DORA – Digital Operational Resilience Act
Überblick der neuen EU-Anforderungen an die IKT-Systeme von KVGen im Vergleich zur KAIT
Mit zunehmender Digitalisierung sind in den letzten Jahren Bedrohungen gegenüber den Informations- und Kommunikationstechnologie (IKT)-Systemen von Finanzunternehmen deutlich gestiegen. Durch Gefährdungen wie beispielsweise Cyberattacken können neben den Unternehmen selbst auch Kunden von Ausfällen der IKT-Systeme betroffen sein. Um solche Risiken zu managen und die IT-Sicherheit zu wahren, wurden nationale Regularien wie MaRisk, KaMaRisk und MaGo (MaX) eingeführt. Weitere Spezifizierungen der MaX folgten in den Richtlinien BAIT, KAIT und VAIT (XAIT).
Mit dem Digital Operational Resilience Act (DORA) trat am 16.01.2023 eine weitere Regularie in Kraft mit dem Ziel der Wahrung digitaler Betriebsstabilität von Finanzunternehmen gegenüber technologischen Bedrohungen. Neben Finanzunternehmen wie z.B. Kapitalverwaltungsgesellschaften sind nun auch IKT-Drittanbieter wie Hyperscaler von der neuen Regularie betroffen.
»Ein früher Start mit der Umsetzung von DORA ist durch die hohe Deckung mit Anforderungsobjekten der KAIT empfehlenswert.«
— Andre Rentschler
Erstgespräch anfragen
Tristan
Pötzsch
André
Rentschler
Paul
Wunderlich
Lukas
Wagner
Einbettung in die bestehende regulatorische Landschaft
Mit DORA bleiben die bisherigen Regularien MaX bzw. XAIT, die die Themen wie z.B. IT-Strategie oder IAM umfassen und damit von zentraler Bedeutung für die IT-Sicherheit von Finanzunternehmen sind, weiterhin bestehen. Sowohl diese Richtlinien als auch weitere Regularien und Frameworks bilden Schnittmengen mit DORA und werden in bestimmten Bereichen nachgeschärft und auch um neue Themen erweitert.
Direktvergleich DORA und KAIT
Für Kapitalverwaltungsgesellschaften ist KAIT die maßgebende nationale Richtline für IT Governance und Informationssicherheit. Im Vergleich zu DORA deckt KAIT die IT übergreifender ab was das allgemeine Risikomanagement angeht, während DORA sich auf digitale Betriebsstabilität, Vorfälle und Risiken fokussiert. Welche Themen der KAIT in DORA enthalten sind und inwiefern DORA die bestehende Richtlinie abdeckt, führen wir im Folgenden auf:
Inhalte der umsetzungsrelevanten Kapitel
- Erfordernis eines IKT-Risikomanagementframeworks (RMF) und dessen Mindestanforderungen
- Verantwortlichkeit für das RMF bei Leitungsorganen, die entsprechendes Fachwissen aufweisen müssen
- Vorgehensweisen zum Management von IKT-Vorfällen
- Pflicht zur Meldung von schwerwiegenden IKT-Vorfällen an die nationale Aufsicht
- Freiwillige Meldung von erheblichen Cyberbedrohungen an Behörden und Kunden
- Vorschlag zur Einrichtung einer EU-zentralen Meldeplattform für IKT-Vorfälle
- Erfordernis eines umfassenden Programms zur Prüfung der digitalen Betriebsstabilität als Teil des IKT-RMF
- Verpflichtende reguläre Tests an kritischen oder wichtigen IKT-Tools und -Systemen
- Bedrohungsorientierte Penetrationstests (TLPTs) an Live-Produktionssystemen, die kritische oder wichtige Funktionen unterstützen, für sich dazu qualifizierende Finanzunternehmen
- Pflicht und Spezifikationen zum Management der IKT-Drittanbieterrisiken, welches einen Teil des IKT-RMF darstellt
- Anforderungen und Spezifikation zur Nutzung von IKT-Drittanbietern einschließlich Drittanbieter-Verträge und Unterverträge
- Freiwilliger Informationsaustausch zu Cyberbedrohungen zwischen Finanzunternehmen
- Definition von Rahmenbedingungen zum Informationsaustausch
Timeline zur Umsetzung und Durchführung von DORA (Stand 15.03.2023)
Handlungsempfehlungen
Aus der Anwendung von DORA Anfang 2025 folgt ein kurzer Umsetzungszeitraum, weshalb bereits jetzt eine Gap-Analyse dringend zu empfehlen ist. Basierend darauf und abhängig vom Aufwand und Klarheit der Kapitel sollte mit der Umsetzung bereits vor ersten Einblicken in RTS und ITS, welche mit den öffentlichen Konsultationen im Juni 2023 zu erwarten sind, begonnen werden.
Disclaimer: Bei der Erstellung des Inhalts ist die größtmögliche Sorgfalt verwendet worden, dennoch bleiben Änderungen, Irrtümer und Auslassungen vorbehalten. Die getroffenen Aussagen basieren auf Beurteilungen, historischen Daten und rechtlichen Einschätzungen zum Zeitpunkt der Erstellung des Inhalts. Alle Angaben erfolgen ohne Gewähr für die inhaltliche Richtigkeit und Vollständigkeit. Die Überlassung des Inhalts erfolgt nur für den internen Gebrauch des Empfängers. Die Aufbereitung stellt keine Rechts- oder Anlageberatung dar. Diese muss individuell unter Berücksichtigung der Umstände des Einzelfalls erfolgen.
Für eine bessere Lesbarkeit wird auf dieser Website das generische Maskulinum verwendet, wobei alle Geschlechter gleichermaßen gemeint sind.