Resilienz digitaler Systeme und der Infrastruktur
Die EU setzt neue Vorgaben zur Betriebssicherheit digitaler Systeme, zum Schutz vor Cyberangriffen und der kritischen Infrastruktur sowie für mehr Transparenz bei Gefährdungslagen in Kraft. Ab 2024 / 2025 greifen sukzessive neue Mindestanforderungen an das Risikomanagement, an die Meldung schwerwiegender Vorfälle, bei Auslagerungen sowie zur Prüfung und zum Austausch von Informationen in Bezug auf Cyberbedrohungen und Schwachstellen.
Betriebsstabilität im Finanzsektor (DORA)
Die Verordnung (EU) 2022/2554 über digitale Resilienz im Finanzsektor (DORA) schafft erstmals einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die Geschäftsprozesse von Finanzunternehmen unterstützen. Sie gilt ab dem 17. Januar 2025. Bereits ab dem 18. Oktober 2024 finden die Regelungen der flankierenden Änderungsrichtlinie 2022/2557/EU nach Umsetzung in den EU-Mitgliedstaaten Anwendung.
Die DORA erfasst die Finanz- und Versicherungsindustrie, Asset Manager sowie Dienstleister, z.B. Rating-Agenturen, Administratoren kritischer Benchmarks, Verbriefungsregister. Sie gilt auch für Krypto-Dienstleister und Emittenten wertreferenzierter Token sowie Unternehmen, die für Finanzunternehmen Informations- und Kommunikationstechnologien (IKT) bereitstellen.
IKT-Anforderungen
Um ein hohes gemeinsames Niveau digitaler operationaler Resilienz zu erreichen, begründet die DORA einheitliche Anforderungen für Finanzunternehmen in folgenden Bereichen:
- Risikomanagement bzgl. Informations- und Kommunikationstechnologien (IKT), inkl. Anforderungen an die Organisationsstruktur zur Prävention, Behandlung anomaler IKT-Vorfälle sowie zur Wiederherstellung des IKT-Betriebs.
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, insb. Meldung schwerwiegender IKT-bezogener Vorfälle und zahlungsbezogener Betriebs- oder Sicherheitsvorfälle sowie — auf freiwilliger Basis — erheblicher Cyberbedrohungen.
- Tests der digitalen operationalen Resilienz insb. zur Vorbereitung auf IKT-bezogene Vorfälle, u.a. durch regelmäßige Durchführung von Tests der digitalen operationalen Resilienz, inklusive bedrohungsorientierter Penetrationstests (TLPT — Threat-Led Penetration Testing).
- Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen.
- Maßnahmen in Bezug auf die Nutzung von IKT-Dienstleistern (IKT-Drittparteienrisikos), insb. Risiken aus (Unter-)Auslagerungen. IKT-Dienstleistungen sind alle digitalen Dienste und Datendiensten, die über IKT-Systeme dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, mit Ausnahme herkömmlicher analoger Telefondienste.
Erleichterungen greifen für u.a. kleine und nicht verflochtene Wertpapierfirmen (vereinfachter ITK-Risikomanagementrahmen) sowie für Kleinstunternehmen.
Verantwortung des Leitungsorgans
Die DORA misst Leitungsorganen künftig eine entscheidende und aktive Rolle beim Management von IKT-Risiken zu. Organmitglieder werden verpflichtet, klare Zuständigkeiten für alle IKT-bezogenen Funktionen zu entwickeln.
Aufsichtsrahmen für kritische IKT-Dienstleister
Finanzunternehmen sind gehalten, IKT-Drittparteienrisiken solide zu managen und Schlüsselprinzipien zu beachten. So regelt die DORA u.a. Anforderungen an IKT-Verträge, z.B. in Bezug auf die vollständige Beschreibung der Dienste, Angaben zu den Orten, an denen Daten verarbeitet werden, vollständige Leistungsbeschreibungen mit quantitativen und qualitativen Leistungszielen sowie Kündigungsrechte und Ausstiegsstrategien.
Kritische IKT-Dienstleister werden einem Überwachungsrahmen bei der Erbringung von Dienstleistungen für Finanzunternehmen unterstellt. Gegenstand ist die Bewertung, ob der Drittdienstleister über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management von IKT-Risiken verfügt. Hierzu gehören u.a. Maßnahmen zur physischen Sicherheit der Systeme als auch deren Verfügbarkeit, Skalierbarkeit, Kontinuität und Qualität. Hoheitliche Maßnahmen können direkt gegenüber dem IKT-Dienstleister ergriffen werden.
Die Einstufung eines IKT-Dienstleisters als kritisch erfolgt durch die europäischen Aufsichtsbehörden. Nicht als kritisch gelten u.a. Finanzunternehmen, die selbst IKT-Dienstleistungen erbringen, und IKT-Dienstleister, die nur gruppenintern tätig sind.
Grenzen des Drittstaatenzugangs
Finanzunternehmen dürfen künftig nur dann die Dienstleistungen eines als kritisch eingestuften IKT-Drittdienstleisters mit Sitz in einem Drittland in Anspruch nehmen, wenn der Dienstleister innerhalb von 12 Monaten nach der entsprechenden Einstufung ein Tochterunternehmen in der Union gründet. Aufsichtsbehörden können an Standorten in einem Drittland, die sich im Eigentum eines kritischen IKT-Drittdienstleisters befinden oder von ihm genutzt werden, auch direkt Maßnahmen ergreifen.
EU-weites Cybersicherheitsniveau (NIS 2)
Die Richtlinie (EU) 2022/2555 enthält Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2-Richtlinie). Die Vorschriften sind nach Umsetzung im nationalen Recht der EU Mitgliedstaaten zum 18. Oktober 2024 anzuwenden und ersetzen die frühere NIS-Richtlinie (EU) 2016/1148 vom 18. Oktober 2018.
Die Richtlinie verpflichtet die EU Mitgliedstaaten, nationale Cybersicherheitsstrategien zu verabschieden und einen entsprechenden Organisationsrahmen zu schaffen. Wesentliche und wichtige Einrichtungen müssen Cyberrisiken managen und über erhebliche Sicherheitsvorfälle an Behörden und Kunden berichten. Ggf. ist eine Cybersicherheitszertifizierung erforderlich. Partiell gelten die Anforderungen auch für Anbieter aus Drittstaaten.
Als sektorspezifische Vorgabe geht die DORA der NIS 2-Richtlinie vor.
Resilienz kritischer Einrichtungen (CER)
Die Richtlinie (EU) 2022/2557 adressiert die Resilienz kritischer Einrichtungen (CER-Richtlinie). Die Vorschriften sind nach Umsetzung im nationalen Recht der EU Mitgliedstaaten zum 18. Oktober 2024 anzuwenden.
Gegenstand der Richtlinie ist die (physische) Widerstandsfähigkeit kritischer Einrichtungen gegen Bedrohungen wie Naturgefahren, Terroranschläge oder eine Pandemie.
Die CER-Richtlinie verpflichtet kritische Einrichtungen, ihre Resilienz und ihre Fähigkeit zur Erbringung kritischer Dienste zu verbessern, begründet einen Aufsichtsrahmen für solche Einrichtungen und schafft Berichtspflichten. Eine Risikobewertung ist durchzuführen und Resilienzmaßnahmen sind zu ergreifen. Mitarbeitergruppen unterliegen einer Zuverlässigkeitsprüfung. Sicherheitsvorfälle sind zu melden.
Die CER-Richtlinie findet auf Unternehmen im Anwendungsbereich der DORA oder der NIS 2-Richtlinie nur beschränkt Anwendung.