Inzwischen sieht die Bafin zwei der sieben Hauptrisiken des deutschen Finanzmarktes bei Störungen durch die IT (siehe Bafin Pressemitteilung vom 23.01.2024), welche direkt oder indirekt ein Unternehmen betreffen. Der Digital Operational Resilience Act (DORA) stellt eine bedeutende EU-Verordnung dar, die darauf abzielt, die digitale Widerstandsfähigkeit von Finanzinstituten in der Europäischen Union zu stärken. Diese Verordnung betrifft Kapitalverwaltungsgesellschaften, Versicherungen, Vermögensverwalter und Banken und setzt den Fokus auf die Sicherstellung eines robusten und widerstandsfähigen digitalen Umfelds, um den zunehmenden Bedrohungen durch Cyberangriffe und IT-Störungen entgegenzuwirken. DORA ergänzt bestehende Regelungen wie die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und BAIT (Bankaufsichtliche Anforderungen an die IT) durch spezifische Maßnahmen zur Verbesserung der digitalen Resilienz.
DORA verfolgt mehrere zentrale Ziele: Erstens soll ein einheitlicher Rahmen für das Management und die Überwachung von IT-Risiken innerhalb der EU geschaffen werden. Zweitens wird die Zusammenarbeit zwischen den Finanzaufsichtsbehörden und IT-Dienstleistern intensiviert. Drittens legt die Verordnung großen Wert auf die Berichterstattung über schwerwiegende IT-Vorfälle. Diese Ziele sind im Einklang mit den Anforderungen der bestehenden nationalen und internationalen Aufsichtsregelungen und ergänzen diese durch einen umfassenderen Ansatz zur Sicherung der digitalen Resilienz.
Kapitalverwaltungsgesellschaften müssen im Rahmen von DORA ihre IT-Infrastruktur und -Prozesse anpassen, um sicherzustellen, dass ihre Systeme und Daten jederzeit geschützt sind. Diese Unternehmen müssen regelmäßige Bewertungen der digitalen Widerstandsfähigkeit durchführen und Notfallpläne entwickeln, um auf IT-Störungen reagieren zu können. Ein zentrales Element von DORA ist die Verpflichtung zur Durchführung von Stresstests, um die Belastbarkeit der IT-Systeme zu prüfen. Darüber hinaus müssen Kapitalverwaltungsgesellschaften detaillierte Berichte über ihre IT-Risikomanagementpraktiken an die zuständigen Aufsichtsbehörden übermitteln. Diese Anforderungen können zu erheblichen Investitionen in neue Technologien und IT-Sicherheitslösungen führen, um den geforderten Standards gerecht zu werden.
Versicherungsunternehmen stehen vor der Herausforderung, ihre IT-Sicherheitsmaßnahmen im Einklang mit DORA und den VAIT zu verstärken. Dies beinhaltet nicht nur den Schutz sensibler Kundendaten, sondern auch die Sicherstellung der kontinuierlichen Verfügbarkeit ihrer Dienste im Falle eines Cyberangriffs. Versicherer müssen robuste IT-Kontrollmechanismen implementieren und regelmäßig Audits durchführen, um die Wirksamkeit dieser Kontrollen zu gewährleisten. Zudem schreibt DORA vor, dass Versicherungen detaillierte Notfallpläne erstellen und regelmäßige Notfallübungen durchführen müssen. Diese Maßnahmen tragen dazu bei, die Resilienz gegenüber IT-Störungen und Cyberangriffen zu erhöhen und das Vertrauen der Kunden in die Sicherheitsmaßnahmen des Unternehmens zu stärken.
Für Vermögensverwalter ist die Einhaltung von DORA von besonderer Bedeutung, da sie mit erheblichen Geldmengen und sensiblen Informationen umgehen. Diese Unternehmen müssen ihre IT-Sicherheitsstrategien überdenken und umfassende Maßnahmen zur Prävention und Reaktion auf Cyberbedrohungen implementieren. Vermögensverwalter sind verpflichtet, regelmäßige Risikobewertungen durchzuführen und Sicherheitslücken unverzüglich zu schließen. Zusätzlich müssen sie detaillierte Dokumentationen über ihre IT-Sicherheitsmaßnahmen und -prozesse führen und diese auf Anfrage den Aufsichtsbehörden zur Verfügung stellen. DORA fördert eine stärkere IT-Sicherheitskultur und trägt dazu bei, die digitalen Risiken besser zu managen, wodurch das Vertrauen der Kunden und Investoren gestärkt wird.
Banken sind besonders stark von den Anforderungen von DORA betroffen, da sie über komplexe IT-Infrastrukturen und zahlreiche Drittanbieter verfügen. Die BAIT legt bereits spezifische Anforderungen an die IT-Sicherheit und das IT-Risikomanagement in Banken fest. DORA erweitert diese Vorgaben, indem es die Überwachung von IT-Risiken verbessert, die Widerstandsfähigkeit gegenüber Cyberangriffen stärkt und eine enge Zusammenarbeit mit IT-Dienstleistern fordert. Banken müssen umfassende IT-Risikomanagement-Frameworks implementieren und sicherstellen, dass alle Drittanbieter den hohen Sicherheitsanforderungen entsprechen. Darüber hinaus sind Banken verpflichtet, regelmäßige Cyber-Simulationen und Notfallübungen durchzuführen, um ihre Fähigkeit zur Bewältigung von IT-Krisen zu testen und zu verbessern. Diese Maßnahmen tragen dazu bei, die Sicherheit und Stabilität des gesamten Bankensektors zu erhöhen.
DORA stellt eine bedeutende Herausforderung für alle betroffenen Finanzinstitute dar, bietet jedoch auch die Chance, die digitale Widerstandsfähigkeit erheblich zu stärken. Durch die Einhaltung dieser Verordnung sowie der VAIT und BAIT können Kapitalverwaltungsgesellschaften, Versicherungen, Vermögensverwalter und Banken ihre IT-Sicherheit verbessern, das Vertrauen der Kunden stärken und ihre Widerstandsfähigkeit gegenüber zukünftigen digitalen Bedrohungen erhöhen. Die harmonisierten Anforderungen tragen zu einem einheitlichen Sicherheitsniveau in der gesamten Finanzbranche bei und fördern die Zusammenarbeit zwischen den verschiedenen Akteuren und Aufsichtsbehörden.
Ihre Themen passen zu unseren Leistungen, Sie wünschen weitere Informationen? Kontaktieren Sie uns!