahmen zum sicheren Umgang mit kryptographischen Schlüsseln sowie ein Register aller Zertifikate für IKT-Assets, die kritische und wichtige Funktionen beeinflussen.

Schwachstellen müssen zeitnah erkannt und behandelt werden. Dabei sollten Patches priorisiert und gegebenenfalls automatisiert werden. DORA definiert “anomale Aktivitäten“ als maßgebliche Größe zur Erkennung von Gefahren. Die frühzeitige Erkennung und systematische Bearbeitung sowie das Logging dieser Aktivitäten sind gefordert. Die DORA-Zusatzanforderungen an das IKT-Risikomanagement und Tests werden in den Umsetzungshinweisen nicht weiter vertieft.

In Bezug auf das Identitäts- und Rechtemanagement sind keine gravierenden Anpassungsaufwände zu erwarten. Möglicherweise sind kleinere Anpassungen im Identitätsmanagement für Mitarbeiter erforderlich, die auf IKT-Assets eines Finanzunternehmens zugreifen. Hierbei sollten nach Möglichkeit automatisierte Lösungen für den Lebenszyklusmanagementprozess eingeführt werden.

Das von DORA geforderte „need-to-use“-Prinzip ist teilweise bereits im xAIT-Sparsamkeitsprinzip abgedeckt. Neu sind halbjährliche Rezertifizierungen für Rechte, die kritische oder wichtige Funktionen betreffen.

Die Erfüllung der bisher geforderten xAIT-ist aufgrund der großen Schnittmenge ein guter Startpunkt für den Weg zur DORA-konformen IT. Da die DORA-Anforderungen darüber hinausgehen, sind jedoch Maßnahmen zu implementieren, deren Umsetzungsaufwand nicht unterschätzt und daher zeitnah in Angriff genommen werden sollten. Dieses Vorhaben ist eine gute Gelegenheit die internen Prozesse generell zu überarbeiten und die operative Resilienz zu stärken.

Die langjährige Expertise im Bereich der IT-Regulatorik macht Finbridge zu Ihrem kompetenten Beratungshaus bei der Identifikation und Umsetzung nichterfüllter DORA-Anforderungen. Unsere erfahrenen Berater - darunter ehemalige Prüfer der Bundesbank - helfen Ihrem Institut alle relevanten Maßnahmen mit umfassendem Know-How und praxiserprobter Erfahrung zu priorisieren und risikooptimiert umzusetzen.

[1] Aufsichtsmitteilung Umsetzungshinweise DORA

Autoren: Steffen Jahr, Dominik Rimmelspacher