DORA (Digital Operational Resilience Act) ist eine EU-weite Verordnung, die den Fokus auf das Management von IKT- und Cybersicherheits-Risiken im Finanzsektor richtet. Im Kern steht dabei das Stärken der digitalen operationalen Resilienz. Die Verordnung trat 2023 in Kraft und wird ab dem 17. Januar 2025 angewendet. Betroffene Unternehmen müssen die neuen Standards in Bezug auf Cybersicherheit und resiliente Infrastrukturen demnach zeitnah umsetzen. Was DORA konkret regelt, welche Geltungsbereiche abgedeckt werden, welche Unternehmen betroffen sind und worin der Unterschied zu NIS-2 besteht, erfahren Sie in den folgenden Abschnitten.
Das Umfragetool LamaPoll ist DORA-konform und kann von Unternehmen bedenkenlos als IKT-Dienstleister der Finanzbranche eingesetzt werden.
DORA - Digital Operational Resilience Act
DORA, bzw. die Verordnung (EU) 2022/2554 , hat das Ziel, bestehende regulatorische Lücken im europäischen Finanzsektor zu schließen. Wie NIS-2 bezieht DORA dabei auch die Lieferkette mit ein - insbesondere IKT-Dienstleister. DORA findet ab dem 17. Januar 2025 Anwendung. Im Gegensatz zu NIS ist DORA jedoch keine Richtlinie, sondern eine Verordnung und somit verbindlich.
DORA vereinheitlicht Anforderungen an die Sicherheit, fördert die Kooperation, EU-weit anerkannte Testate und erleichtert Verhandlungen und den Vertragsschluss im Finanzsektor. Gerade IKT-Dienstleister der Finanzbranche sollten DORA somit als Chance betrachten.
Regelungsinhalte: Was regelt DORA?
DORA stellt Anforderungen in sechs wesentlichen Bereichen:
1.) IKT-Risikomanagement (Kapitel III)
- Einheitliche Anforderungen mit folgenden Bestandteilen des Risikomanagements über die Finanzsektoren hinweg : Identifizierung, Schutz und Prävention, Erkennung, Gegenmaßnahmen und Wiederherstellung, Lernen sowie Weiterentwicklung und Kommunikation.
2.) Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III)
- DORA weitet die Berichts- und Meldepflichten der PSD-II aus der NIS-Richtlinie auf den gesamten Finanzsektor aus, vereinheitlicht diese und legt die BaFin (soweit zuständig) als Empfängerin fest.
3.) Testen der digitalen operationalen Resilienz (Kapitel IV)
- Wie die Tests aussehen sollen, wird durch technische Standards festgelegt. Diese sind eng an das EU-Rahmenwerk TIBER-EU angelehnt, welches bisher in Deutschland auf freiwilliger Basis gilt. Tests innerhalb der EU sollen gegenseitig anerkannt werden.
4.) Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I: Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos)
- DORA verlangt die Einschätzung und Überwachung von IKT-Drittparteienrisiken.
5.) Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II)
- Schaffung bzw. Aufbau eines EU-Überwachungsrahmens durch eine federführende Überwachungsbehörde (je nach Branche EBA, ESMA oder EIOPA). Die Überwachungsbehörde hat gegenüber dem kritischen Dienstleister (zwangsgeldbewährte) Prüf-, Kontroll- und Informationsrechte. Er überwacht unter anderem die Einhaltung der Anforderungen an das IKT-Risikomanagement.
6.) Vereinbarungen über den Austausch von Informationen (Kapitel VI)
- DORA regt den unternehmens- und sektorübergreifenden Austausch über Bedrohungen, Techniken, Verfahren etc. an.
Warum ist DORA notwendig?
Ein Drittel der Gesetzgebungsakte für die Verordnung DORA besteht - aus Sicht der Kommission, der nationalen Parlamente, der EZB und des Europäischen Wirtschafts- und Sozialausschusses - ausschließlich aus Gründen für DORA. Einige der wichtigsten sind:
- Informations- und Kommunikationstechnik (IKT) ist allgemein anfällig für Cyberbedrohungen, es wird von einem inhärenten IKT-Risiko ausgegangen.
- IKT hat mittlerweile einen zentralen Stellenwert für Finanzdienstleitungen.
Gleichzeitig gilt:
- Für manche Teilsektoren des Finanzsektors wurden bereits Anforderungen an die digitale Resilienz entwickelt, für andere nicht.
- Bestehende Anforderungen sind voneinander unabhängig - nicht angeglichen; Resilienz-Tests werden nicht anerkannt. So entstehen doppelte Kosten und Unübersichtlichkeit.
- Vertragliche Vereinbarungen sind individuell, komplex und schwer verhandelbar.
- Bestimmte Rechte (Zugang, Audit) sind nicht durchsetzbar.
- Für die Kohärenz zwischen Geschäftsstrategie und IKT-Sicherheit muss das Management in die Pflicht und Verantwortung genommen werden.
Zusammenfassend lässt sich sagen: Sicherheit darf nicht dem Geschäftszweck geopfert werden. Um Wettbewerbsnachteile zu vermeiden und gleichzeitig einem Flickenteppich von Maßnahmen und Vertragsinhalten vorzubeugen, muss der Finanzsektor einheitliche, anerkannte Anforderungen erfüllen. Strenge und für alle Unternehmen gültige Vorschriften heben das allgemeine Resilienz-Niveau. Finanzunternehmen sollen sich untereinander und außerdem mit Behörden zum Thema austauschen.
Geltungsbereich DORA: Betroffene Unternehmen
DORA richtet sich an Finanzunternehmen sowie IKT-Drittdienstleister, welche als wesentlich oder wichtig ermittelt wurden.
Was sind Finanzunternehmen?
Gemäß DORA (Artikel 2) sind folgende 20 Unternehmen sogenannte „Finanzunternehmen":
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Zentralverwalter
- Zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds
- Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
- Einrichtungen der betrieblichen Altersversorgung
- Ratingagenturen
- Administratoren kritischer Referenzwerte
- Schwarmfinanzierungsdienstleister
- Verbriefungsregister
Was sind kritische (wesentliche oder wichtige) IKT-Dienstleister?
Gemäß DORA-Artikel 31, Absatz 1 a) werden IKT-Dienstleister, die für Finanzdienstleister kritisch sind, anhand folgender Kriterien (Artikel 31, Absatz 2) eingestuft:
- Systemische Auswirkung auf Stabilität, Kontinuität oder Qualität von Finanzdienstleistungen durch eine Betriebsstörung des IKT-Dienstleisters (Wären diese erheblich beeinträchtigt?)
- Systemischer Charakter der Finanzunternehmen, welche auf diesen IKT-Dienstleister zugreifen (Anzahl systemrelevanter Institute (G-SRI und A-SRI), welche den Dienstleister nutzen sowie der Grad der Abhängigkeit zwischen systemrelevanten Instituten und anderen Finanzunternehmen)
- Grad der Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters mit Blick auf kritische oder wichtige Funktionen
- Substituierbarkeit des Dienstleisters: Anzahl/Mangel an Alternativen oder Komplexität bei einer potenziellen Migration
Das heißt: Kritisch sind gemäß DORA also IKT-Dienstleister, wenn sie bei einer Störung erhebliche Auswirkungen auf Finanzdienstleistungen hätten, wenn sie viele oder besonders systemrelevante Kunden aus dem Finanzsektor haben, der Finanzsektor stark vom Dienstleister abhängig wäre oder wenn der Dienstleister nicht oder schwer ersetzbar wäre.
Für wen gilt DORA nicht?
Die EU-Verordnung DORA schließt explizit sechs Unternehmensarten aus:
- Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU
- Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG
- Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben
- Gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen (bspw. Personen, die Wertpapierdienstleistungen ausschließlich für ihr Mutterunternehmen, ihre Tochterunternehmen oder andere Tochterunternehmen ihres Mutterunternehmens erbringen)
- Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt
- Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU
Zusätzlich haben die Mitgliedsstaaten die Möglichkeit, bestimmte Stellen aus der Verordnung auszunehmen, müssen dabei jedoch die Kommission hiervon in Kenntnis setzen.
Was sind die Unterschiede zwischen NIS-2 und DORA?
Ziele
NIS-2 verfolgt das vorrängige Ziel, das allgemeine Niveau der Cybersecurity in der EU zu vereinheitlichen und entsprechend zu erhöhen. NIS-2 bezieht zudem explizit auch das Bankwesen mit ein. DORA wiederum richtet sich explizit ausschließlich an den Finanzsektor und regelt die Sicherheit bei diesem tiefgehender und nachhaltiger.
Audits und Nachweise
NIS-2 fordert ein 2-jährliches Sicherheitsaudit als Nachweis, dass das Unternehmen alle NIS-Anforderungen erfüllt. DORA ist strenger und sieht mindestens jährliche Audits und Reviews der sicherheitsrelevanten Aspekte vor sowie mindestens alle drei Jahre einen bedrohungsorientierten Pentest.
Format
NIS-2 ist eine Richtlinie. EU-Richtlinien sind nicht unmittelbar in den Mitgliedsstaaten gültig, sie müssen erst in nationales Recht umgesetzt werden. DORA hingegen ist eine Verordnung und als solche hat sie eine allgemeine Geltung und ist in sämtlichen Teilen verbindlich.
Betroffene Unternehmen
Der Geltungsbereich von NIS-2 umfasst 18 Sektoren, darunter auch das Bankwesen. DORA hingegen konzentriert sich auf ebendieses Bankwesen und definiert 20 Unternehmensarten sowie IKT-Dienstleister aus der Branche.
Prüfende Instanzen
Die Prüfkompetenzen für NIS-2 liegen fast ausnahmslos beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Ausnahmen bilden vor allem der Energiesektor (Bundesnetzagentur) und das Bankwesen (Bundesamt für Finanzdienstleistungsaufsicht - BaFin).
DORA listet hingegen je nach Unternehmen zuständige Behörden und Instanzen auf (Artikel 46).
Ausblick: Was nun zu tun ist - eine DORA-Checkliste
Kapitel II - IKT-Risikomanagement
- Kritische Assets und Geschäftsprozesse identifizieren und nach Kritikalität bewerten
- GAP-Analyse einleiten und Ergebnisse dokumentieren
- Risikobehandlung planen (Risikoakzeptanz, Toleranzgrenzen definieren, etc.)
- Resilienz geschäftskritischer Systeme umsetzen: Sicherheit, Verfügbarkeit, Integrität, Sicherung und Wiederherstellung von IKT-Systemen und Dateien
- PDCA: Kontinuierliches Lernen und Weiterentwickeln etablieren - regelmäßige Überprüfung und Optimierung Ihres IKT-Risikomanagement-Rahmens
Kapitel III - Verwaltung, Klassifikation und Berichterstattung von IKT-bezogenen Vorfällen
- Umfassende Strategie für Incidentmanagement und -reaktion einrichten
- Prozess zur Erkennung, Protokollierung und Klassifizierung aller IKT-bezogenen Vorfälle etablieren
- Vorfälle klassifizieren: Schwellenwerte - kleine und große Vorfälle sowie kritische Verstöße basierend auf Auswirkungen, Dauer, betroffenen kritischen Diensten, geografischer Verbreitung und wirtschaftlicher Auswirkung
- Cyberbedrohungen kategorisieren: Nach Wahrscheinlichkeit und geschäftlichen Auswirkungen basierend auf der vorhergesagten Beeinflussung kritischer Systeme und Geschäftsprozesse
- Weiterentwicklung der IKT-Managementprozesse: Regelmäßige Überprüfung und Optimierung der IKT-bezogenen Vorfallmanagement- und Berichterstattungsprozesse
Kapitel IV - Testen der digitalen operationalen Resilienz
- Umfang der DORA-Reviews und Audits definieren: Einschließlich Systeme, Werkzeuge, Protokolle, Prozesse und Angriffsflächen
- DORA-Reviews und Audits für IKT-Risiken initiieren: Regelmäßiges und umfassendes Testen aller IKT-Expositionsrisiken über alle Angriffsflächen hinweg
- DORA-Tests für Sicherheitsabwehr initiieren: Regelmäßiges und umfassendes Testen aller Sicherheitsabwehrmaßnahmen und Bedrohungserkennungslösungen
- DORA-Testkadenz für Incidentmanagementprozesse initiieren: Regelmäßiges Testen der IKT-bezogenen Vorfallmanagementprozesse und -systeme sowie Reaktionsmaßnahmen
- Penetrationstests: Geeignete Partner und Werkzeuge auswählen, passenden Scope definieren
Kapitel V - Verwaltung von IKT-Risiken
- Dienstleistersteuerung: Verzeichnis der IKT-bezogenen Drittanbieter erstellen
- Dienstleister: Kritikalität bewerten
- Rollen und Verantwortlichkeiten definieren
Kapitel VI - Vereinbarungen und Informationsaustausch
- GRC-Projektteam für DORA etablieren: Governance-, Risiko- und Compliance-Teams sowie -Prozesse erweitern, um das DORA-Programm und den Rahmen zu integrieren und zu verwalten
- Kultur des Informationsaustauschs mit Branchenkollegen, Partnern und IKT-bezogenen Drittanbietern fördern
- Schulung, Bildung und Wissenstransfer: Sicherstellen, dass alle Teammitglieder über alle DORA-bezogenen Anforderungen, Prozesse und Maßnahmen zur operationellen Resilienz und deren Weiterentwicklung informiert sind
LamaPoll als DORA-konformes Umfragetool
LamaPoll ist konform mit dem Digital Operational Resilience Act (DORA) und kann bedenkenlos als IKT-Dienstleister der Finanzbranche eingesetzt werden.
IKT-Risikomanagement (Kapitel II)
Unser umfassendes und extern audiertes Risikomanagement umfasst:
- Identifizierung: Proaktive Erkennung von Risiken und Bedrohungen
- Schutz und Prävention: Implementierung von Schutzmaßnahmen zur Verhinderung von Vorfällen
- Erkennung: Echtzeit-Monitoring zur sofortigen Identifizierung von Sicherheitsvorfällen
- Gegenmaßnahmen und Wiederherstellung: Schnelle und effektive Reaktion sowie Wiederherstellung nach Zwischenfällen
- Lernen und Weiterentwicklung: Kontinuierliche Verbesserung und Anpassung an neue Bedrohungen
- Kommunikation: Transparente Berichterstattung und Kommunikation über Risiken und Maßnahmen
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III)
LamaPoll hat die Meldeprozesse im Zuge des Incidentmanagements verschärft und etabliert:
- Einheitliche Klassifizierung: Konsistente Einordnung von Vorfällen
- Effiziente Berichterstattung: Zeitnahe Meldung an zuständige Aufsichtsbehörden wie die BaFin
Testen der digitalen und operationalen Resilienz (Kapitel IV)
LamaPoll führt regelmäßig Tests zur operativen Resilienz durch:
- Externe Tests: Regelmäßig durchgeführte Penetrationstests mit Scope Infrastruktur und Backend werden durch anerkannte Unternehmen durchgeführt
- Interne Tests stellen Wiederherstellbarkeit und Widerstandsfähigkeit unseres Tools sicher
Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt 1)
Wir haben umfassende Maßnahmen zur Einschätzung und Überwachung von Risiken etabliert, die durch Drittanbieter entstehen:
- Kontinuierliche Bewertung: Laufende Überwachung der Sicherheitsstandards von Drittanbietern
- Regelmäßige Dienstleisterbewertung und Dokumentensteuerung
- Strenge Anforderungen: Sicherstellung, dass Drittanbieter unseren hohen Anforderungen entsprechen
Vereinbarungen über den Austausch von Informationen (Kapitel 6)
LamaPoll fördert den Austausch von Informationen über Bedrohungen, Techniken und Erfahrungen:
- Netzwerkbildung: Unterstützung des sektorübergreifenden Dialogs zur Verbesserung der Sicherheit - LamaPoll ist u. a. Teilnehmer der Allianz für Cyber-Sicherheit
Mit LamaPoll setzen Sie auf eine Lösung, mit der Sie die Einhaltung gesetzlicher Anforderungen gewährleisten (DORA-Konformität) und die Ihnen gleichzeitig eine robuste und sichere digitale Umgebung bietet. Unsere freiwillige ISO 27001-Zertifizierung unterstreicht unser Engagement für höchste Sicherheitsstandards sowie ein robustes Risikomanagement.