Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
| IT-Recht
Blog News
Die DORA-Verordnung (Digital Operational Resilience Act) gliedert sich in einer Reihe von Regelungen der EU ein, die als Reaktion auf die zunehmende Digitalisierung zu verstehen ist. Sie trat am 16. Januar 2023 in Kraft. Ab in Krafttreten haben die Finanzunternehmen 24 Monate Zeit, um die Anforderungen, die in der DORA festgelegt sind, umzusetzen. Als Verordnung gilt sie unmittelbar in allen Mitgliedstaaten der EU und findet als Lex specialis vorrangige Anwendung. Überschneidende Regelungsbereiche anderer Richtlinien oder Regelungen werden damit nicht verdrängt, sondern gehen vielmehr in der DORA-Verordnung auf. Insgesamt stellt sich DORA nicht als Erstes und wahrscheinlich auch nicht als Letztes Regelwerk dar, die als eine Antwort auf die zunehmende Digitalisierung im Finanzsektor verstanden werden kann. Doch welche Antworten liefert nun die DORA-Verordnung?
Die Digitalisierung hat nicht nur den gesamten Finanzsektor verändert, sondern auch die Verbindungen und Abhängigkeiten innerhalb des Sektors mit Drittleistungsanbietern vertieft. In den letzten Jahrzehnten hat der Einsatz von Informations- und munikationstechnologien (IKT) im Finanzwesen eine bedeutende Rolle übernommen und ist heute für den Betrieb von täglichen Funktionen aller Finanzunternehmen entscheidend. Die Digitalisierung betrifft viele Bereiche, wie z.B. die zunehmende Verlagerung von bargeld- und papierbasierten Zahlungsmethoden auf digitale Lösungen, das Wertpapierclearing und -abwicklung, elektronischen und algorithmischen Handel, Kredit- und Finanzierungsgeschäfte sowie Peer-to-Peer-Finanzierungen, Bonitätsbewertungen, Versicherungswesen, Forderungsmanagement und Back-Office-Operationen.
Die fortschreitende Digitalisierung und Vernetzung erhöhen demnach das Risiko von IKT-Bedrohungen und -Störungen, die insbesondere das Finanzsystem anfälliger machen. Beispielhaft können IKT-Risiken darin bestehen, dass Datenschutzverletzungen oder Datenlecks, bei denen vertrauliche Daten wie Kundendaten oder Geschäftsgeheimnisse gestohlen, verloren oder unerlaubt offengelegt werden. Ferner könnten Finanzdienstleister auch zur Zielscheibe von Cyberangriffen werden und somit Finanzdienstleistungen lahmlegen. Die Risiken, die IKT birgt sind ebenso vielfältig wie die Anwendungsbereiche und den großen Nutzen, der aus IKT gezogen werden kann.
Obwohl die Nutzung von IKT-Systemen und die Digitalisierung und Vernetzung heute grundlegende Merkmale der Aktivitäten von Finanzunternehmen sind, muss ihre Fähigkeit, sich gegen solche Bedrohungen zu verteidigen (digitale Resilienz), noch verbessert und in ihre allgemeinen Geschäftsprozesse integriert werden. Die DORA-Verordnung kann als Antwort auf die Frage, wie Finanzunternehmen auf solche Risiken reagieren sollten, verstanden werden. Hierfür soll die Verordnung einen geeigneten Rahmen schaffen, um derartige Risiken möglichst gering zu halten, sofern diese überhaupt absehbar sind. Denn eines steht fest; bei einer sich derart rasant entwickelnden Technologie wie IKT sind unvorhergesehene Risiken vorprogrammiert.
Damit Finanzunternehmen die volle Kontrolle über IKT-Risiken behalten können, benötigen sie umfassende Fähigkeiten für ein starkes und effektives IKT-Risikomanagement. Dazu gehören spezifische Mechanismen und Richtlinien für den Umgang mit allen IKT-bezogenen Vorfällen sowie die Meldung von schwerwiegenden Vorfällen an die zuständigen Behörden. IKT-bezogene Vorfälle sind in Artikel 3 - Begriffsbestimmungen - unter Ziffer 8 legal definiert. Hiernach ist ein solcher IKT-bezogener Vorfall ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.
Demnach verlangt DORA von den Finanzunternehmen, die Einführung eines IKT-bezogenen Vorfallsmanagementprozesses, um derartige Vorfälle zu erkennen, zu verwalten und zu melden.
Ferner sollten Finanzunternehmen über Richtlinien zum Testen von IKT-Systemen, -Kontrollen und -Prozessen sowie dem Umgang mit IKT-Drittparteirisiken verfügen. Damit ein hohes Maß an digitaler Resilienz gewährleistet wird, sollten Finanzunternehmen regelmäßig ihre IKT-Systeme und Mitarbeiter mit IKT-Verantwortlichkeiten auf ihre Effektivität und Fähigkeiten zur Prävention, Erkennung, Reaktion und Wiederherstellung testen. Die Durchführung dieser Tests sollte dabei unabhängigen Parteien obliegen. Die Testungen sollten eine breite Palette von Instrumenten und Maßnahmen umfassen, die von der Bewertung grundlegender Anforderungen bis hin zu erweiterten Tests reichen. Diese erweiterten Tests sollten jedoch nur für systemrelevant eingestufte Finanzunternehmen gelten. Zielsetzung der regelmäßigen Testungen ist die Aufdeckung von IKT-Schwachstellen sowie deren schnellen Behebung. Grundsätzlich stellen derartige Tests zur Optimierung der IT-Sicherheit nichts Neues dar. Allerdings beinhaltet die DORA-Verordnung Öffnungsklauseln, wonach bestimmte Anforderungen an die Tests noch spezifiziert werden können. Für die Finanzunternehmen bedeutet dies, dass eventuell dezidiertere Testverfahren eingeführt werden müssten, wie sie in dieser Tiefe bei den Finanzunternehmen noch nicht vorhanden sind.
Den Finanzunternehmen obliegt zudem die Dokumentation sowie Berichterstattung über die Tests bei den jeweils zuständigen Behörden. Nach der DORA-Verordnung ist es erforderlich, eine Protokollierung der durchgeführten Tests durchzuführen. Die Berichterstattung sollte im Vorfeld vorsehen, dass mögliche Vorfälle oder Störungen kategorisiert und gruppiert werden. Hierbei sind Standards für die Umsetzung erforderlich, wodurch eine einheitliche Durchführung der Dokumentation und Berichterstattung sichergestellt wird. Die Pflicht zur Berichterstattung und Dokumentation erstreckt sich natürlich auch bei IKT-bezogenen Vorfällen. Wenn sich also tatsächlich IKT-bezogene Vorfälle realisieren sind die zuständigen Behörden umgehend davon in Kenntnis zu setzen. Sofern bei schwerwiegenden IKT-bezogenen Vorfällen finanzielle Kundeninteressen berührt werden, sind diese ebenfalls durch das Finanzunternehmen über den Sachstand und die ergriffenen Maßnahmen zu unterrichten.
Durch die DORA werden IKT-Anbieter nicht nur indirekt, sondern auch in direkter Weise reguliert. Indem die Finanzunternehmen IKT-Prozesse ausgelagert haben, etwa weil Ihnen selber die Kapazitäten oder das „Know-how“ fehlt, haben sie sich gleichzeitig IKT-Risiken ins Haus geholt. Dieser Umstand ist den Köpfen der DORA-Verordnung nicht entgangen, sodass die DORA-Verordnung besondere Regelungen für ausgelagerte IKT-Anbieter beinhaltet. Aus diesem Grund gibt die DORA-Verordnung konkrete Vorgaben für Auslagerungsverträge an. Zusätzlich geht die DORA-Verordnung einen Schritt weiter. IKT-Anbieter, welche für den Finanzmarkt relevant sind, können durch einen Rechtsakt selbst der Aufsicht der zuständigen Behörden unterstellt werden. Ziel ist es, sicherzugehen, dass sich große Technologiekonzerne aufgrund ihrer starken Verhandlungsposition, nicht dem Willen des Gesetzgebers entziehen.
Aufgrund zunehmender Komplexität von IKT, sind geeignete Maßnahmen zur Erkennung und Vorbeugung von Risiken für Finanzunternehmen stark von einem regelmäßigen Austausch von Informationen über Bedrohungen und Schwachstellen abhängig. Aus diesem Grund gestattet die DORA- Verordnung den Finanzunternehmen einen Informationsaustausch über Cyberbedrohungen. Sollten sich also IKT-bezogene Vorfälle ereignen, die sich negativ auswirken, können andere Finanzunternehmen wenigstens einen positiven Lerneffekt daraus ziehen. Im Optimalfall können Finanzunternehmen durch den Austausch das Bewusstsein für Cyber-Bedrohungen schärfen, um IKT-Risiken zu verhindern, noch bevor sie zu tatsächlichen IKT-bezogenen Vorfällen werden.
Die Zeit bis die DORA am 17. Januar 2025 Geltung beansprucht sollte gut genutzt werden. Zwar sind Finanzunternehmen in Deutschland durch die bereits vorhandenen Regelungen hinsichtlich dem Risikomanagement für IT-Risiken gut aufgestellt. Auch stellen die regelmäßigen Tests und Dokumentationspflichten keine völlig neue Verwaltungspraxis dar. Allerdings sollten die Öffnungsklauseln im Blick gehalten werden, die es erlaubt dezidiertere Anforderungen an Tests zu stellen. Demnach sollte rechtzeitig geprüft werden, ob man den Anforderungen gerecht werden kann.
Insgesamt wird die DORA-Verordnung einen wesentlichen Teil dazu beitragen die Digitale Resilienz weiter zu stärken. Auch Unternehmen werden dadurch weiter gestärkt.
Als langjähriger Experte für Kryptorecht stehen wir unseren Mandanten seit über 15 Jahren in diesem Bereich zur Verfügung. Als dieser Fachbereich noch in den Kinderschuhen steckte, haben wir uns dieser Thematik bereits angenommen und so unsere jetzigen Krypto-Kenntnisse manifestiert. Im IT-Recht sind wir rechtlich immer einen Schritt voraus und so sind uns auch die neu entstehenden Bereiche Metaverse-Recht oder KI-Recht wichtig. Der Fortschritt geschieht schneller denn je und unsere Kanzlei bleibt mit seinen Anwälten und Experten stets am Zahn der Zeit.
Zögern Sie nicht uns für Ihre Fragestellungen zu kontaktieren! Wir sind rund um die Uhr per Mail für Sie erreichbar oder Sie kontaktieren uns telefonisch während unserer Geschäftszeiten.