Der Digital Operational Resilience Act trat mit 16.01.2023 in Kraft und ist Teil des umfassenden EU-Pakets zur Digitalisierung des Finanzsektors, zu welchem auch der Verordnungsvorschlag zu Markets in Crypto Assets (MiCAR) und der Verordnungsvorschlag zu Distributed Ledger Technology (DLT) gehören. Die neuen Vorgaben sind von den Regelungsadressaten bis 17.01.2025 umzusetzen.
Durch die Harmonisierung der bestehenden Vorschriften und Anforderungen an die Sicherheit der Netz- und Informationssysteme im Finanzsektor, soll die neue Verordnung zum einen die betriebliche Widerstandsfähigkeit und Stabilität dieses Sektors auch bei schwerwiegenden Störungen gewährleisten, zum anderen aber auch die Marktteilnehmer schützen.
Wer ist nun Regelungsadressat und worin bestehen die neuen Vorgaben konkret?
Wen treffen die neuen Vorgaben nach DORA?
Regelungsadressaten der neuen Vorgaben der Verordnung sind sowohl Finanzunternehmen als auch Dritte, die Finanzdienstleistern Dienste im Bereich der Informations- und Kommunikationstechnologien zur Verfügung stellen (IKT-Drittanbieter).
Zu den Finanzunternehmen zählen nicht nur die klassischen Kredit- und Zahlungsinstitute, E-Geld-Institute oder Wertpapierunternehmen, sondern etwa auch Anbieter von Krypto-Dienstleistungen und Emittenten von Kryptowerten (die jeweils im Rahmen der MiCAR zugelassen sind). Aber auch Investmentfonds, Versicherungsunternehmen und -vermittler gehören zu jener Gruppe von Unternehmen, die vom Anwendungsbereich der Verordnung erfasst sind.
Zu den IKT- Drittanbieter zählen jene Unternehmen, die digitale Dienste und Datendienste erbringen, wie etwa Anbieter von Cloud-Computing-Diensten oder Datenanalysediensten. Konkrete Beispiele sind etwa Entwickler von Banken-Apps, Betreiber von Kernbankensystemen oder klassische IT-Service Provider.
Was sind die neuen Vorgaben für Compliance nach DORA?
Die Verordnung unterscheidet bezüglich der einzuhaltenden Verpflichtungen zwischen den erfassten Finanzunternehmen und IKT-Drittanbieter in Bezug auf Größe, Unternehmensprofile und Ausmaß der digitalen Risiken (sog. Proportionalitätsprinzip).
IKT-Risikomanagement und Verantwortlichkeit der Geschäftsleitung
Das Leitungsorgan des Finanzunternehmens ist für die Einrichtung eines internen Governance- und Kontrollrahmens sowie für sämtliche Pflichten im Zusammenhang mit dem IKT-Risikomanagement verantwortlich. Dazu zählt auch die Festlegung klarer Aufgaben und Zuständigkeiten für alle IKT-bezogenen Funktionen.
Der IKT-Risikomanagementrahmen muss schriftlich dokumentiert sein und umfasst Strategien und Protokolle, die alle relevanten physischen Komponenten und Infrastrukturen (einschließlich Computer-Hardware und Server), sowie alle relevanten Räumlichkeiten (einschließlich Rechenzentren und sensible Bereiche) ordnungsgemäß und wirksam vor Risiken wie etwa Beschädigung, unbefugtem Zugriff oder unbefugter Nutzung schützen. Die IKT-Systeme müssen dazu regelmäßig gepflegt, überwacht und im Hinblick auf ihre Funktionsweise kontrolliert und aktualisiert werden. Finanzunternehmen müssen darüber hinaus über eine IKT-Strategie für die Fortführung des Geschäftsbetriebs sowie einen IKT-Plan für die Wiederherstellung im Notfall verfügen, die mindestens einmal jährlich überprüft werden muss.
- Meldung IKT-bezogener Vorfälle
Finanzunternehmen müssen einen Managementprozess zur Überwachung, Protokollierung und Meldung von IKT-bezogenen Vorfällen einrichten. Darunter versteht die Verordnung – vereinfacht gesagt – ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen beeinträchtigt oder nachteilige Auswirkungen hat.
Je nach Klassifizierung, die anhand der vorgegeben Kriterien zu erfolgen hat, müssen schwerwiegende Vorfälle, also solche mit potenziell umfassender nachteiliger Auswirkung auf die Netz- und Informationssysteme, den Finanzaufsichtsbehörden durch Erst-, Zwischen- und Abschlussberichte gemeldet werden. Sofern der Vorfall Auswirkungen auf die finanziellen Interessen von Kunden und Nutzern haben kann, sind auch diese über den Vorfall und die getroffenen Maßnahmen zu informieren.
- Einbindung eines IKT-Drittanbieter
Für die Einbindung von IKT-Drittanbieter stellt die Verordnung strenge Anforderungen auf, die teilweise nicht ganz neu sind, sondern an das bestehende Auslagerungsregime für regulierte Finanzmarktteilnehmer anknüpfen.
Finanzunternehmen müssen ein Informationsregister mit sämtlichen ausgelagerten IKT-Prozessen führen und auf Behördenanfrage zur Verfügung stellen. Sie haften für die Einhaltung und Erfüllung aller Verpflichtungen der Verordnung durch die beauftragten Drittdienstleister und dürfen Verträge überhaupt nur mit solchen IKT-Drittanbieter abschließen, die hohe, angemessene und aktuelle Standards für Informationssicherheit einhalten. Für Finanzunternehmen muss daher vom Vertragsabschluss bis zur Nachvertragsphase eine Überprüfung und Überwachung der eingebundenen IKT-Drittanbieter möglich sein.
Zu diesem Zweck müssen die abzuschließenden Auslagerungsverträge bestimmte, wesentliche Vertragsbestimmungen enthalten, etwa eine Beschreibung aller Funktionen und Dienstleistungen des IKT-Drittanbieters, Angaben zu den Orten, an denen Daten verarbeitet werden sollen, fortlaufende Überwachungsrechte des Finanzunternehmens sowie Kündigungsrechte und Ausstiegsstrategien. Für die Nutzung von Cloud-Computing-Diensten plant die Kommission Standardvertragsklauseln zu entwickeln, die von den betroffenen Akteuren verwendet werden können.
Ausblick
Aufgrund des weiten Anwendungsbereichs sind nun zahlreiche Unternehmen aus dem Finanzsektor von den neuen Verpflichtungen umfasst, inklusive erstmals nun auch IKT-Drittanbieter (IKT-Dienstleister), die von den regulierten Finanzdienstleistern als Outsourcing-Dienste herangezogen werden.
Unser New Technologies- und IP-Team hält Sie auf dem Laufenden und berät IKT-Dienstleister gerne bei der Umsetzung der Anforderungen im Zusammenhang mit dem Digital Operational Resilience Act.