Was Sie über DORA wissen müssen: Neue Verpflichtungen für Finanzdienstleister

Read this article in English

 

Der Digital Operational Resilience Act (DORA) ist eine kürzlich verabschiedete Verordnung der Europäischen Kommission, die einen umfassenden Rahmen für die Kontinuitäts-, Sicherheits- und Lieferantenrisikomanagementprogramme von Finanzinstituten in der Europäischen Union (EU) schaffen soll.  

Obwohl es sich bei DORA um eine EU-Verordnung handelt, ist es wichtig zu wissen, dass Finanzdienstleister , die auf dem europäischen Markt tätig sind, sich an diese Vorschriften halten müssen. Da das Vereinigte Königreich eines der wichtigsten europäischen Finanzzentren bleibt, wird DORA auch ein entscheidender Aspekt für britische Finanzdienstleister sein. 

Das Gesetz deckt Themen ab, die sich auf die operative Widerstandsfähigkeit beziehen, einschließlich Cybersicherheit, Incident Management, Widerstandsfähigkeitstests, Datenmanagement, Outsourcing und Governance-Anforderungen. 

Ziel ist es, sicherzustellen, dass Finanzinstitute schwerwiegenden Betriebsstörungen wie Cyberangriffen, IT-Systemausfällen und Ausfällen von Drittanbietern standhalten und gleichzeitig die Kontinuität der Finanzdienstleistungen aufrechterhalten können. Obwohl die EU die DORA im Dezember 2022 veröffentlicht hat, wird das Gesetz erst ab dem 17. Januar 2025 vollständig gelten. 

In diesem Artikel gehen wir der Frage nach, was der Digital Operational Resilience Act für Finanzdienstleister, ihre Führungskräfte und den Geschäftsbetrieb bedeuten und was Sie jetzt tun sollten, um sich auf die Einhaltung der Vorschriften ab dem ersten Tag vorzubereiten.  

 

Wer wird von DORA betroffen sein? 

Mit seinem breiten Anwendungsbereich deckt das Gesetz fast den gesamten Finanzsektor ab und wird für eine Reihe von "Finanzunternehmen" gelten. Während es begrenzte Ausnahmen für bestimmte kleinere Unternehmen geben wird, wird das Gesetz für Kreditinstitute, Wertpapierfirmen, zentrale Wertpapierverwahrer, zentrale Gegenparteien, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Zahlungsinstitute, Handelsplätze, Benchmark-Administratoren, Fondsverwaltungsgesellschaften, E-Geld-Institute, Krypto-Asset-Dienstleister, Emittenten von vermögenswertbezogenen Token und Crowdfunding-Dienstleister gelten. 

Die bemerkenswerteste Neuerung der DORA ist, dass Drittanbieter von Informations- und Kommunikationstechnologie (IKT) die Vorschriften einhalten müssen. Anbieter von Dienstleistungen oder Technologien, die zur Übertragung, Verarbeitung, Speicherung, Erstellung, Anzeige, Weitergabe oder zum Austausch von Informationen auf elektronischem Wege verwendet werden, müssen sich daher an das Gesetz halten - dies gilt auch für Rechenzentren, Cloud-Plattformen, Datenanalyse sowie Software- und Dienstleistungsanbieter. Das Gesetz schließt jedoch Anbieter von Hardwarekomponenten und nach Unionsrecht zugelassene Unternehmen aus, die elektronische Kommunikationsdienste für Finanzunternehmen erbringen. 

Da Banken und Finanzinstitute Cloud- und Software-as-a-Service-Angebote nutzen, wird DORA den Anbietern dieser Dienste eine weitere Ebene der Sorgfaltspflicht auferlegen. Dieser zusätzliche Aufwand kann dazu führen, dass die Anbieter die geforderten Standards nicht erfüllen, ohne die Möglichkeit, Mängel zu beheben, und zum Nachteil ihrer Kunden. 

 

Warum ist DORA für die Unternehmensfinanzierung wichtig? 

  • Verbesserung der Cybersicherheit: Die Cybersicherheit ist ein Schwerpunkt von DORA, und die Unternehmen müssen sicherstellen, dass ihre IT-Systeme sicher und widerstandsfähig gegen Cyber-Bedrohungen sind. Wie erwartet wird dies für den Schutz sensibler Finanzdaten und die Gewährleistung der Kontinuität von Finanzdienstleistungen in der EU entscheidend sein. 

  • Verbesserung des Störungsmanagements: Die Verordnung verlangt von Finanzdienstleistern - und ihren IKT-Anbietern - robuste Prozesse für das Störungsmanagement, um schnell und effektiv reagieren zu können. Dies wird den Unternehmen helfen, sich von Betriebsunterbrechungen zu erholen und weiterhin Finanzdienstleistungen anzubieten. 

  • Verstärkung des Datenmanagements: DORA verlangt von Finanzunternehmen, dass sie ihre Daten effektiv verwalten, um Datenqualität, -integrität, -verfügbarkeit und -vertraulichkeit zu gewährleisten - ein entscheidender Aspekt für die Aufrechterhaltung korrekter Finanzdaten und die Vermeidung von Datenschutzverletzungen. 

  • Verwaltung von Drittanbietern: DORA verlangt von den Unternehmen, die mit Outsourcing-Vereinbarungen verbundenen operationellen Risiken zu managen - ein wesentlicher Bestandteil der Aufrechterhaltung der operationellen Widerstandsfähigkeit, wenn wichtige Funktionen an Drittanbieter ausgelagert werden. 

 

Welches sind die wichtigsten Verpflichtungen im Rahmen von DORA für Anbieter von Unternehmensfinanzierung? 

  • Kartierung kritischer Unternehmensdienstleistungen: Identifizierung und Kartierung ihrer kritischen Geschäftsdienste, einschließlich IT-Systeme und Drittanbieter. 

  • Anforderungen an die Cybersicherheit: Finanzdienstleister müssen die Sicherheit und Widerstandsfähigkeit ihrer IT-Systeme gegen Cyber-Bedrohungen gewährleisten. Sie sollten sich um die Umsetzung geeigneter Sicherheitsmaßnahmen, die Meldung und das Management von Zwischenfällen und die Durchführung regelmäßiger Cybersicherheitstests bemühen. 

  • Risiko- und Vorfallsmanagement: Ein umfassender Rahmen für das Risikomanagement und dokumentierte Prozesse für das Störungsmanagement, um schnell und effektiv auf Betriebsstörungen reagieren zu können. Diese sollten auch Einzelheiten zur Bewertung und zum Management von Risiken enthalten, die von Drittanbietern ausgehen. 

  • Ausfallsicherheitstests: Finanzdienstleister sind verpflichtet, ihre kritischen Geschäftsdienstleistungen regelmäßig auf ihre Belastbarkeit zu testen, um zu beurteilen, wie ihre Software und Systeme unter Stressbedingungen funktionieren. Dazu gehören Tests der IT-Systeme, der Drittanbieter und der Vorfallsmanagementprozesse. 

  • Meldung von Vorfällen: DORA verlangt von den Unternehmen - und ihren Dienstleistern - die Meldung bestimmter Vorfälle an die zuständigen Behörden. Außerdem müssen sie Zugang zu den relevanten Informationen und Systemen gewähren, einschließlich des Zugangs zu den Räumlichkeiten, Unterlagen und Mitarbeitern der Dienstleister. Darüber hinaus müssen die Dienstleister ihren Kunden Zugang zu allen relevanten Informationen und Systemen gewähren, damit sie ihren Meldepflichten nachkommen können. 

  • Anforderungen an die Datenverwaltung: Finanzdienstleister müssen die Richtigkeit, Integrität und Vertraulichkeit ihrer Daten gewährleisten und entsprechende Datenverwaltungsstrategien und -verfahren einführen. 

  • Anforderungen an die Auslagerung: Finanzdienstleister sind für das Management der Risiken verantwortlich, die mit Auslagerungsvereinbarungen oder Dritten verbunden sind, einschließlich der Durchführung von Due-Diligence-Prüfungen, der Überwachung ausgelagerter Aktivitäten und der Sicherstellung, dass sie die DORA-Anforderungen erfüllen.  

  • Governance-Anforderungen: Finanzunternehmen müssen über wirksame Governance-Regelungen verfügen, um die Einhaltung von DORA zu gewährleisten, einschließlich der Ernennung eines leitenden Angestellten, der für die operative Belastbarkeit verantwortlich ist. 

 

Was können Finanzunternehmen tun, um sich auf DORA vorzubereiten? 

  • Informieren Sie sich: Die Inanspruchnahme von Rechtsberatung durch sorgfältig ausgewählte Anwaltskanzleien ist notwendig, aber kostspielig. Das Abonnement von Newslettern spezialisierter Anwaltskanzleien kann jedoch eine wenig aufwändige, aber wirkungsvolle Möglichkeit sein, sich auf dem Laufenden zu halten. Während Nachrichten und Medien oft fast sofortige Zusammenfassungen liefern, fehlt es ihnen oft an Nuancen. Es kann sich jedoch als schwierig erweisen, die Websites von Regulierungs- oder Aufsichtsbehörden auf Änderungen in bestimmten Marktsegmenten zu überwachen. Die Nutzung eines Dienstes zur Erkennung von und Benachrichtigung über Inhaltsänderungen - wie Google Alerts - kann in dieser Hinsicht besonders nützlich sein. Und schließlich können hochrelevante persönliche und virtuelle Veranstaltungen eine aufschlussreiche Möglichkeit sein, um regulatorische Änderungen zu überwachen und Fragen an Experten zu stellen. 

  • Führen Sie eine Lückenanalyse durch: Bewerten Sie Ihre derzeitigen betrieblichen Widerstandsfähigkeiten und ermitteln Sie Lücken, die geschlossen werden müssen, um die DORA-Anforderungen zu erfüllen. 

  • Verbessern Sie die Cybersicherheitsmaßnahmen: Cybersicherheit ist ein zentrales Thema von DORA, daher müssen Sie sicherstellen, dass Ihre IT-Systeme sicher und widerstandsfähig gegen Cyber-Bedrohungen sind. 

  • Führen Sie effektive Prozesse für das Management von Vorfällen ein: DORA verlangt von Finanzunternehmen robuste Prozesse für das Vorfallsmanagement, um schnell und effektiv auf Betriebsstörungen reagieren zu können. Stellen Sie sicher, dass Ihre Vorfallsmanagementprozesse gut dokumentiert, getestet und regelmäßig aktualisiert werden. 

  • Einführung eines soliden Rahmens für die Datenverwaltung: Das Finanzwesen muss seine Daten effektiv verwalten, um die Qualität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten zu gewährleisten. Möglicherweise müssen Sie in Datenmanagement-Tools und Technologien investieren, um die Anforderungen zu erfüllen. 

  • Berücksichtigen Sie Ihre Dienstleister und Outsourcing-Vereinbarungen: Wie bereits erwähnt, verlangt DORA von Finanzdienstleistern, dass sie operationelle Risiken in Verbindung mit externen IKT-Dienstleistern verwalten. Die Überprüfung bestehender Verträge - und die Vornahme von Änderungen, um die Einhaltung der DORA-Anforderungen zu gewährleisten - kann erforderlich sein. Die Informationssicherheits-Akkreditierungen Ihrer Technologiepartner können eine gewisse Sicherheit bieten, aber Sie werden dafür verantwortlich sein, dass diese - und ihre Dienstleister - ein breiteres Spektrum an Standards für die betriebliche Belastbarkeit erfüllen, und Sie müssen sicherstellen, dass die entsprechenden vertraglichen Vereinbarungen vorhanden sind, um diese Risiken zu managen. 

  

Zusammenfassend lässt sich sagen, dass Finanzdienstleister nachweisen müssen, dass sie DORA-konform sind, und dass sie (und ihre IKT-Partner) einen umfassenderen und proaktiveren Ansatz in Bezug auf die betriebliche Ausfallsicherheit verfolgen müssen - insbesondere in Bezug auf Cybersicherheit, Incident Management, Datenmanagement und IKT-Dienstleister.  

Auf diese Weise werden die Finanzdienstleister besser darauf vorbereitet sein, Risiken und Störungen zu bewältigen, sensible Finanzdaten zu schützen und die Kontinuität der Finanzdienstleistungen in der EU aufrechtzuerhalten. 

 

 

Artikel geschrieben von:

Verfasser: Kevin Day 

Co-Autor: Iain Gomersall