Illustration Absmeier foto freepik
Ein Kommentar von Markus Koerner, Deutschlandchef von Kyndryl:
»In weniger als einem Jahr, ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt. Die Zeit für betroffene Unternehmen wird also knapp. Je nachdem, welche Maßnahmen sie noch implementieren müssen, könnte die fristgerechte Umsetzung für einige Institute zu einem Problem werden. In der systemkritischen und hochregulierten Branche ist mit ernsten Folgen zu rechnen, sollte dies nicht gelingen.
Ziel der EU-Gesetzgebung ist es, die Resilienz von europäischen Finanzunternehmen zu stärken. Die Forderung nach mehr Cyberresilienz drückt sich nicht nur in Form von DORA aus, sondern zusätzlich auch durch den Cyber Resilience Act (CRA) und die Network and Information Security (NIS) Direktive II. Für den Finanzsektor ist DORA die wichtigste Legislation.
Anfälligkeiten für Cyberbedrohungen sollen im Rahmen der neuen Verordnung nicht nur bei Banken und anderen Finanzdienstleistern selbst, sondern entlang der gesamten Wertschöpfungskette des Sektors reduziert werden. Deutsche Institute, die bereits durch die BaFin und/oder das BSI reguliert werden, sehen Ähnlichkeiten mit bestehenden Vorgaben, da DORA ganz bewusst auf solchen nationalen Elementen aufbaut. Diese sollen nun für die gesamte EU vereinheitlicht und auf rechtlicher Ebene verankert werden, statt wie bislang vielfach nur Verwaltungsvorschriften darzustellen. Es besteht also Handlungsbedarf, da sonst auch mit Sanktionen zu rechnen ist.
Finanzunternehmen und ihre Dienstleister müssen gleich mehrere Punkte beachten. Der Verordnungstext DORA lässt sich grob in fünf Säulen zusammenfassen:
- Informations- und Kommunikationstechnologie (IKT)-Risikomanagement
- IKT-bezogenes Incident Management, Klassifizierung und Berichterstattung
- Testen der digitalen Ausfallsicherheit (Digital Operational Resilience)
- Management von IKT-Drittparteirisiken
- Informationsaustausch
Die ersten beiden Punkte setzen europäische Banken praktisch schon seit Jahrzehnten um. Hier ist nicht mit besonderen Herausforderungen zu rechnen. Anders sieht es hingegen bei Punkt drei aus: Zeitgemäße Backup-Technologien und automatisierte Wiederherstellungspläne sind noch nicht überall Standard. Auf den eventuell positiv ausfallenden Ergebnissen des EZB-Stresstests hinsichtlich Resilienz dürfen sich Banken ebenfalls nicht ausruhen. Ging es dort »lediglich« darum, theoretisch eine Art Case Study durchzuspielen, fordert DORA technische Tests der Systeme. Dies sollte auch nicht zum ersten Mal aufgrund der Verordnung erfolgen, sondern bereits vorher erprobt werden.
Haben Unternehmen noch gar nicht mit der Einführung konkreter Resilienz Maßnahmen begonnen, läuft ihnen die Zeit davon. Entsprechenden Lösungen innerhalb eines Jahres zu planen, budgetieren, freigeben zu lassen, zu implementiert und in den Betrieb zu überführen, ist gelinde gesagt sehr sportlich.
Der vierte Punkt, das Management von Drittparteirisiken, könnte für Geldinstitute, Versicherer und andere Finanzdienstleister ebenfalls zu einer Herausforderung werden. Der Sektor verfügt bisher kaum über ein Bewusstsein für die Auswirkungen von Ausfällen bei Dienstleistern, geschweige denn über konkrete Pläne für diesen Fall. Das muss sich ändern: Finanzunternehmen sollten auf Risikodiversifikation setzen und Infrastrukturen auf verschiedene kleinere Anbieter verteilen. Die Alternative dazu ist, auf die überlegenen Ressourcen der wenigen großen Dienstleister zu setzen. Fakt ist nun einmal, dass diese im Rennen mit immer innovativeren Kriminellen wesentlich besser mithalten oder sogar einen Schritt voraus sein können. Vollkommene Sicherheit gibt es allerdings auch dort nicht und somit auch keinen Königsweg zwischen Konzentration und Diversifikation.
Insgesamt wird es für viele Institute herausfordernd werden, die DORA-Compliance zum Stichtag zu erreichen. Nur wenn alle beteiligten Stakeholder, verschiedene interne Abteilungen und Dienstleister konstruktiv zusammenarbeiten, kann diese Herkulesaufgabe bewältigen werden.«