Vereinfachter Ansatz nach DORA – DORA leicht gemacht? Falsch gedacht! … 6 Tipps

Welche Anforderungen enthält der vereinfachte IKT-Risiko­management­rahmen, für wen gilt dieser und warum ist eine individuelle Handlungsbedarfsanalyse trotz der bisherigen Umsetzung von BaFin-MaRisk und -XAIT (BAIT, VAIT, ZAIT, KAIT) Rundschreiben erforderlich?

von Hartmut T. Renz und Roger Thiel 

Ab dem 17. Januar 2025 fin­det der Di­gi­tal Ope­ra­tio­nal Resi­li­ence Act (DO­RA), der EU-weit ein „sin­gle ru­le­boo­k“ für das Ma­nage­ment ope­ra­tio­nel­ler Ri­si­ken der In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie (IKT) im Fi­nanz­sek­tor schafft, An­wen­dung. Ne­ben den Ker­n­an­for­de­run­gen an das IKT-Riskma­nage­ment ent­hält DO­RA Re­ge­lun­gen zu IKT-Dritt­par­tei­ris­ken, der Mel­dung von IKT-Vor­fäl­len, Tests und (frei­wil­li­gem) In­for­ma­ti­on Sharing so­wie Cyberübungen.

Anwendbar ist die DORA-VO auf IKT-Drittdienstleister und „Finanzunternehmen“. Finanzunternehmen im Sinne von Art. 2 Abs. 2 DORA sind im Wesentlichen: CRR-Kreditinstitute, Zahlungs- und E-Geld-Institute, Wertpapierfirmen, Kapitalverwaltungsgesellschaften, Krypto-Dienstleister, Einrichtungen der betrieblichen Altersversorgung und Versicherungsunternehmen.

Leasinggesellschaften und andere von der BaFin beaufsichtigte Institute nach dem KWG, die keine CRR-Kreditinstitute sind und damit nicht in den Anwendungsbereich der DORA fallen, sollen mit dem sich aktuell im Gesetzgebungsverfahren befindlichen Finanzmarktdigitalisierungsgesetz (FinmadiG) über § 1a Abs. 2 S. 1 Nr. 1 KWG neue Fassung in den Anwendungsbereich aufgenommen werden.

Der vereinfachte IKT-Risikomanagementrahmen

Der Act sieht eine am Grundsatz der Verhältnismäßigkeit (auch: „Proportionalität“) orientierte Umsetzung durch die Adressaten vor. Die Kernanforderung des IKT-Risikomanagements bietet in diesem Sinne auch einen „vereinfachten Rahmen“ für bestimmte (kleine) Finanzunternehmen.

Zugang zu der Vereinfachung haben:
1. kleine Wertpapierinstitute nach dem Wertpapierinstitutsgesetz („kleine und nicht verflochtene Wertpapierfirmen“ in DORA),
2. nach der 2. Zahlungsdienste-RL ausgenommene Zahlungsinstitute,
3. nach der E-Geld-RL ausgenommene E-Geld-Institute,
4. kleine Einrichtungen der betrieblichen Altersvorsorge [EbAV] (< 100 Versorgungsanwärter)
5. und künftig, nach dem aktuellen Gesetzesentwurf des FinmadiG, auch Finanzierungsleasingunternehmen und andere von der BaFin nach dem KWG beaufsichtigte Institute, die keine CRR-Kreditinstitute sind, außer Förderbanken.

Der vereinfachte Rahmen für das IKT-Risikomanagement besteht aus den gleichen wesentlichen Grundbausteinen wie der allgemeine Rahmen, bietet jedoch ein höheres Maß an Flexibilität durch weniger spezifische Anforderungen und ist von einigen Anforderungen ausgenommen. Er wird durch technische Regulierungsstandards (RTS) weiter konkretisiert.”

Auch die Vereinfachung verlangt ein robust implementiertes und sorgfältig dokumentiertes IKT-Risikomanagement. Das Leitungsorgan trägt die Verantwortung: Es muss sicherstellen, dass das IKT-Risikomanagement die allgemeine Geschäftsstrategie trägt und IKT-Risiken angemessen berücksichtigt werden. In den RTS finden sich weitere detaillierte Governance-Anforderungen, beispielsweise für die Überwachung, Prüfung und Freigabe von (IKT-) Geschäftsfortführungsplänen.

Dass – ihrem Einsatzzweck angemessen – solide, resiliente und aktualisierte IKT-Systeme -Protokolle und -Tools verwendet werden, ist risikobasiert durch geeignete Einkaufs-, Entwicklungs- und Wartungsprozesse sicherzustellen. Wesentliche Abhängigkeiten von Drittanbietern von IKT-Dienstleistungen sind zu identifizieren und eine schnelle Erkennung sowie Reaktion auf IKT-Risiken und -Anomalien in Netzwerken und Informationssystemen zu gewährleisten. Gefordert ist insbesondere eine rasche Handhabung von IKT-Vorfällen einschließlich der geforderten Meldepflichten.

Die Maßnahmen, die Wirksamkeit der internen Kontrollen sowie die IKT-Widerstandsfähigkeit im Ganzen sind regelmäßigen Tests zu unterziehen.”

Diese Tests sollen nicht nur der Bewertung der getroffenen Maßnahmen dienen, sondern auch wertvolle Rückmeldungen für den IKT-Risikobewertungsprozess liefern und dabei helfen, den Schulungsbedarf für Personal und Management zu ermitteln. Grundlegende Tests von Schwachstellenbewertung und -scans bis Penetrationstests sind auch im vereinfachten Rahmen vorzunehmen; erweiterte Tests wie insbesondere „bedrohungsorientierte Penetrationstests (TLPT – Threat-Led Penetration Testing)“ sind dagegen grundsätzlich nicht erforderlich.

Für Kleinstunternehmen, also solche, die weniger als zehn Personen beschäftigen und deren Jahresumsatz bzw. -Bilanzsumme 2 Mio. EUR nicht überschreiten, gelten unabhängig davon eine Reihe weiterer und weitergehender, aber kleinteiliger Ausnahmen und Befreiungen.

Bestehende Anforderungen XAIT und MaRisk: Alles schon umgesetzt?

Die betroffenen Finanzunternehmen unterfallen fast alle bereits einem der BaFin-Rundschreiben zu den aufsichtlichen Anforderungen an die IT (XAIT). Der Gesetzesentwurf der Bundesregierung zum FinmadiG suggeriert in seiner Begründung zwar, dass jedenfalls das BAIT-Rundschreiben höhere Anforderungen als der vereinfachte IKT-Risikorahmen der DORA enthalte. Die Umsetzung der DORA-VO ist dennoch nicht zu vernachlässigen: Zum einen lehrt die Praxiserfahrung, dass die MaRisk- und XAIT-Anforderungen an die IT oft noch nicht ausreichend im aufsichtlich geforderten Maße robust umgesetzt und dokumentiert sind.

Insbesondere Auslagerungskonstellationen und deren Dokumentation bieten häufig Anlass zu Feststellungen.”

Zum anderen setzt DORA zusätzliche Schwerpunkte durch neue Begrifflichkeiten und detaillierte Vorgaben, die den XAIT so nicht zu entnehmen sind. Auch das Vertragswesen und die Risikoanalyse vor Auslagerung sind anzupassen. Das begründet sich in erster Linie aus der Vorgabe, dass die Aspekte für die Validierung von IKT-Drittdienstleistern erweitert wurden und auch die relevanten IKT-Drittdienstleistungen über jene der BAIT hinausgehen. Davon bleibt auch das Auslagerungs- und Informationsregister nicht unberührt. Damit ist zunächst einmal jegliche schriftlich fixierte Ordnung mit IT-Bezug zu überarbeiten.

Mit Inkrafttreten der DORA-VO Anfang 2025 ist nicht davon auszugehen, dass sich der aufsichtliche Fokus auf IKT-Risiken verringert. Vielmehr können durch DORA auch bestehende Defizite in den Fokus geraten.”

Deren Behebung ist nicht nur aus Prüfungskalkül und als Compliance-Aufgabe dringend geboten: Ein gutes, vorausschauendes IKT-Risikomanagement stellt die Weichen für die Vermeidung und den erfolgreichen Umgang mit dem Notfall des Cyberangriffs und dient damit vor allem dem Finanzunternehmen selbst.

Es ist daher dringend zu empfehlen, die individuellen und spezifischen Lücken zu den DORA-Anforderungen zu ermitteln. Hieraus sind dann die jeweiligen pragmatischen sowie verhältnismäßigen Umsetzungsschritte herzuleiten und in robuste Prozesse zu überführen.

Tipps

1. Innerhalb des Umsetzungsprojektes sind klare Verantwortlichkeiten festzulegen (auch für die Zeit nach der Umsetzung).
2. Eine separate Funktion zur Überwachung von mit IKT-Drittdienstleistern geschlossenen Vereinbarungen müssen Sie unter dem vereinfachten Ansatz hingegen nicht einrichten.
3. Basierend auf einem guten Verständnis der regulatorischen und technischen Anforderungen sind die bestehenden Prozesse kritisch zu überprüfen, inwieweit IKT-Risiken ausreichend adressiert werden.
4. Auf dieser Basis ist eine Gap-Analyse durchzuführen und die ermittelten Lücken sind priorisiert und risikoorientiert abzuarbeiten.
5. Eine der wichtigsten, vielleicht die wesentliche Komponente beim Management von IKT-Risiken sind die Mitarbeiter. Bewusstsein und Kompetenz der Mitarbeiter im Bereich digitaler operationeller Resilienz sollten durch regelmäßige Schulungen und “tone at the top” gefördert werden.
6. Der resultierende vereinfachte IKT-Risikomanagementrahmen kann risikobasiert in regelmäßigen Intervallen, statt regulär mindestens einmal jährlich, dokumentiert und überprüft werden. Hartmut Renz und Roger Thiel, Strateco