Seit längerem wird über eine neue EU-Verordnung im Bereich IT-Recht gesprochen: Der Digital Operational Resilience Act (DORA), oder auf Deutsch „Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors“, soll mehr IT-Sicherheit und Widerstandsfähigkeit innerhalb des Finanzsektors schaffen, dies insbesondere durch eine Drittanbieterhaftung für IKT-Dienste. Nun wurden am 10. Mai 2022 die Trilog-Verhandlungen zum im November 2021 eingereichten Entwurf mit Einigung beendet.[1]
DORA ist Teil eines Regulierungs-Pakets der EU, um „das Innovations- und Wettbewerbspotenzial des digitalen Finanzwesens weiter zu erschließen und zu fördern“.[2] Maßgebliches Ziel des DORA ist es, Digitalisierung als Chance für die Banken- und Finanzindustrie zu nutzen, gleichzeitig aber durch einen strengen Regulierungsrahmen den sicheren Einsatz von Informations- und Kommunikationstechnologien (IKT) zu garantieren. Mit Inkrafttreten von DORA werden Finanzunternehmen daher zukünftig nicht nur für das Handeln der von ihnen ausgewählten IKT-Drittanbieter in Haftung stehen, die Verordnung sieht auch weitere Pflichten vor, welche hier in kurzer Übersicht vorgestellt werden sollen.
Anwendungsbereich und Verhältnis von DORA zu anderen Regulierungen
Der Digital Operational Resilience Act soll auf EU-Ebene einen Rechtsrahmen für die Betriebsstabilität von Finanzinstituten schaffen und baut auf dem vorherigen FinTech-Digitalisierungspaket aus 2018 auf.[3] Damit werden nationale Regelungen wie die erst 2021 novellierte BAIT-Leitlinie (Bankaufsichtliche Anforderungen an die IT),[4] sowie die noch in Kraft zutretende VAIT-Novelle (Versicherungsaufsichtliche Anforderungen an die IT) ergänzt. Beide sollen, genau wie DORA, grundlegende Verpflichtungen im Bereich Risikomanagement schaffen, z.B. die ausführliche Beschreibung eingesetzter IT-Umgebungen, die Einführung von Informationssicherheits-Richtlinien sowie Notfallmanagementkonzepten.
Auffällig ist, dass die EU den Begriff der Finanzdienstleister innerhalb DORA äußerst weitreichend fasst. Nach Art. 2 Abs. 1 DORA fallen darunter konkret:
- Kreditinstitute
- Zahlungsinstitute und E-Geld-Institute
- Wertpapierfirmen
- Anbieter von Krypto-Dienstleistungen
- Zentralverwahrer und zentrale Gegenparteien
- Handelsplätze
- Transaktionsregister
- Verwalter alternativer Investmentfonds und Verwaltungsgesellschaften
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, sowie
- Einrichtungen der betrieblichen Altersversorgung (EbAV)
- Ratingagenturen
- Abschlussprüfer und Prüfungsgesellschaften
- Administratoren kritischer Referenzwerte sowie
- Crowdfunding-Dienstleister
Demnach sind nicht nur große Bank- und Versicherungsdienstleister betroffen: Auch unterstützende Dienstleister wie Datenbereitstellungsdienste (Art. 2 Abs. 1 lit. l), die bei der Erfüllung der Veröffentlichungs- und Meldepflichten von Wertpapierfirmen sowie Betreibern von Handelsplätzen involviert sind, und seit 2017 auf nationaler Ebene der Aufsicht der BaFin unterliegen, müssen die Maßnahmen einhalten. Ebenfalls interessant dürfte sein, welche Auswirkungen DORA auf große Online-Zahlungsanbieter wie PayPal oder Klarna haben wird, insbesondere in Hinblick auf deren Leistungsangebot und die Nutzung durch Verbraucher.
Für genaue Definitionen der anderen Anbieter verweist DORA auf die Marktinfrastrukturverordnung (EU) Nr. 648/2012.
Nicht von der Verordnung umfasst ist die Thematik Kryptowährung. Regelungen hierzu finden sich in der dem Regulierungspaket ebenfalls zugehörigen Verordnung MiCA (Regulation on Markets in Crypto Assets oder in Deutsch: Verordnung über Märkte für Kryptowerte), die innovative Lösungen zum Massenzahlungsverkehr bereitstellen soll.[5]
Governance für ein IKT-Risikomanagement
Als Aufsichtsrahmen soll DORA in erster Linie strengere Regulierungen für Informations- und Kommunikationstechnologien (IKT), die von Banken und Versicherungen eingesetzt werden, schaffen. Darunter fallen auch die mittlerweile nicht mehr wegzudenkenden Cloud-Services wie Amazon AWS, Microsoft Azure oder Google Cloud.
Art. 4 DORA setzt dazu voraus, dass nicht nur Banken, sondern jedes der in den Anwendungsbereich fallenden Unternehmen interne Governance- und Kontrollrahmen für den Einsatz ihrer IKT-Leistungen von Drittanbietern, darunter auch eigener Tochterunternehmen, führen muss. Dazu soll ein Leistungsorgan bestimmt werden, das alle Vorkehrungen im Rahmen eines IKT-Risikomanagementrahmens nach Art. 5 überwacht, Aufgaben und Zuständigkeiten festlegt, Genehmigungen ausspricht und im Zweifel Rechenschaft für Handlungen und Vorfälle übernimmt. Für Kleinstunternehmen gelten dabei geringere Anforderungen als für große Unternehmen.
Ziel des Risikomanagementrahmens ist es, durch das Festlegen von (Geschäfts-) Strategien und dem Führen von IKT-Protokollen sämtliche physischen Komponente und Infrastrukturen vor Risiken wie unbefugten Zugriffen zu schützen.
Konkreter festgelegt werden die Aufgaben, die im Rahmen des Risikomanagements vollbracht werden müssen, in den Artikeln 6 bis 14 DORA. Dies umfasst unter anderem technische Schutzmaßnahmen, Wiederherstellungsmaßnahmen, sowie interne Kommunikation durch Kommunikationspläne.
Mit der Umsetzungspflicht eines solchen Kontrollrahmens und Risikomanagements erhalten Unternehmen, die vom Anwendungsbereich des Digital Operational Resilience Act umfasst sind, die vollkommene Verantwortung und Haftung für das Handeln der von ihnen ausgewählten IKT-Drittanbieter. Im Falle einer Sicherheitslücke oder eines Vorfalls kann sich nicht auf das Fehlverhalten der IKT-Anbieter berufen werden.
Prüfungen, Risikoanalysen und rechtliche Vertragsbestimmungen
Damit auch die im Namen beinhaltete „Resilience“ bzw. Betriebsstabilität gewahrt werden kann, sieht Kapitel IV DORA regelmäßige interne Prüfungen vor, darunter jährliche Tests und Risikoanalysen, die von unabhängigen Experten nach Art. 24 DORA zur Bewertung der Anfälligkeit von Vorfällen durchgeführt werden müssen. Dies umfasst z.B.:
- Analysen von Open Source-Software und soweit durchführbar weitere Quellcodeprüfungen
- Bewertungen der Netzsicherheit
- Lückenanalysen
- Analysen und Überprüfungen der physischen Sicherheit
- Fragebögen und Scansoftwarelösungen
- Szenario basierte Tests
- Kompatibilitäts- und Leistungstests
- End-to-End-Tests oder Penetrationstests
Die IKT-Drittanbieter sind dabei mit einzubeziehen. Änderungen an den Testverfahren müssen den Behörden gemeldet werden.
Doch auch rechtlich verlangt DORA in Hinblick auf die Verträge mit den IKT-Drittanbietern Maßnahmen: Nach Art. 27 DORA müssen Rechte und Pflichten des Finanzunternehmens und der IKT-Drittanbieter in den gegenseitigen Verträgen eindeutig zugewiesen und schriftlich dargelegt werden. Dabei müssen alle Funktionen, Standorte, Maßnahmen zur Erfüllung der Schutzziele der Informationssicherheit bzw. TOMs, Kündigungsfristen, Notfallpläne und weiteres genaustens beschrieben werden. Den Unternehmen steht es dabei frei, auf Standardvertragsklauseln zurückzugreifen.
Meldeverfahren für Vorfälle
Für den Fall, dass es zu einem Vorfall bzw. Sicherheitsbruch kommt, müssen die Unternehmen nach Art. 15 Frühwarnindikatoren schaffen, ebenso wie eine angemessene Vorgehensweise, um bei Vorfällen schnell zu handeln.
Weiterhin schafft DORA klare einheitliche und standardisierte Vorschriften zum Vorgehen bei Vorfällen: So beschreibt etwa Art. 16 ein Klassifizierungsverfahren, basierend auf Faktoren wie der Dauer und Schwere des Vorfalls, damit dieser anschließend innerhalb des in Art. 17 -19 festgelegten Meldeverfahrens bei den Behörden gemeldet werden kann.
Einstufung kritischer IKT-Anbieter
Besonders hervorzuheben ist jedoch Art. 28 DORA. Danach erhalten nationalen Behörden, in Deutschland also die BaFin, die Befugnis, als Teil der ESA (Europäisches Finanzaufsichtssystem) systemrelevante Service Provider zu auditieren, bzw. kritische ITK-Anbieter zu benennen. Dazu wird das Parlament nach Art. 51 DORA befugt, gemeinsam mit der Europäischen Bankenaufsichtsbehörde (EBA), der Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA), der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) und gegebenenfalls dem EU-Systemrisiko-Rat (ESRB), Kriterien festzulegen und diese in einem Bericht an die BaFin weiterzugeben. Bisher festgelegte Kriterien sind etwa:
- Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
- Bedeutung und Abhängigkeiten der Leistungen
- Grad der Substituierbarkeit
- Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen
Wird ein IKT-Anbieter als kritisch eingestuft, muss dieses innerhalb von 30 Tagen angeben, ob es Empfehlungen, welche die Behörden aussprechen, umsetzen möchte. Dabei darf die ESA nach Art. 38 DORA von jenen Unternehmen Aufsichtsgebühren erheben, um entstehende Verwaltungskosten zu decken.
Vor allem in Hinblick auf Auslagerungen in Cloud-Umgebungen, dürften die Entscheidungen spannend werden.
Fazit
Der Digital Operational Resilience Act DORA wird einige Neuheiten in Bezug auf den Einsatz von IKT-Technologien mit sich bringen, durch welche nationale Vorschriften ergänzt und Rechtslücken für die IT-Sicherheit geschlossen werden. Doch nicht nur Finanzunternehmen, für die DORA sowohl den Verlust von Flexibilität in der Auswahl ihrer IT-Assets als auch ein schnelles Anpassungserfordernis bedeuten wird, sind von den Regulierungen betroffen: Für IKT-Anbieter dürfte besonders die Einstufung durch die EU und die BaFin von Relevanz sein, je nachdem wie diese ausfallen werden.
Im Lichte der IT-Sicherheit sowie des Datenschutzes bleiben die Maßnahmen von DORA allerdings zu befürworten und abzuwarten, wann die EU den Vorschlag final im Amtsblatt veröffentlicht.
[1] Rat der EU: Digitalisierung des Finanzwesens: vorläufige Einigung über die Verordnung über digitale Betriebsstabilität erzielt, 11. Mai 2022, <https://www.consilium.europa.eu/de/press/press-releases/2022/05/11/digital-finance-provisional-agreement-reached-on-dora/>.
[2] Aktueller Einigungsentwurf DORA, <https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52020PC0595&from=DE>, S. 1.
[3] Europäische Kommission, FinTech Action plan: For a more competitive and innovative European financial sector, <https://ec.europa.eu/info/sites/default/files/180308-action-plan-fintech_en.pdf
[4] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): BaFin novelliert ihre BAIT, 16.08.2021, <https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2021/fa_bj_2108_BAIT.html>.
[5] Europäische Kommission, Presseartikel: Digitalisierung des Finanzsektors: Modern und kostengünstig bezahlen, 24.09.2020, <https://germany.representation.ec.europa.eu/news/digitalisierung-des-finanzsektors-modern-und-kostengunstig-bezahlen-2020-09-24_de>.
Diese Artikel könnten Sie auch interessieren:
Sie haben weitere Fragen zu unseren Blog-Artikeln oder allgemeiner Art? Wenden Sie sich gerne an uns, über das Kontaktformular.