Das Gesetz zur digitalen operativen Resilienz (Digital Operational Resilience Act, DORA), das ab dem 17. Januar 2025 in Kraft tritt, führt einen wegweisenden Rahmen ein, um die digitale Resilienz des Finanzsektors in der Europäischen Union (EU) zu stärken. Während sich die Vorschriften in erster Linie an Finanzinstitute richten, verpflichten sie auch Informations- und Kommunikationstechnologie- (IKT-) Dienstleister, insbesondere jene, die als kritisch eingestuft werden. Für IKT-Dienstleister stellt DORA sowohl eine Herausforderung als auch eine Chance dar: Sie müssen sich an strenge betriebliche und regulatorische Anforderungen anpassen und gleichzeitig ihre Rolle als vertrauenswürdige Partner im Finanzökosystem festigen.

Dieser Artikel beleuchtet DORA im Detail, untersucht die Auswirkungen auf IKT-Dienstleister, Strategien zur Einhaltung der Vorschriften und wie diese Änderungen die Beziehungen innerhalb der finanziellen Lieferkette neu definieren.

Was ist DORA?

DORA ist eine umfassende Verordnung, die darauf abzielt, den Finanzsektor der EU vor IKT-Störungen und Cyberbedrohungen zu schützen. Sie schreibt einheitliche Standards für alle EU-Mitgliedstaaten vor und legt besonderen Wert auf:

• IKT-Risikomanagement: Robuste Rahmenwerke zur Identifizierung, Bewertung und Minderung von IKT-Risiken.
• Meldung von Vorfällen: Strukturierte Protokolle für die zeitnahe Meldung von IKT-Vorfällen.
• Tests zur digitalen Resilienz: Regelmäßige Bewertungen, um sicherzustellen, dass Systeme betriebliche Störungen überstehen.
• Aufsicht über Drittanbieter: Direkte Regulierung kritischer IKT-Dienstleister, die Finanzinstitute unterstützen.

Das Ziel ist klar: ein einheitlicher und widerstandsfähiger Finanzsektor, der in einer zunehmend digitalen und vernetzten Welt gedeihen kann.

Warum ist DORA für IKT-Dienstleister wichtig?

Für IKT-Dienstleister bedeutet DORA eine erhebliche regulatorische Veränderung. Während Finanzinstitute direkt durch die Verordnung verpflichtet werden, sind ihre IKT-Dienstleister nun ein wesentlicher Bestandteil der Einhaltung. Dies gilt insbesondere für Anbieter, die von EU-Regulierungsbehörden als Kritische Dritte IKT-Dienstleister (Critical ICT Third-Party Service Providers, CSPs) eingestuft werden.

Wesentliche Auswirkungen:

• Erweiterte regulatorische Aufsicht
  Anbieter, die als CSPs eingestuft werden, unterliegen der direkten Überwachung durch europäische Aufsichtsbehörden wie die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA). Regelmäßige Bewertungen und Compliance-Audits werden zur Norm.
• Vertragliche Verantwortung
  IKT-Dienstleister müssen sicherstellen, dass Verträge mit Finanzinstituten explizit betriebliche Resilienz, Datenschutz, Kündigungsklauseln und Service-Level-Erwartungen abdecken. Nicht-Einhaltung könnte zu rechtlichen Streitigkeiten oder dem Verlust von Partnerschaften führen.
• Erwartungen an die betriebliche Resilienz
  Dienstleister müssen ihre Fähigkeit unter Beweis stellen, IKT-Störungen zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen, und ihre internen Prozesse an den Standards des Finanzsektors ausrichten.
• Meldepflichten und Testanforderungen
  Anbieter müssen an Resilienztests teilnehmen und die zeitnahe Meldung wesentlicher IKT-Vorfälle, die ihre Finanzkunden betreffen, sicherstellen.

Zentrale Bestimmungen für IKT-Dienstleister

1. Einstufung als Kritische IKT-Drittanbieter

Regulierungsbehörden werden bestimmte IKT-Anbieter als kritisch einstufen, basierend auf:

• Der Abhängigkeit von Finanzinstituten.
• Der potenziellen Auswirkung eines Ausfalls des Anbieters auf die Finanzstabilität.
• Konzentrationsrisiken (z. B. zu viele Institutionen, die sich auf einen Anbieter verlassen).

Was das bedeutet:

• CSPs unterliegen der direkten Aufsicht durch Regulierungsbehörden.
• Sie müssen robuste Compliance-Rahmenwerke vorweisen und bei Audits kooperieren.

2. Anforderungen an Resilienztests

Dienstleister, die Finanzinstitute unterstützen, müssen regelmäßig Bedrohungssimulationen (Threat-Led Penetration Testing, TLPT) und andere Resilienzbewertungen durchführen. Diese Tests simulieren reale Cyberbedrohungen, um die Bereitschaft zu bewerten.

Best Practices für Tests:

• Zusammenarbeit mit Finanzkunden, um klare Testparameter zu definieren.
• Einsatz fortschrittlicher Cybersicherheitslösungen zur Identifizierung und Behebung von Schwachstellen.
• Dokumentation und Analyse der Testergebnisse zur kontinuierlichen Verbesserung.

3. Verbesserte vertragliche Verpflichtungen

DORA verlangt, dass Verträge zwischen IKT-Dienstleistern und Finanzinstituten detaillierte Bestimmungen enthalten, darunter:

• Datenvertraulichkeit und -verfügbarkeit: Sicherstellung eines sicheren und ununterbrochenen Zugriffs auf Daten.
• Protokolle zur Vorfallbewältigung: Sofortige Reaktionen auf IKT-Störungen.
• Kündigungsklauseln: Ermöglichung eines reibungslosen Anbieterwechsels bei Nichteinhaltung.

Empfohlene Maßnahmen:

• Gründliche Überprüfung bestehender Verträge.
• Aufnahme von Klauseln, die Resilienz und regulatorische Erwartungen explizit adressieren.
• Transparenz gegenüber Finanzkunden, um Vertrauen aufzubauen.

4. Rahmen für die Meldung von Vorfällen

IKT-Dienstleister müssen sicherstellen, dass wesentliche IKT-Vorfälle zeitnah an ihre Finanzkunden gemeldet werden, einschließlich:

• Der Art des Vorfalls.
• Der potenziellen Auswirkungen auf den Betrieb.
• Der ergriffenen Maßnahmen zur Problembewältigung.

Warum das wichtig ist:

• Transparenz stärkt das Vertrauen der Kunden.
• Proaktive Meldung von Vorfällen reduziert regulatorische Strafen und Reputationsrisiken.

Herausforderungen für IKT-Dienstleister

Während DORA Chancen bietet, stellt die Einhaltung auch Herausforderungen dar:

1. Anpassung an erhöhte Aufsicht
   Die regulatorischen Anforderungen sind komplex und erfordern dedizierte Teams zur Verwaltung von Audits und Compliance-Prüfungen.
2. Vertragliche Überarbeitungen
   Die Neuverhandlung von Verträgen mit mehreren Finanzinstitutionen kann ressourcenintensiv sein.
3. Ausbau der Sicherheitsinfrastruktur
   Anbieter müssen in fortschrittliche Cybersicherheitslösungen und Resilienzrahmen investieren, um die DORA-Standards zu erfüllen.
4. Betriebskosten
   Die Einhaltung von Resilienztests, Überwachungs- und Meldepflichten kann erhebliche finanzielle und personelle Ressourcen erfordern.

Strategien zur DORA-Compliance

Um diese Herausforderungen zu bewältigen, sollten IKT-Dienstleister einen proaktiven und strategischen Ansatz verfolgen:

1. Stärkung von IKT-Risikomanagement-Rahmenwerken

• Bewertung aktueller Risikomanagementprozesse.
• Integration fortschrittlicher Bedrohungserkennungs- und Abwehrtools.
• Entwicklung von Reaktionsplänen für IKT-Vorfälle.

2. Kontinuierliche Überwachung

• Implementierung von Systemen zur Echtzeitüberwachung von IKT-Umgebungen.
• Nutzung von Analysen zur Vorhersage und Verhinderung potenzieller Störungen.

3. Aufbau von Resilienz durch Tests

• Regelmäßige Penetrationstests und Notfallübungen planen.
• Einbindung externer Experten zur Validierung der Systemrobustheit.

4. Ausrichtung an regulatorischen Erwartungen

• Zusammenarbeit mit Finanzkunden, um spezifische DORA-Anforderungen zu verstehen.
• Vorbereitung auf regulatorische Audits durch umfassende Dokumentation.

5. Investition in Schulungen

• Teams mit dem Wissen und den Fähigkeiten ausstatten, Compliance-Anforderungen zu verwalten.
• Regelmäßige Workshops durchführen, um über sich entwickelnde regulatorische Erwartungen informiert zu bleiben.

Blick in die Zukunft: Vorbereitung auf 2025

Da die Frist zur Einhaltung der Vorschriften im Januar 2025 näher rückt, müssen IKT-Dienstleister schnell handeln, um ihre Abläufe an die Erwartungen von DORA anzupassen. Frühzeitige Vorbereitung ist der Schlüssel, um die Komplexität der Compliance zu bewältigen und gleichzeitig die Chancen zu nutzen, die DORA bietet.

Fazit:
DORA stellt eine bedeutende Veränderung in der regulatorischen Landschaft des EU-Finanzsektors dar. IKT-Dienstleister stehen nun an vorderster Front, um digitale operative Resilienz zu gewährleisten. Durch proaktives und strategisches Vorgehen können sie sich nicht nur als Dienstleister, sondern als unverzichtbare Partner in einem sich schnell entwickelnden digitalen Ökosystem positionieren.

Der Weg zur Compliance mag komplex sein, aber die Vorteile – gesteigertes Vertrauen, Marktdifferenzierung und verbesserte Resilienz – machen die Reise lohnenswert. Während sich IKT-Dienstleister auf DORA vorbereiten, müssen sie den Fokus auf Zusammenarbeit, Innovation und die Bereitstellung außergewöhnlicher Werte für den Finanzsektor legen.