Die neue DORA-Verordnung fügt sich in eine europäische Dynamik ein, die darauf abzielt, die Cybersicherheit und operative Resilienz von Unternehmen mit Finanzaktivitäten zu stärken. Die Europäische Union möchte, dass diese Initiative eher als Chance denn als Einschränkung wahrgenommen wird.
Resilienz ist ein aktuelles Schlagwort. Angesichts der Schwierigkeiten, die manche erleben, ist es angebracht, resilient zu sein, das heißt, die Auswirkungen von Störungen absorbieren und sich schnell erholen zu können.
Wie steht es mit Unternehmen? Wäre es nicht wichtig, dass sie im Falle von temporären IT-Ausfällen oder sogar Cyberangriffen Resilienz zeigen können?
Man wird sich einig sein, dass diese Fähigkeit zur Resilienz noch entscheidender ist, wenn es sich um die IT einer Bank oder eines Kryptowährungsanbieters handelt. Die Unfähigkeit, auf sein Vermögen in Euro oder Bitcoin oder Ethereum zuzugreifen, kann eine offensichtliche Quelle der Besorgnis sein.
Angesichts dieser Herausforderungen hat die Europäische Union DORA eingeführt, (Digital Operational Resilience oder digitale operationelle Resilienz) eine Regelung, die speziell darauf abzielt, die Kontinuität und Sicherheit finanzieller Aktivitäten zu gewährleisten.
Entstehung von DORA
Ende September 2020 veröffentlichte die Europäische Kommission das Projekt Digital Operational Resilience, eine Reihe von Maßnahmen zur Steigerung der digitalen Effizienz des Finanzsektors.
Ziel war es, die europäischen Normen und Anforderungen zu vereinheitlichen, um einen harmonisierten und umfassenden Rahmen für die digitale operationelle Resilienz von Finanzunternehmen zu schaffen. DORA beabsichtigt, eine schnelle Erkennung bedeutender IT-Vorfälle zu fördern, eine Fähigkeit, schnell zu reagieren, und auch eine Analyse der Ursachen von Störungen, verbunden mit einer Meldepflicht.
Cyberangriffe mit erheblichen Folgen
Dieser regulatorische Rahmen wurde durch das gestiegene Risiko erforderlich, das durch die digitale Transformation der Finanzdienstleistungen entstand, aber auch durch die zunehmende Vernetzung der Netzwerke. Es stellte sich heraus, dass zahlreiche Cyberangriffe enorme Folgen für namhafte Institutionen hatten.
- 2014 wurde JP Morgan Chase, eine der größten Banken der USA, Opfer eines Einbruchs, bei dem mehr als 80 Millionen Identitäten kompromittiert wurden.
- Zwei Jahre später ermöglichte der Hackerangriff auf das SWIFT-Zwischennachrichtensystem die Umlenkung von 81 Millionen Dollar von der Zentralbank von Bangladesch.
- Im selben Jahr 2016 wurde Tesco Bank, ein britisches Institut, Opfer eines Cyberangriffs, der 9.000 Kundenkonten betraf und den Hackern ermöglichte, etwa 2,5 Millionen Pfund zu stehlen.
- 2017 wurden 140 Millionen Artikel von Equifax, einer der größten Kreditagenturen in den USA, gehackt, was den Zugang zu Sozialversicherungsnummern, Geburtsdaten und anderen persönlichen Daten ermöglichte.
- 2019 führte eine Sicherheitsverletzung des Systems der amerikanischen Bank Capital One zu einem Zugriff auf die persönlichen Daten von etwa 100 Millionen Kunden und Kreditkartenantragstellern.
Die meisten dieser Unternehmen mussten unter den Auswirkungen solcher Cyberangriffe auf ihr Image leiden, oft wurde das Vertrauen der Öffentlichkeit negativ beeinflusst, da eine schnelle Wiederherstellung fehlte.
Man wird sich einig sein, dass diese Art von Vorfällen nur dafür sprechen könnte, dass Regelungen eingeführt werden sollten, um die Sicherheit und Kontinuität finanzieller Operationen zu gewährleisten.
Die DORA-Regelung wurde am 10. November 2022 vom Europäischen Parlament angenommen, dann vom Rat der EU und im Anschluss im Amtsblatt veröffentlicht.
Seit dem 17. Januar 2025 ist DORA in allen EU-Mitgliedstaaten in Kraft.
Wer ist von DORA betroffen?
DORA gilt insbesondere für die folgenden Aktivitäten:
- Kreditinstitute;
- Zahlungsinstitute;
- Investmentunternehmen;
- Dienstleister im Zusammenhang mit Krypto-Assets;
- Versicherungsunternehmen;
- Drittunternehmen, die IT-Dienstleistungen für kritische oder wichtige Funktionen erbringen.
Es ist zu beachten, dass die Verordnung ein Verhältnismäßigkeitsprinzip einführt: Einige Finanzinstitute profitieren von einem vereinfachten Regime und können sogar von DORA ausgenommen werden. Verschiedene Faktoren, insbesondere die Größe, aber auch die Funktion oder das Geschäftsprofil eines Unternehmens, können dieses einem mehr oder weniger hohen Maß an digitalen Störungen aussetzen.
Welche Konsequenzen für Finanzinstitute?
Die meisten Finanzinstitute müssen Änderungen vornehmen, um sich an die DORA-Verordnung anzupassen. Zunächst müssen sie eine Bewertung ihrer derzeitigen Situation gegenüber den Erwartungen von DORA vornehmen. Dabei geht es darum, potenzielle Risiken zu identifizieren und auch die tolerierbaren Störungsniveaus, insbesondere aus Sicht der Nutzer, zu bewerten. Nach dieser Bewertung müssen sie eine angemessene Reife umsetzen.
Das Unternehmen muss Penetrationstests, Sicherungs- und Wiederherstellungsrichtlinien aufstellen. Nachdem ein Vorfall eingetreten ist, muss es in der Lage sein, die Wiederherstellung seiner Systeme sicherzustellen und die Gesamtauswirkungen zu begrenzen. Anschließend muss eine gründliche Überprüfung durchgeführt, die Ursachen ermittelt und geeignete Abhilfemaßnahmen getroffen werden. Es muss zudem die zuständige Behörde über diese Vorfälle informieren und standardisierte Berichtsmodelle befolgen.
Eine Chance mehr als eine Verpflichtung
DORA wird gewöhnlich eine Erhöhung der Investitionen und IT-Ressourcen mit sich bringen. Dennoch möchte die Europäische Union die Botschaft vermitteln, dass diese neue Vorschrift nicht nur eine Verpflichtung darstellt. DORA ist Teil der Entwicklung von Unternehmen in Richtung Digitalisierung und soll helfen, den Übergang der europäischen Finanzmärkte in das digitale Zeitalter zu unterstützen, um einen robusten Markt zu fördern, dem die Nutzer vertrauen können.
DORA geht von dem Prinzip aus, dass IT-Vorfälle, selbst wenn sie auf den ersten Blick unwahrscheinlich erscheinen, auftreten können und es notwendig ist, auf die Sicherstellung der Kontinuität von Aktivitäten und kritischen Dienstleistungen vorbereitet zu sein. Das Finanzunternehmen, das seine Funktionsweise anpasst, wird von einem optimierten Umgang mit IT-Risiken profitieren.
Diese Vorschrift sollte daher als eine Gelegenheit betrachtet werden, sich auf seinem Markt zu differenzieren. Selbst kleinere Unternehmen können davon profitieren, robuste Richtlinien und Testverfahren einzuführen. In Frankreich hat die AMF die Akteure des Finanzsektors aktiv dazu aufgerufen, sich auf eine solche Transformation vorzubereiten.
