Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Risiken durch Cyberangriffe bereits seit langem im Blick. Entsprechend viele verschiedene Anforderungen an Banken, Versicherungen, Kapitalgesellschaften und Zahlungsdienstleister existieren. Durch die DORA-Verordnung (Digital Operational Resilience Act) wurde ein einheitliches Regelwerk geschaffen, das europaweit Regeln für das Management von Informations- und Kommunikationstechnologierisiken vorgibt. Damit sind europaweit ca. 20.000 Unternehmen und deutschlandweit etwa 3.600 Unternehmen von dieser Regulierung betroffen.

Seit Januar 2023 ist die DORA in Kraft getreten und bereits in den Jahren 2023 und 2024 wurden Level 2- und Level 3-Rechtstexte erarbeitet sowie öffentliche Konsultationen und nationale Umsetzungsarbeiten durchgeführt. Im Laufe des Jahres 2024 sollen diese Rechtstexte finalisiert und von der EU-Kommission angenommen werden. Die Europäische Bankenaufsicht (EBA), die Europäische Wertpapieraufsicht (ESMA) und die Europäische Versicherungsaufsicht (EIOPA) arbeiten derweil an den technischen Regulierungsstandards, Durchführungsstandards und Leitlinien. Ab 2028 ist eine Überprüfung der DORA seitens der EU-Kommission geplant.

DORA legt den Schwerpunkt auf das Management von IKT-Risiken, um Unternehmen widerstandsfähiger gegen Cyberbedrohungen zu machen. Die Verordnung betont die Verantwortung der Unternehmensleitung, eine Strategie für die digitale operationale Resilienz festzulegen, zu genehmigen und ein angemessenes Budget dafür bereitzustellen. Darüber hinaus müssen Unternehmen eine IKT-Risikokontrollfunktion einrichten, die Elemente eines Informationssicherheitsbeauftragten enthält. Ein solides, umfassendes und gut dokumentiertes IKT-Risikomanagement ist entscheidend, wobei sich die Anforderungen an internationalen, nationalen und branchenspezifischen Praxisverfahren sowie Standards orientieren. DORA ist insgesamt standard- und technikneutral und ermöglicht Unternehmen eine risikoorientierte und proportionale Umsetzung der Anforderungen.

Ebenso verpflichtet DORA Finanzunternehmen dazu, IKT-Vorfälle sorgfältig zu managen, zu überwachen, zu protokollieren und zu melden. Schwerwiegende Vorfälle müssen gemäß den in Artikel 18 DORA genannten Kriterien klassifiziert und an die zuständige Aufsichtsbehörde gemeldet werden. Diese Meldepflichten sind nicht neu, da ähnliche Anforderungen bereits durch die PSD2-Richtlinie für Zahlungsdienstleister und die NIS2-Richtlinie für kritische Infrastrukturen bestehen. DORA weitet diese Pflichten auf den gesamten Finanzsektor aus, vereinheitlicht sie und legt fest, dass die BaFin die Meldungen entgegennimmt und an relevante Behörden weiterleitet. Zusätzlich führt DORA ein freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein.

Neben der Meldung von Vorfällen und dem Management von Drittdienstleistern legt DORA einen weiteren Fokus auf die Risiken, die durch die Nutzung von IKT-Drittdienstleistern im Finanzmarkt entstehen können. Unternehmen müssen diese Risiken während des gesamten Lebenszyklus der Dienstleistung überwachen und analysieren. Dazu gehören eine Risikoanalyse vor Vertragsabschluss, eine Due-Diligence-Prüfung zur Bewertung der Dienstleister-Eignung und die Formulierung einer Ausstiegsstrategie für kritische Funktionen. DORA stellt auch Anforderungen an vertragliche Bestimmungen, einschließlich der Verpflichtung des Dienstleisters zur Unterstützung bei IKT-Vorfällen. Alle IKT-Vertragsbeziehungen müssen in einem Informationsregister dokumentiert werden, das die Aufsicht bei der Identifizierung kritischer Dienstleister unterstützt und somit den europäischen Aufsichtsrahmen stärkt.

Die führende Aufsichtsbehörde (EBA, ESMA oder EIOPA) hat umfassende Befugnisse gegenüber kritischen IKT-Drittdienstleistern. Dazu gehören Informations-, Kontroll- und Prüfrechte sowie die Möglichkeit, Zwangsgelder zu verhängen. Sie überwacht die Einhaltung der Anforderungen an das IKT-Risikomanagement und kann bei Missständen Empfehlungen aussprechen. Kommt der Dienstleister diesen nicht nach, können nationale Aufsichtsbehörden wie die BaFin die Unternehmen des Finanzsektors auffordern, die Zusammenarbeit zu beenden. Bestimmte Maßnahmen können auch öffentlich auf den Websites der Europäischen Aufsichtsbehörden veröffentlicht werden.

DORA verlangt von allen Finanzunternehmen, ihre IT mittels eines risikobasierten Testprogramms zu überprüfen. Kleinstunternehmen und einige andere Unternehmen können Ausnahmen beantragen, sind aber dennoch zur Durchführung von Tests verpflichtet. Diese umfassen die Analyse von Open-Source-Software, Netzsicherheitsprüfungen und Penetrationstests.

Ausgewählte und besonders marktrelevante Finanzunternehmen müssen sich speziellen Penetrationstests unterziehen, um IT-Schwachstellen aufzudecken. Diese Tests werden durch technische Regulierungsstandards definiert, die sich eng an das europäische Rahmenwerk TIBER-EU anlehnen.

Das bisher freiwillige deutsche Äquivalent, TIBER-DE, wird durch DORA zur Pflicht. Unternehmen erhalten eine Bescheinigung über den erfolgreichen Abschluss dieser Tests. Die Bescheinigung wird grenzüberschreitend anerkannt. Die BaFin betont, dass diese Tests dem Erkenntnisgewinn der Unternehmen dienen sollen.

Neben der Verpflichtung zur Durchführung von Tests fördert DORA den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Finanzunternehmen, einschließlich Beeinträchtigungsindikatoren, Angriffsstrategien, Sicherheitswarnungen und Konfigurationseinstellungen. Die BaFin wird diesen Austausch aktiv unterstützen, indem sie künftig Meldungen über IKT-Vorfälle erhält und wertvolle Informationen für den gesamten Finanzmarkt bereitstellt. Darüber hinaus wird die BaFin einen stärkeren Fokus auf das Krisenmanagement und Notfallübungen legen, um sowohl Unternehmen als auch Aufsichtsbehörden auf potenzielle Extremsituationen vorzubereiten und die Zusammenarbeit in Krisensituationen zu optimieren.