Angesichts der immer größer werdenden Risiken von Cyberangriffen stärkt die EU die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. Gestern Abend erzielten die Ratspräsidentschaft und das Europäische Parlament eine vorläufige Einigung über den Digital Operational Resilience Act (DORA), der sicherstellen soll, dass der Finanzsektor in Europa in der Lage ist, seine Operationen auch bei einer schweren Betriebsstörung aufrechtzuerhalten.
DORA legt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten fest, die ihnen IKT (Informations- und Kommunikationstechnologien)-bezogene Dienste zur Verfügung stellen, wie etwa Cloud-Plattformen oder Datenanalysedienste. Die DORA schafft einen Rechtsrahmen für die digitale operationelle Widerstandsfähigkeit, wobei alle Unternehmen sicherstellen müssen, dass sie allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können. Diese Anforderungen sind in allen EU-Mitgliedstaaten einheitlich. Das Hauptziel besteht darin, Cyber-Bedrohungen zu verhindern und abzuschwächen.
Nach der vorläufigen Einigung werden die neuen Vorschriften einen sehr robusten Rahmen bilden, der die IT-Sicherheit des Finanzsektors erhöht. Die von den Finanzunternehmen verlangten Anstrengungen werden im Verhältnis zu den potenziellen Risiken stehen.
Nahezu alle Finanzunternehmen werden den neuen Vorschriften unterworfen sein. Im Rahmen der vorläufigen Einigung werden Wirtschaftsprüfer nicht der DORA unterliegen, aber Teil einer zukünftigen Überprüfung der Verordnung sein, bei der eine mögliche Überarbeitung der Regeln untersucht werden kann.
Kritische IKT-Dienstleister aus Drittländern, die für Finanzunternehmen in der EU tätig sind, müssen eine Tochtergesellschaft in der EU gründen, damit die Aufsicht ordnungsgemäß durchgeführt werden kann.
Hinsichtlich des Aufsichtsrahmens einigten sich die Mitgesetzgeber auf ein zusätzliches gemeinsames Aufsichtsnetz, das die Koordinierung zwischen den europäischen Aufsichtsbehörden in diesem sektorübergreifenden Bereich verstärken wird.
Die vorläufige Vereinbarung sieht vor, dass Penetrationstests in einem funktionierenden Modus durchgeführt werden, wobei die Möglichkeit besteht, mehrere Behörden der Mitgliedstaaten in die Testverfahren einzubeziehen. Der Einsatz interner Prüfer wird nur unter bestimmten, streng begrenzten Bedingungen möglich sein, die an Schutzmaßnahmen geknüpft sind.
Was das Zusammenspiel von DORA mit der Richtlinie über Netz- und Informationssicherheit (NIS) betrifft, so werden die Finanzunternehmen im Rahmen der vorläufigen Einigung volle Klarheit über die verschiedenen Vorschriften zur digitalen operationellen Widerstandsfähigkeit haben, die sie einhalten müssen, insbesondere für diejenigen Finanzunternehmen, die mehrere Zulassungen besitzen und auf verschiedenen Märkten innerhalb der EU tätig sind. Die NIS-Richtlinie gilt weiterhin. DORA baut auf der NIS-Richtlinie auf und regelt mögliche Überschneidungen durch eine lex specialis-Ausnahme.
Die gestern Abend erzielte vorläufige Einigung muss noch vom Rat und vom Europäischen Parlament gebilligt werden, bevor das förmliche Annahmeverfahren eingeleitet wird.
Sobald der DORA-Vorschlag formell angenommen ist, wird er von jedem EU-Mitgliedstaat in ein Gesetz umgesetzt. Die zuständigen Europäischen Aufsichtsbehörden (ESAs), wie die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapieraufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), werden dann technische Standards entwickeln, an die sich alle Finanzdienstleistungsinstitute halten müssen, von Banken über Versicherungen bis hin zur Vermögensverwaltung. Die jeweils zuständigen nationalen Behörden werden die Einhaltung der Vorschriften überwachen und die Verordnung erforderlichenfalls durchsetzen.
Hintergrund
Die Kommission legte den DORA-Vorschlag am 24. September 2020 vor. Er ist Teil des umfassenderen Pakets für digitale Finanzen, mit dem ein europäischer Ansatz entwickelt werden soll, der die technologische Entwicklung fördert und die Finanzstabilität und den Verbraucherschutz gewährleistet. Neben dem DORA-Vorschlag enthält das Paket eine Strategie für das digitale Finanzwesen, einen Vorschlag zu Märkten für Krypto-Assets (MiCA) und einen Vorschlag zur Distributed-Ledger-Technologie (DLT).
Dieses Paket schließt eine Lücke in der bestehenden EU-Gesetzgebung, indem es sicherstellt, dass der derzeitige Rechtsrahmen keine Hindernisse für die Nutzung neuer digitaler Finanzinstrumente darstellt und gleichzeitig gewährleistet, dass solche neuen Technologien und Produkte in den Anwendungsbereich der Finanzregulierung und der Vorkehrungen für das operative Risikomanagement von in der EU tätigen Unternehmen fallen. Somit zielt das Paket darauf ab, Innovationen und die Einführung neuer Finanztechnologien zu fördern und gleichzeitig ein angemessenes Niveau des Verbraucher- und Anlegerschutzes zu gewährleisten.
Der Rat nahm sein Verhandlungsmandat zu DORA am 24. November 2021 an. Die Trilogverhandlungen zwischen den Mitgesetzgebern begannen am 25. Januar 2022 und endeten mit der gestern erzielten vorläufigen Einigung.
Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.
Original-Mitteilung des European Council: Digital finance: Provisional agreement reached on DORA – Consilium (europa.eu)