DORA – So hält die Cloud den neuen Anforderungen stand

Durch das Inkrafttreten des Digital Operational Resilience Act (DORA) ergeben sich neue Anforderungen für Banken und Versicherungen, die nicht zuletzt für eine sichere und aufsichtskonforme Cloud-Nutzung neue Maßstäbe setzen. Was ist zu beachten und wie können Banken und Versicherungen den neuen Anforderungen im Cloud-Umfeld gerecht werden?

von Vassilios Tsioupas und Christian Konradt, Risk Advisory bei Deloitte

Die Europäische Union (EU) verfolgt einen EU-weiten Ansatz, um ein höheres Maß an Stabilität für das Finanzsystem zu gewährleisten und die Widerstandsfähigkeit von Unternehmen gegen Cyberangriffe und Störungen zu erhöhen. DORA zielt darauf ab, die regulatorischen Rahmenbedingungen für Banken und Versicherungen in der EU zu vereinheitlichen und klare Pflichten für Informations- und Kommunikationstechnik (IKT)-Drittanbieter festzulegen, sowie die damit verbundenen Risiken zu adressieren.

Die aufsichtlichen Befugnisse bei der Überwachung von IKT-Drittanbietern werden durch die Verordnung stark erweitert, die Verantwortung für die ordnungsgemäße Umsetzung bleibt aber nach wie vor bei den Unternehmen.”

Demnach sind sowohl Cloud-Nutzer als auch Cloud-Anbieter von den Anforderungen betroffen. Im November 2022 wurde die Verordnung verabschiedet und ist am 16.01.2023 in Kraft getreten. Die Nichteinhaltung der DORA-Vorschriften kann zu erheblichen Strafen für das jeweilige Unternehmen führen.

DORA-Anforderungen mit dem Fokus Cloud Computing

Die Anforderungen aus DORA weisen je nach Themenfeld Überschneidungen mit den bestehenden regulatorischen Anforderungen, wie z.B. BAIT oder VAIT oder den EBA Guidelines auf. Im Folgenden werden die Themenfelder detaillierter betrachtet, die speziell auch für Cloud Computing von Relevanz sind:

Registerführung, Vertragsmanagement und Configuration Management Database (CMDB)

In diesem Themenfeld sind die Anforderungen keinesfalls komplett neu. Die Registerführung, die durch die neuen DORA-Anforderungen weiter in den Fokus rückt, nimmt eine bedeutende Funktion bei der Verwaltung von Cloud Services in der Finanz- und Versicherungsbranche ein. Durch die vollständige Dokumentation und Verwaltung von Verträgen mit Drittanbietern von IKT-Dienstleistungen ermöglicht sie ein transparentes und effizientes Management. Zudem ist die rechtzeitige Meldung neuer Vereinbarungen entscheidend, um deren Auswirkungen auf die Cloud-Infrastruktur und -Ressourcen besser einschätzen und angemessene Maßnahmen zur nahtlosen Integration ergreifen zu können.

Die Verwaltung von Cloud Services stellt Unternehmen vor Herausforderungen bei der effektiven Organisation ihrer Ressourcen. Bei der Inventarisierung dieser Ressourcen stehen verschiedene Optionen zur Auswahl. Eine empfohlene Lösung aus der Praxis ist die Nutzung eines zentralen IT Asset Management Tools, das automatisierte Schnittstellen z.B. zur Einbindung der Cloud Services bereitstellt. Dieser Ansatz unterstützt den Aufbau eines aufsichtskonformen Informationsverbunds, welcher auch die IT-relevanten Elemente der Dienstleister beinhalten muss und sich somit über die eigene Organisation hinaus bis zum IKT-Drittanbieter erstreckt.

IKT-Risikomanagement und Exit-Strategie

Auch die Themenfelder IKT-Risikomanagement und Exit-Strategie weisen Überschneidungen zu bereits bestehenden Anforderungen auf. Das IKT-Risikomanagement umfasst die Implementierung belastbarer IKT-Systeme und -Werkzeuge, um IKT-Risiken zu minimieren. Durch DORA wird ein umfassender Rahmen für das IKT-Risikomanagement eingeführt, der Strategien, Leitlinien, Verfahren und Tools beinhaltet. Präventive Maßnahmen zum Schutz von IKT-Systemen, die Erkennung anomaler Aktivitäten sowie die Implementierung von Notfallplänen sind ebenfalls wichtige Komponenten eines ganzheitlichen Risikomanagements.

Exit-Strategien spielen im Bereich des Cloud Computing eine wichtige Rolle, da sie Unternehmen die Möglichkeit geben, ihre Abhängigkeit von einem Cloud-Anbieter zu reduzieren und im Bedarfsfall einen nahtlosen Übergang zu einem anderen Anbieter oder einer anderen Lösung zu gewährleisten.”

Sie sind daher auch ein wichtiger Bestandteil, um den Anforderungen des IKT-Risikomanagements gerecht zu werden. Insbesondere im Banken- und Versicherungssektor stellen die Definition von umsetzbaren Exit-Szenarien, die u.a. ausreichend und regelmäßig getestet werden sollen, die Institute aktuell vor größere Herausforderungen.

Steuerung und Monitoring

In Bezug auf Steuerung und Monitoring des IKT-Dienstleisters gibt es wenige Neuerungen zu den bestehenden regulatorischen Anforderungen. Um sicherzustellen, dass IKT-Dienstleister die vorgegebenen Anforderungen und Ziele erfüllen, ist eine kontinuierliche Überwachung und Steuerung der Dienstleister erforderlich. Dies kann erreicht werden durch die regelmäßige Erstellung von Risikoberichten sowie die Vereinbarung detaillierter Vorgaben und Kriterien für die Steuerung und Überwachung der Dienstleister (z.B. in Form bindender Service Level Agreements (SLA) bzw. Key Performance Indicators (KPI)). Des Weiteren gibt es verschiedene Möglichkeiten, Cloud-Dienste und Cloud-Anbieter zu überprüfen und zu auditieren. Basierend auf Praxiserfahrungen greifen Institute hierbei größtenteils auf Zertifikate bzw. auf Third-Party-Assurance zurück (z.B. ISO 27001 oder einen SOC2 Report). Die großen Cloud-Hyperscaler stellen unterschiedliche Zertifizierungen und Prüfungsberichte auf ihren Portalen zur Verfügung. Dabei besteht die Möglichkeit, diese durch individuelle Prüfungen oder Pooled Audits zu ergänzen, um ausgewählte Fokusthemen zu verifizieren.

Vorgehensvorschlag für eine schrittweise und angemessene Umsetzung der neuen DORA-Anforderungen für die ausgewählten Fokusthemen

Wie in Abbildung 1 dargestellt, haben Banken und Versicherungen verschiedene Handlungsoptionen, um ihre digitale Resilienz zu stärken und den Anforderungen von DORA gerecht zu werden.

Eine wichtige Grundlage zur Risikoreduzierung besteht darin, ein Informationsregister über Verträge mit Drittanbietern zu erstellen bzw. das bestehende Informationsregister zu überprüfen. Es sollten alle geforderten Mindestfelder enthalten sein und ausreichende Prozesse zur regelmäßigen Aktualisierung etabliert werden. Dieses Register muss auch alle relevanten Verträge der genutzten Cloud Services enthalten.

Die Verfahren für das Risikomanagement sollten zudem hinsichtlich ihrer Angemessenheit überprüft werden. Speziell für Cloud Services sind Cloud-spezifische Risiken, wie beispielsweise Informationssicherheit, Datenschutz und Weiterverlagerungen, detaillierter zu betrachten und konkrete Maßnahmen für das Risikomanagement festzulegen. Hierbei sollten Unternehmen mindestens jährlich einen Bericht über ihre IKT-Dienste mit Drittanbietern erstellen und bei der Aufsichtsbehörde einreichen.

Es ist wichtig, Vertragsvergaben an Drittanbieter von IKT-Diensten frühzeitig zu melden, besonders bei kritischen Funktionen, um hohe Strafen zu vermeiden.”

Auf Basis der neuen DORA-Anforderungen müssen auch die bestehenden IKT-Dienstleisterverträge hinsichtlich ihrer Konformität überprüft werden. Hierbei ist es wichtig, frühzeitige Vertragskündigungsoptionen in die Verträge zu integrieren, um gegebenenfalls zu einem anderen Anbieter wechseln zu können. Die festlegten Kündigungsfristen müssen im Einklang mit den definierten Exit-Optionen in den entsprechenden Exit-Strategien stehen. Diese Maßnahme wird vor allem für Cloud Services eine wesentliche Herausforderung darstellen, da aktuell u.a. die individuellen Anforderungen einzelner Institute bei den großen Cloud-Hyperscalern aufgrund deren Marktmacht schwer umzusetzen sind. Sollten weiterhin Abweichungen zwischen den Vertragsinhalten und den geforderten Anforderungen bestehen, können Institute auch einen Anbieterwechsel in Betracht ziehen.

Auf Basis der angepassten Verträge sind im Anschluss passende Steuerungs- und Monitoringprozesse zu etablieren. Hierbei greifen Institute speziell im Bankensektor schon teilweise auf automatisierte Unterstützungsmöglichkeiten (z.B. Cloud Compliance Dashboards) zurück, um die Daten des Cloud Services adäquat auswerten zu können.

Ausblick zu den geplanten Standards (RTS und ITS)

Im Rahmen der Umsetzung von DORA werden neben den allgemeinen Vorgaben ebenfalls Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) entwickelt. Diese dienen dazu, die DORA-Anforderungen weiter zu konkretisieren und zu präzisieren. Erste Konsultationsfassungen für Standards, z.B. für das Themenfeld IT-Notfallmanagement, werden für Q3/ Q4 2023 erwartet. Eine initiale Übersicht der geplanten Standards ist in Abbildung 2 dargestellt.

Fazit

Mit DORA setzt die EU einen wichtigen Schritt, um die digitale Resilienz im Banken- und Versicherungssektor zu stärken.

Da durch die Verordnung die IKT-Drittanbieter verstärkt in den Fokus geraten, sind die Anforderungen insbesondere auch im Kontext der Cloud-Nutzung zu beachten.”

Hierbei sind speziell die Themen IKT-Risikomanagement und Exit-Strategie sowie das Steuern der Cloud Services wichtige Aspekte, die im Rahmen des Cloud Compliance Frameworks eines Instituts berücksichtigt werden sollten. Insgesamt gibt es viele Überschneidungen zu den bestehenden Anforderungen, sodass speziell stärker regulierte Institute bereits eine gute Basis für die Umsetzung der neuen Anforderungen aufweisen sollten. DORA wird auch die bestehenden regulatorischen Anforderungen, wie beispielsweise die BAIT und VAIT beeinflussen. Darüber hinaus werden die ersten Konsultationsfassungen der RTS/ ITS zeitnah zeigen, welches Maß an Umsetzungsempfehlungen in den Standards zu erwarten ist.Vassilios Tsioupas und Christian Konradt, Deloitte

10. August: Update Grafik auf Wunsch von Deloitte