Stellen Sie sich vor, Ihr Finanzunternehmen hat jahrelang erfolgreich das Vermögen vieler Kunden verwaltet. Ihre Kunden haben ihr Geld in verschiedenen Produkten wie Konten, Depots und Versicherungen bei Ihnen angelegt. Doch eines Tages wird Ihr Institut Opfer eines Cyberangriffs und die digitalen Vermögenswerte Ihrer Kunden sind plötzlich gefährdet. Genau solche Szenarien will die neue „DORA-Verordnung“ der EU verhindern. Zurecht, finden wir!
Was ist die DORA-Verordnung?
Die Abkürzung „DORA“ steht für „Digital Operational Resilience Act“. Sie soll dazu beitragen, den europäischen Finanzsektor resilienter - also widerstandsfähiger und stärker - gegen digitale Gefahren zu machen, die u.a. durch Cyberangriffe oder Informations- und Kommunikationsrisiken (IKT) entstehen können.
Die EU hat sich hierbei auch für eine Verordnung und nicht etwa für eine Richtlinie entschieden. Eine Richtlinie (z.B. Hinweisgeberrichtlinie) muss erst ins deutsche Recht „umgewandelt“ werden, wobei jeder EU-Staat gewisse Freiheiten besitzt – das Ergebnis: alle EU-Staaten verfolgen zwar das gleiche Ziel, aber wie genau sie das tun, bleibt ein Stück weit ihnen selbst überlassen. Eine Verordnung hingegen (z.B. Datenschutzgrundverordnung) gilt unmittelbar, das bedeutet, dass ihre Regelungen direkt und genauso in allen EU-Staaten eingehalten werden müssen. Dass die EU hier das Mittel einer Verordnung gewählt hat, bedeutet also, dass sie (schnell) klare und einheitliche Standards schaffen möchte.
Für wen und ab wann gilt die DORA-Verordnung?
Die DORA-Verordnung muss ab dem 17.01.2025 bereits praktisch angewendet werden und gilt für die Finanz- und Versicherungsbranche. Darunter fallen beispielsweise Banken und Kreditinstitute, Wertpapierfirmen, Krypto- und Crowdfundingdienstleister, Ratingagenturen u.v.m.
Sie gilt aber auch für IT-Dienstleister in diesem Sektor („IKT-Drittdienstleister“). Wer also „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen […]“ anbietet, muss diese Verordnung ebenfalls umsetzen.
Sie gilt u.a. jedoch nicht für einige Unternehmen aus der Versicherungsbranche (Achtung: NUR Versicherungsbranche!), die weniger als 250 Mitarbeiter beschäftigen und deren Jahresumsatz 50 Mio. € und/oder Bilanzsumme von 43 Mio. € nicht überschreitet.
Was soll die DORA-Verordnung bewirken – und warum soll sie das?
Die Verordnung soll vor allem bewirken, dass Finanzunternehmen widerstandsfähiger gegen digitale Gefahren werden. Das natürlich hauptsächlich aus dem Grund, die Kunden oder Verbraucher davor zu schützen, dass ihr Geld bzw. ihr Vermögen technischen Sicherheitslücken zum Opfer fallen.
Die DORA-Verordnung ist dabei nicht nur ein „Nice-to-have“ oder wieder einmal eine Verordnung, die mehr Arbeit als Sinn macht. Sie ist absolut am Puls der Zeit und dringend notwendig! Wenn Sie beispielsweise ein Hacker wären… wo würde es sonst so schnell und einfach gehen, möglichst viel Geld mit IT-Sicherheitslücken zu verdienen, als bei Finanzinstituten?!
Was ist in der DORA-Verordnung u.a. geregelt?
Die gesamte digitale Resilienz des europäischen Finanzsektors soll gestärkt und gleichzeitig vereinheitlicht werden. Das bezieht sich insbesondere auf 6 Bereiche:
- IKT-Risikomanagement (zur Wiederholung: „IKT“ = Informations- und Kommunikationsrisiken)
- IKT-bezogene Vorfälle behandeln, klassifizieren und berichten
- Digitale operationelle Resilienz (inkl. Threat-led Penetration Testing) testen
- IKT-Drittparteirisikos managen
- Vorgeben, wie man kritische IKT-Drittdienstleister überwachen will
- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen treffen
Was bedeutet die DORA-Verordnung für die Praxis?
DORA ist nicht nur eine „lästige“ und kostspielige Pflicht für Unternehmen, sondern kann als echte Chance betrachtet werden. Denn durch die damit einhergehende Verpflichtung, die eigenen Sicherheitslücken im technischen Bereich zu schließen, kann gleichzeitig die Chance ergriffen werden, mehr als nötig zu machen und sich so im Finanz- und Versicherungsunternehmen einen Marktvorteil im Vergleich zu Mitbewerbern zu verschaffen.
Unsere Empfehlungen für Sie:
- Versuchen Sie zu verstehen, was Ihre (externen) IT-Dienstleister machen und wie sie sich absichern
- Führen Sie schon jetzt umfangreiche GAP-Analysen durch
- Lenken Sie Ihre Aufmerksamkeit lieber zu früh als zu spät auf Themen wie z.B. Threat Intelligence und Threat led Penetration
- Und zu guter Letzt unsere allerwichtigste Empfehlung:
Haben Sie den Mut und legen Sie Ihre Hemmungen ab, sich diese Verordnung selbst einmal durchzulesen! Nicht nur die Artikel, sondern insbesondere die Erwägungsgründe am Anfang erklären mehr, als Sie vermutlich wissen und auch wissen müssen. Sollten Sie das tun, sind Sie schon weiter und besser informiert als viele andere Personen (und Juristen), die sich Ihr Wissen nur aus Artikeln oder Kommentaren ziehen. Wir versprechen: Das ist nicht nur einfacher und schneller, sondern auch nachhaltig sicherer, als stundenlang auf Google zu recherchieren!
Anmerkung der Redaktion:
Wir selbst haben lange zu diesem Thema recherchiert und sind auf viele Artikel von eigentlich sehr renommierten Unternehmen gestoßen, in denen sich gravierende Fehler befunden haben. Hinzu kommt, dass verschiedene Firmen, die dieses Thema aufarbeiten und ansprechen, verschiedene Fokusse haben, die ihnen am meisten zugutekommen. Deshalb: 2-3 Stunden, die Sie in das aufmerksame Lesen dieser Verordnung investieren, sind wertvoller und besser investiert, als wenn Sie jede Woche 30 Minuten in die Recherche von Artikeln stecken - und das für die ganzen nächsten Jahre!“
In den kommenden Wochen bieten wir vertiefende Einblicke und Updates zur DORA-Verordnung sowie praktische Lösungsansätze und Vorlagen, um Finanzunternehmen zu helfen, die Anforderungen der Regelung effizient umzusetzen.