Finanzinstitute

Im Sektor der Finanzwirtschaft erbringen Betreiber nach Angaben von openkritis.de kritische Dienstleistungen zur Versorgung der Allgemeinheit mit Bargeld, Zahlungs­verkehr, Wertpapier-Geschäften und Versicherungen.

Erbringen Betreiber diese kritischen Dienstleistungen in eigenen Anlagen und überschreiten dabei Schwellenwerte (meist 500 Tsd. versorgte Personen), werden sie zu KRITIS-Betreibern und fallen damit unter KRITIS-Regularien.

Aber auch, wenn Betreiber davon nicht betroffen sind, gelten für sie die branchenspezifischen  Bankaufsichtlichen Anforderungen an die IT (BAIT), gleichzeitig Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die sie einhalten müssen.

Seit 17.01.2023 ist nach Haufe die finale Fassung der „ Verordnung über die digitale operationale Resilienz im Finanzsektor“ von EU-Parlament und EU-Rat 17.01.2023, in Kraft. Für die Implementierung der DORA-Verordnung (Verordnung (EU) 2022/2554) durch die betroffenen Unternehmen und Behörden ist nun eine Frist von 24 Monaten, also bis zum 17.01.2025 vorgesehen. Bis dahin sind weitere Konkretisierungen der Verordnung zu erwarten.

Ziel der DORA-Verordnung ist die Schaffung eines Rechtsrahmens mit einheitlichen Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen Dritten, die Dienstleistungen im Bereich IKT (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste bereitstellen.

Mit dem EU-weit einheitlichen Rechtsrahmen für die digitale Betriebsstabilität soll sichergestellt werden, dass Unternehmen in der Lage sind, auf Störungen und Bedrohungen in Verbindung mit IKT angemessen reagieren zu können. Auf diese Weise sollen erfolgreiche Cyberangriffe möglichst verhindert bzw. deren Auswirkungen weitestgehend gemindert werden.

Die DORA-Verordnung beinhaltet Regelungen zu den folgenden wesentlichen, für Finanzinstitute operativ relevanten Kernthemen:

  • IKT-Risikomanagementrahmen inklusive Anforderungen an das Business Continuity Management mit Stärkung des Informationsrisiko- und Informationssicherheitsmanagements,
  • Behandlung von IKT-Vorfällen und deren Meldung,
  • Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen sowie
  • Steuerung und Überwachung von IKT-Drittdienstleisterrisiken mit verstärkten Anforderungen an das 3rd & 4th Party Risk Management und
  • das 3rd & 4th Party Risk Management.

Der Großteil der DORA-Anforderungen ist nach bankinghub.de im Wesentlichen bereits aus bestehenden Regulierungen und der aufsichtlichen Verwaltungspraxis wie den MaRisk i. V. m. den BAIT und den EBA Guidelines bekannt. Mit DORA werden diese konkretisiert, erweitert und um zusätzliche Aspekte ergänzt.