Stichtag 17.01.2025

DORA: Herausforderungen, rechtliche Absicherung, Umsetzung

Man hört und liest es immer wieder: Einbrüche in Firmennetze, Raub von Daten, Offenlegung interner Kommunikation. Das Klima im IT-Sektor wird immer rauer. Wirtschaftlich und politisch unsichere Zeiten verlangen nach mehr Cybersicherheit und IT-Resilienz – auch und gerade in der Finanzindustrie als eine der wichtigen Säulen unserer westlichen Ökonomie.

Ab dem 17. Januar 2025 sind in der Europäischen Union die Bestimmungen des Digital Operational Resilience Act (DORA) anzuwenden. Nach einer Vorlaufzeit von 24 Monaten tritt dann in Kraft, womit die EU die digitale operative Widerstandsfähigkeit im Finanzsektor dauerhaft fördern und sicherstellen will.

Konkret geht es darum, dass Finanzunternehmen und ihre Dienstleister in der Lage sind, Cyberbedrohungen und Systemausfällen standzuhalten und ihre Geschäftsabläufe auch unter extremen Bedingungen fortzuführen. Gleichzeitig wird mit DORA eine Harmonisierung nationaler Standards in der EU erreicht, was angesichts länderübergreifender Datenströme längst überfällig erscheint.

Wer ist betroffen?

DORA betrifft Finanzunternehmen wie bspw. Banken, Versicherungen, Einrichtungen der betrieblichen Altersvorsorge, Bausparkassen, Wertpapierfirmen, Kreditinstitute, Zahlungsdienstleister, sowie IKT-Dienstleister, die wesentliche Dienstleistungen für diese Unternehmen bereitstellen.

Das komplexe Regelwerk deckt explizit alle Kernbereiche von IKT-Sicherheit ab und zwingt betroffene Unternehmen zu handeln. Dies gilt insbesondere im Hinblick auf das IKT-Risikomanagement, den Umgang mit IKT-bezogenen Vorfällen, das Testen der digitalen operationalen Resilienz, das Management des IKT-Drittparteienrisikos und den Austausch relevanter Informationen.

Darum geht es bei DORA

  • Einführung robuster Risikomanagementverfahren für IT-Systeme und Daten
  • Etablierung von Prozessen für die Meldung und Bearbeitung von IT-Vorfällen
  • Implementierung von Maßnahmen zur Prävention und Abwehr von Cyberangriffen
  • Durchführung von regelmäßigen Penetrationstests und Simulationen, um die Widerstandsfähigkeit zu prüfen
  • Management der Risiken, die durch externe Dienstleister entstehen, insbesondere bei kritischen Dienstleistungen.

Abhängig davon, wie betroffene Unternehmen bislang aufgestellt waren, kann dies erhebliche Investitionen in IT-Infrastruktur, Sicherheitslösungen und Schulungen für Mitarbeitende erforderlich machen.

Grundlegende vs. kritische Dienstleistungen

IKT-Dienstleister wie Fact, die wesentliche Dienste für Finanzunternehmen bereitstellen, stehen vor der Herausforderung, ihre Dienstleistungen den neuen Vorgaben anzupassen. DORA trennt dabei zwischen grundlegenden und kritischen IKT-Dienstleistungen, wobei letztere noch einmal höheren Anforderungen unterliegen.

Die jeweilige Einstufung ihrer Dienstleister müssen Finanzunternehmen selbständig vornehmen. Als Maßstab gelten die Bedeutung und die Integration der erbrachten Fremdleistungen für das eigene operative Geschäft.

Rechtzeitig auf DORA eingestellt

Als Dienstleister für zahlreiche große und mittlere Finanzunternehmen beschäftigt sich Fact seit der gesetzgeberischen Verabschiedung von DORA im Europäischen Parlament 2023 intensiv mit dem Thema. Für uns bedeutet DORA u. a., dass wir unsere Sub-Dienstleister, etwa unseren Cloud-Provider Microsoft, fortlaufend überwachen. Zusätzlich dazu müssen wir beispielsweise:

  • Passende Versicherungen abschließen
  • Interne und externe Prüfungen durchführen

Außerdem stellt DORA erhöhte Anforderungen an die Dokumentation unserer Dienstleistung und der Dienstleistungsgüte, sowie der Zusammenarbeit mit Aufsichtsbehörden. Das geht insbesondere in Richtung Prüfungsrechte und einer fortlaufenden Überwachung.

Von unseren Kunden werden wir vermehrt nach Zertifizierungen, Notfallplänen und speziellen Maßnahmen zur IKT-Sicherheit gefragt. Aus dem Cloudbereich kommen Themen wie "Wo befinden sich unsere Daten?", "Wo sind die Rechenzentren?", "Welche Subdienstleister haben sie gewählt?" und ähnliches hinzu.

Alle diese Maßnahmen und Dokumentationspflichten haben wir ergriffen, um die Anforderungen von DORA hinsichtlich des Betriebs unserer Produkte und Dienstleistungen zu erfüllen.

Rechtlichte Absicherung

Neben der operationellen Umsetzung steht aber auch die komplexe vertragliche Regelung mit unseren Kunden im Vordergrund. Nur darüber können sich beide Seiten gemäß den DORA-Anforderungen absichern. Im Lauf der vergangenen Monate hat sich folgende Vorgehensweise bewährt:

  1. Abstimmung des Vorgehens zwischen dem Finanzunternehmen und Fact
  2. Prüfung der aktuellen Vertragslage durch Fact
  3. Einstufung von Fact als grundlegender oder kritischer Dienstleister durch das Finanzunternehmen
  4. Erstellung eines zu dieser Einstufung passenden Rahmenvertrags-Entwurfs durch Fact
  5. Verhandlung des Rahmenvertrags-Entwurfs und der Konditionen
  6. Umsetzung der im Vertrag vereinbarten Maßnahmen

Fact setzt in diesem Prozess auf neue bzw. erweiterte Rahmenverträge. Sie decken neben den erweiterten Dienstleistungen ggf., falls nicht bereits in Einzelverträgen geregelt, auch unsere Verfügbarkeitsgarantien und zugehörigen Vertragsstrafen ab.

Unabhängig davon, welche und wie viele Produkte bzw. Dienstleistungen der Fact ein Kunde in Anspruch nimmt, können wir dadurch ein einziges globales und DORA-konformes Regelwerk anbieten – und unseren Kunden dadurch viel Arbeit abnehmen.

Branchenweite Herausforderung

Tatsächlich gibt es in den DORA-Vorschriften Sachverhalte, die für uns als IKT-Dienstleister nur schwer bzw. unmöglich umsetzbar sind. Etwa, weil sie auf eine Fremdbestimmung bei der Auswahl unseres Personals oder unserer Dienstleister hinauslaufen. Wir stellen diese kritischen Punkte in den Verhandlungen mit unseren Kunden deutlich heraus und bieten Lösungen an, die für das Finanzunternehmen und Fact umsetzbar und tragfähig sind.

In diesem Zusammenhang zeigt sich noch einmal deutlich, dass DORA eine branchenweite Herausforderung ist, die Finanzunternehmen und ihre Dienstleister nur gemeinsam bewältigen können. Die Aufgabe ist gewiss nicht klein, doch der Nutzen enorm.

Fazit

Keine Frage, Regulierung bedeutet immer Aufwand, ganz gleich, in welchem Bereich. Und sie kostet Geld. Doch angesichts der Herausforderungen unserer Zeit führt an den geforderten Maßnahmen von DORA kein Weg vorbei. Ab dem 17. Januar 2025 können Unternehmen vom Gesetzgeber in die Pflicht genommen werden. Übergangsfristen sind nicht vorgesehen. Lassen Sie diesen wichtigen Termin nicht untätig verstreichen. Nehmen Sie jetzt Kontakt mit unserem Experten Aleksandar Ivezić auf. Die Zeit dafür ist mehr als reif.

Aleksandar Ivezić Senior Manager Sales

+49 2131 777 238

a.ivezic@fact.de

Lesen Sie auch:

  • Herausforderungen an das Asset-Management – „Nichts ist so beständig wie der Wandel“, sagt man.

    Mehr
  • Ab in den Container – Software als Stückgut: Wie Docker das Rechenzentrum revolutioniert.

    Mehr
  • Das Auge isst mit – Information, Interaktion, Intuition: Mit Cloud-Technik zu modernen Benutzerschnittstellen.

    Mehr
  • Schnelle Resultate mit dem Fin RP Best-Practice-Toolkit – Warum bei null beginnen? Besser: eine schnelle Implementierung mit dem Best-Practice-Toolkit

    Mehr
  • Tat-Ort Finanzindustrie – Warum institutionelle Investoren jetzt auf Cloud-Computing setzen

    Mehr
  • Interview – Aleksandar Ivezić im Gespräch – „Zukünftig werden sich Kunden beim Disclosure Management auf Steuerungsaufgaben fokussieren.“

    Mehr