Kontakt
Kontakt

Schlagwort: Cybersicherheit

IDW EPS 528 (08.2025): Aufsichtliche DORA-Prüfung im Rahmen der Abschlussprüfung

Der nachfolgende Artikel gibt Ihnen einen kurzen Überblick zum aktuellen Stand, Inhalt und der Zeitlinie.

Hier finden Sie den Entwurf zum Download auf der Seite des IDW: Link

Mit dem Entwurf des IDW EPS 528 legt das Institut der Wirtschaftsprüfer erstmals einen umfassenden Prüfungsstandard für die sogenannte „aufsichtliche DORA-Prüfung“ vor. Hintergrund ist die Verordnung (EU) 2022/2554, der Digital Operational Resilience Act (DORA), die den Finanzsektor europaweit verpflichtet, digitale Resilienz, Cybersecurity und IKT-Risikomanagement auf ein einheitliches regulatorisches Fundament zu stellen.

Zeitliche Entwicklung

Die DORA trat bereits im Januar 2023 in Kraft, ihre Anwendungspflichten beginnen jedoch ab dem 17. Januar 2025. Damit sind sämtliche Finanzunternehmen verpflichtet, die Vorgaben zur digitalen operationellen Resilienz einzuhalten. In Deutschland wurde dies durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) umgesetzt, das die Prüfung bestimmter DORA-Anforderungen als Erweiterung der Jahresabschlussprüfung vorsieht.

Der Entwurf des IDW EPS 528 wurde am 21. Juli 2025 von den zuständigen Fachausschüssen des IDW verabschiedet und am 7. August 2025 vom Hauptfachausschuss gebilligt. Stellungnahmen dazu können bis zum 31. Oktober 2025 eingereicht werden. Ab dem Geschäftsjahr 2025 – also für alle Berichtszeiträume, die nach dem 31. Dezember 2024 beginnen – ist die Anwendung vorgesehen, wobei eine vorzeitige Umsetzung ausdrücklich möglich ist. Die endgültige Verabschiedung des Standards wird für Ende 2025 oder Anfang 2026 erwartet.

Zielsetzung des EPS 528

Das Ziel des Prüfungsstandards besteht darin, einheitliche Leitlinien für Abschlussprüfer zu schaffen, die im Rahmen der Jahresabschlussprüfung auch die Einhaltung zentraler DORA-Vorgaben zu beurteilen haben. Während die klassische Abschlussprüfung auf historische Finanzinformationen fokussiert ist, verlangt die DORA-Prüfung eine Bewertung organisatorischer, technischer und prozessualer Maßnahmen rund um IT- und Cyberresilienz.

Damit sollen drei Ziele erreicht werden: Erstens soll für die Aufsichtsbehörden eine verlässliche Informationsgrundlage geschaffen werden. Zweitens unterstützt die Prüfung die gesetzlichen Vertreter und Aufsichtsgremien der Finanzunternehmen in ihrer Verantwortung für digitale Resilienz. Drittens sorgt die Standardisierung dafür, dass die Prüfungen trotz großer Bandbreite an Institutsgrößen und Geschäftsmodellen vergleichbar und verhältnismäßig bleiben.

Überblick über die Inhalte

Der Standard ist in mehrere Abschnitte gegliedert. Nach den Vorbemerkungen mit Definitionen und Zielsetzungen folgt die Darstellung der Prüfungsdurchführung. Dort wird zunächst auf allgemeine Berufspflichten, Auftragsannahme und Qualitätssicherung eingegangen. Besonders ausführlich beschreibt der Standard den Ablauf der sogenannten „Organisationsprüfungen“.

Diese gliedern sich in drei zentrale Schritte: Zunächst würdigt der Prüfer das sogenannte „Soll-Objekt“, also die vom Unternehmen abgeleiteten organisatorischen Vorgaben aus den gesetzlichen Anforderungen. Darauf aufbauend erfolgt eine Angemessenheitsprüfung, bei der beurteilt wird, ob diese Vorgaben sachgerecht in Prozesse, Regeln und Verfahren umgesetzt wurden. Schließlich schließt sich die Wirksamkeitsprüfung an, mit der die tatsächliche Einhaltung der Vorgaben im Berichtszeitraum überprüft wird.

Darüber hinaus beschreibt der Standard die Anforderungen an Prüfungsnachweise, Dokumentation und die Berichterstattung. Hierbei wird Wert auf Transparenz gelegt: Der Prüfer muss nicht nur Mängel feststellen, sondern auch die Maßnahmen zur Behebung in den Folgejahren nachverfolgen. Zudem ist eine enge Kommunikation mit den beaufsichtigten Unternehmen und der Aufsicht vorgesehen.

Wichtigste Punkte

Besonders hervorzuheben ist, dass die Prüfungspflichten inhaltlich sehr konkret auf die DORA-Artikel zugeschnitten sind. Dazu gehören das IKT-Risikomanagement (Artikel 5–14 DORA), das IKT-Vorfallsmeldewesen (Artikel 17–19, 23), das Testen der digitalen Resilienz (Artikel 24–25), das Management von IKT-Drittparteienrisiken (Artikel 28–30) sowie der Informationsaustausch über Cyberbedrohungen (Artikel 45 Abs. 3). Nicht umfasst sind dagegen die Vorgaben zu Threat-Led Penetration Tests (TLPT) nach Artikel 26 und 27.

Ein weiterer wichtiger Punkt ist das Prinzip der Proportionalität: Die Prüfung soll sich immer an Größe, Komplexität und Risikoprofil des jeweiligen Instituts orientieren. Das verhindert eine Überlastung kleinerer Institute und erlaubt gleichzeitig eine tiefgehende Prüfung bei systemrelevanten Unternehmen.

Weitere Zeitplanung

Bis Ende Oktober 2025 läuft die Konsultationsfrist, innerhalb derer Fachkreise, Unternehmen und Prüfer Feedback zum Entwurf einreichen können. Im Anschluss wird das IDW die Stellungnahmen auswerten und den Standard endgültig verabschieden. Für die Praxis bedeutet dies, dass bereits für die Abschlussprüfungen des Geschäftsjahres 2025 – mit Stichtag 31. Dezember 2025 – die neuen Anforderungen greifen können.

Finanzunternehmen sollten sich daher frühzeitig auf die Prüfungen vorbereiten. Dazu gehört eine Überprüfung des IKT-Risikomanagements, die Einrichtung klarer Prozesse zur Meldung von IT-Vorfällen, die regelmäßige Durchführung von Resilienz-Tests sowie ein stringentes Management der Risiken aus Auslagerungen und Drittparteien. Auch Prüfer müssen ihre Prüfungsansätze, Teams und Dokumentationssysteme rechtzeitig an die neuen Anforderungen anpassen.

BSI C5-Testierung wird Pflicht: Neue Anforderungen ab 1. Juli 2025 für Cloud-Dienste

Ab dem 1. Juli 2025 gilt in Deutschland eine neue verbindliche Anforderung für Cloud-Dienstleister: Die Testierung nach dem Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird für viele Anbieter zur Pflicht. Die Grundlage dafür bildet die am 10. April 2024 veröffentlichte novellierte BSI-Kritisverordnung (BSI-KritisV 2024), in der der Einsatz geprüfter Cloud-Dienste in sicherheitsrelevanten Bereichen ausdrücklich vorgeschrieben wird.

Seit seiner Einführung im Jahr 2016 gilt der C5-Katalog des BSI als etabliertes Prüf- und Nachweismittel für IT-Sicherheit im Cloud-Umfeld. Bisher war die Anwendung freiwillig – viele Unternehmen nutzten C5-Testate als vertrauensbildendes Signal gegenüber Kunden, insbesondere im industriellen und behördlichen Kontext. Mit dem Schritt zur verpflichtenden Testierung markiert das BSI nun eine klare Richtungsänderung: Cloud-Sicherheit ist nicht länger Kür, sondern Pflicht. Ziel ist eine flächendeckend höhere IT-Sicherheit – insbesondere in kritischen Infrastrukturen und im öffentlichen Sektor.

Die neue Pflicht ist auch eine Chance: Anbieter, die frühzeitig ein Testat vorweisen können, sichern sich Zugang zu öffentlichen und KRITIS-bezogenen Projekten und stärken das Vertrauen bei sicherheitsbewussten Kunden. Zudem etabliert sich C5 immer stärker als Marktstandard, auch außerhalb gesetzlicher Anforderungen. Die Investition in Sicherheit zahlt sich somit doppelt aus: in Compliance – und in Wettbewerbsvorteile.

Was ist die C5-Testierung eigentlich?

Die C5-Testierung basiert auf dem „Cloud Computing Compliance Criteria Catalogue“ (C5), den das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals 2016 veröffentlicht und zuletzt 2023 umfassend überarbeitet hat. C5 definiert einheitliche Prüfanforderungen für Anbieter von Cloud-Diensten – von technischen Sicherheitsmaßnahmen über organisatorische Kontrollen bis hin zur Transparenz gegenüber Kunden.

Ziel des Kriterienkatalogs ist es, Sicherheit und Nachvollziehbarkeit bei der Nutzung von Cloud-Services systematisch zu verbessern. Dies gilt besonders in Bereichen, in denen sensible oder besonders schützenswerte Daten verarbeitet werden – etwa Gesundheits-, Sozial- oder Personaldaten, aber auch Betriebs- und Geschäftsgeheimnisse.

C5 macht Sicherheitsvorkehrungen prüfbar und dokumentierbar – und liefert Unternehmen eine objektive Entscheidungsgrundlage bei der Auswahl von Cloud-Diensten. Gleichzeitig schafft es Vertrauen und Rechtssicherheit für Anbieter, Anwender und Aufsichtsbehörden gleichermaßen.

Die C5-Testierung wird von unabhängigen, qualifizierten Auditoren durchgeführt und beinhaltet die Prüfung aller im Katalog enthaltenen Kriterien – darunter u. a.:

  • Informationssicherheitsmanagement (ISMS)
  • Zugriffskontrolle und Berechtigungsmanagement
  • Verschlüsselung und Datenlokalität
  • Betriebssicherheit, Incident Response, Logging
  • Auslagerung und Drittanbietersteuerung
  • Transparenzpflichten gegenüber Kunden

Mit der gesetzlichen Verankerung der C5-Testierungspflicht ab 2025 wird aus einem freiwilligen Prüfstandard nun ein zentrales Element der Cloud-Governance in Deutschland.

Was konkret ändert sich? – Die C5-Testierung wird zur regulatorischen Pflicht

Mit Inkrafttreten der BSI-Kritisverordnung 2024 wird der Nachweis einer gültigen C5-Testierung ab dem 1. Juli 2025 zur verbindlichen Voraussetzung für Cloud-Dienste, die in kritischen oder besonders schützenswerten Anwendungsbereichen eingesetzt werden. Die wichtigsten Veränderungen:

1. Verpflichtung zur C5-Testierung bei bestimmten Einsatzkontexten

Die C5-Testierung ist künftig verpflichtend für Cloud-Service-Provider, wenn deren Dienste:

  • von KRITIS-Betreibern gemäß BSI-Gesetz (§ 8a BSIG) genutzt werden,
  • von öffentlichen Stellen und Behörden für besonders schützenswerte Informationen eingesetzt werden,
  • im Kontext sicherheitsrelevanter Lieferketten verwendet werden (z. B. in der Energie- oder Gesundheitsversorgung),
  • Teil von Geschäftsprozessen mit erhöhtem Schutzbedarf nach dem IT-Grundschutz-Kompendium sind.

Die Pflicht gilt unabhängig davon, ob der Anbieter aus Deutschland stammt – entscheidend ist, ob der Dienst in der deutschen KRITIS-Landschaft oder Verwaltung eingesetzt wird.

2. Anerkennung ausschließlich geprüfter Nachweise

Die C5-Testierung muss:

  • auf dem aktuellen Kriterienkatalog C5:2023 basieren,
  • jährlich von einer unabhängigen, qualifizierten Prüfgesellschaft durchgeführt werden,
  • in Form eines prüfbaren Berichts mit vollständigem Kontrollrahmen gemäß IDW PS 880 oder ISAE 3000 vorliegen,
  • vollständig dokumentiert und nachweispflichtig gegenüber Kunden und Aufsichtsbehörden sein.

Selbstauskünfte oder interne Bewertungen werden nicht mehr anerkannt.

3. Erweiterung der Prüfpflicht auf Unterauftragnehmer

Die Verpflichtung zur C5-Testierung erstreckt sich künftig auch auf:

  • Unterauftragnehmer, sofern deren Leistungen sicherheitsrelevant sind (z. B. IaaS-Betreiber für PaaS- oder SaaS-Dienste),
  • technische Betreiber oder Managed Service Provider, die Cloud-Plattformen im Auftrag anderer Unternehmen bereitstellen,
  • nicht-europäische Anbieter, sofern deren Dienste für deutsche KRITIS-Betreiber oder Behörden verarbeitet werden.

Damit müssen auch global agierende Hyperscaler sicherstellen, dass ihre Plattformdienste über ein gültiges C5-Testat verfügen oder alternative gleichwertige Nachweise nach deutschem Recht erbringen.

4. Verpflichtung zur Bereitstellung von Nachweisen gegenüber Kunden und Behörden

Anbieter müssen den Prüfbericht (mindestens in einer Kurzfassung) bereitstellen:

  • auf Anforderung von Kunden oder Behörden,
  • im Rahmen von Vertragsverhandlungen oder Sicherheitsprüfungen,
  • teilweise sogar öffentlich zugänglich auf ihrer Website (Transparenzpflicht nach § 8a BSIG i.V.m. KritisV).

Das erhöht den Prüfaufwand – aber auch die Sichtbarkeit gut aufgestellter Anbieter.

5. Integration in Ausschreibungen und IT-Beschaffungsrichtlinien

Viele öffentliche Auftraggeber und KRITIS-Betreiber sind laut BSI verpflichtet, in neuen IT-Ausschreibungen ab 1. Juli 2025 die C5-Testierung als zwingendes Kriterium aufzunehmen. Wer kein gültiges Testat vorweisen kann, wird von solchen Ausschreibungen künftig ausgeschlossen.

Dies betrifft insbesondere:

  • Cloud-Angebote in der Verwaltung (z. B. OZG-Umsetzung),
  • kommunale IT-Dienstleister und Rechenzentren,
  • IT-Systemhäuser mit Integrationsverantwortung,
  • Anbieter von Sicherheits-, Überwachungs- oder Verwaltungsplattformen in der Cloud.

6. Auswirkungen auf Vertragsgestaltung, Haftung und Governance

  • Vertraglich müssen C5-Anforderungen explizit geregelt werden, z. B. in Auftragsverarbeitungsverträgen oder Rahmenvereinbarungen.
  • Haftungsfragen ändern sich: Fehlende Testate oder Mängel im Sicherheitsnachweis können zu Vertragsstrafen, Ausschluss oder Rücktritt führen.
  • Unternehmen müssen interne Prozesse anpassen, z. B. durch ein zentrales Nachweis- und Kontrollmanagement, das regelmäßig aktualisiert wird.

7. Übergangsfristen und Sanktionen

  • Es gilt eine Übergangsfrist bis zum 30. Juni 2025 – danach darf der produktive Einsatz nicht getesteter Cloud-Dienste in sicherheitskritischen Bereichen nicht mehr erfolgen.
  • Bei Nichteinhaltung drohen Bußgelder, Vertragsausschlüsse oder Maßnahmen durch Aufsichtsbehörden (z. B. BNetzA, BSI, Landesdatenschutzbehörden).

Wer ist betroffen – und wie sollten Unternehmen reagieren?

Betroffen sind:

  • Rechenzentrums- und Cloud-Anbieter mit Kunden im KRITIS- oder Behördenumfeld,
  • IT-Dienstleister mit sicherheitskritischer Verantwortung (z. B. Hosting, SaaS, IaaS),
  • Unternehmen, die Plattformen oder Applikationen für öffentliche Stellen bereitstellen.

Empfohlen wird eine frühzeitige Gap-Analyse durchzuführen, um den Reifegrad des eigenen Systems zu bewerten: Welche Anforderungen sind bereits erfüllt, und wo bestehen noch Lücken? Abhängig von der Ausgangslage sollte für die Vorbereitung und Umsetzung einer C5-Testierung ein Zeitraum von etwa drei bis neun Monaten eingeplant werden.

Mit der verpflichtenden Einführung des C5-Standards geht Deutschland einen weiteren wichtigen Schritt in Richtung einer sicheren digitalen Infrastruktur. Auch wenn der Umstellungsaufwand nicht zu unterschätzen ist, bietet die neue Regelung sowohl mehr Schutz vor Cyberbedrohungen als auch neue Chancen im Markt. Wer jetzt vorbereitet ist, kann profitieren.

Unser Beratungsangebot: GRC Factory unterstützt bei der C5-Testierung

Die Umsetzung der neuen C5-Pflicht stellt viele Unternehmen vor organisatorische und technische Herausforderungen. Als erfahrene Beratungspartner im Bereich Governance, Risk & Compliance (GRC) begleiten wir von der GRC Factory Sie auf dem Weg zur erfolgreichen C5-Testierung.

Unser Angebot reicht von initialen Gap-Analysen über die Begleitung bei der Einführung fehlender Sicherheitsmaßnahmen bis hin zur Vorbereitung und Unterstützung von Audits durch unabhängige Prüfer. Dabei setzen wir auf pragmatische, zielgerichtete Lösungen – zugeschnitten auf Ihre IT-Struktur und Ihr Geschäftsmodell.

Wir legen großen Wert darauf, bereits frühzeitig Kontakt mit dem zertifizierenden Wirtschaftsprüfungsunternehmen in Kontakt zu treten. Bei Bedarf können wir auch ausgewählte, in der Zusammenarbeit bewährte Wirtschaftsprüfungsunternehmen empfehlen und den Kontakt herstellen.

Profitieren Sie von unserer Expertise in der Umsetzung regulatorischer Anforderungen und unserer Erfahrung aus zahlreichen Projekten in regulierten Branchen, insbesondere im KRITIS- und Public-Sector-Umfeld. Gemeinsam schaffen wir die Grundlage für Ihre C5-Konformität – effizient, transparent und nachhaltig.

Nehmen Sie Kontakt mit unseren Experten auf!

Wann kommt NIS2? (Update 9/2025)

Einleitung: Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive) ist ein zentrales Regelwerk der Europäischen Union, das darauf abzielt, die Cybersicherheit auf EU-Ebene zu stärken und zu harmonisieren. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich sowie die Anforderungen an Unternehmen und öffentliche Einrichtungen deutlich. Ziel ist es, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedsstaaten zu verbessern.

Die Richtlinie legt dabei insbesondere Wert auf die Sicherheit kritischer Infrastrukturen, definiert neue Branchen, die unter die Regelungen fallen, und erhöht die Anforderungen an die Berichterstattung von Sicherheitsvorfällen.

NIS2: Aktueller Stand in Deutschland – was Unternehmen jetzt wissen müssen

Die EU-Richtlinie NIS2 trat bereits am 16. Januar 2023 in Kraft und hätte bis spätestens 18. Oktober 2024 in nationales Recht überführt werden müssen. Deutschland hat diese Frist jedoch verpasst – aktuell (Herbst 2025) gibt es noch kein gültiges Umsetzungsgesetz.

Der deutsche Gesetzgeber arbeitet derzeit am NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Nach jetzigem Stand ist damit zu rechnen, dass das Gesetz Ende 2025 oder Anfang 2026 verabschiedet und wirksam wird. Vorgesehen ist, dass es unmittelbar am Tag nach der Verkündung in Kraft tritt.

Welche Fristen sind geplant?

  • Registrierungspflicht: Einrichtungen, die als „wichtig“ oder „besonders wichtig“ gelten, müssen sich innerhalb von drei Monaten nach Identifizierung registrieren.
  • Melde- und Nachweispflichten: Viele Pflichten gelten sofort mit Inkrafttreten.
  • Nachweise für Betreiber kritischer Anlagen: Der erste Nachweis über die Umsetzung von Sicherheitsmaßnahmen wird frühestens drei Jahre nach Inkrafttreten fällig, danach alle drei Jahre erneut.

Fazit: Auch wenn das deutsche Umsetzungsgesetz noch nicht gilt, sollten betroffene Unternehmen bereits jetzt mit der Vorbereitung beginnen. Erfahrungsgemäß bleibt nach Inkrafttreten kaum Zeit für Anpassungen, da die meisten Pflichten sofort wirksam werden.

Deutschland und das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)

In Deutschland wird die NIS2-Richtlinie durch das sogenannte Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) in nationales Recht integriert. Dieses Gesetz baut auf den bestehenden Regelungen des IT-Sicherheitsgesetzes (IT-SiG) auf und erweitert diese um die verschärften Anforderungen der EU. Obwohl das Gesetz wichtige Fortschritte verspricht, wurde es nicht fristgerecht verabschiedet. Das verzögerte Vorgehen hat verschiedene Ursachen:

  1. Regulatorische Komplexität: Die Verschmelzung der NIS2-Vorgaben mit dem IT-SiG erfordert eine umfassende Abstimmung, um Überschneidungen und Lücken zu vermeiden.
  2. Ressourcenprobleme: Sowohl auf staatlicher Seite als auch in den betroffenen Branchen fehlen personelle und finanzielle Kapazitäten für eine schnelle Implementierung.
  3. Neue Branchenanforderungen: Mit der NIS2-Richtlinie werden erstmals Sektoren wie Lebensmittelproduktion und Abfallwirtschaft reguliert, was zusätzliche Anpassungen erforderlich macht.

Die Verzögerung Deutschlands wird zu Druck seitens der EU führen, insbesondere da andere Mitgliedsstaaten bereits Fortschritte erzielt haben. Aktuell läuft ein Vertragsverletzungsverfahren der EU gegen Deutschland aufgrund der nicht fristgerechten Umsetzung der NIS2 in nationales Recht, dass mit hohen Bußgeldern belegt ist. Eine schnelle Nachbesserung ist daher dringend notwendig.

Für die betroffenen Unternehmen ist damit zu rechnen, dass die Umsetzungsfrist aufgrund des Vertragsverletzungsverfahren der EU relativ kurz sein wird. Daher sollten betroffene Unternehmen die Zeit nutzen und bereits eine Standortbestimmung der Informationssicherheit und zur NIS2 Umsetzung durchführen und wichtige Maßnahmen bereits angehen.

Inhalte und Anforderungen der NIS2-Richtlinie

Die NIS2-Richtlinie erweitert den Anwendungsbereich und verschärft die Anforderungen im Vergleich zur ursprünglichen NIS-Richtlinie. Die wichtigsten Inhalte sind:

  1. Erweiterter Anwendungsbereich: Die NIS2-Richtlinie gilt nun für mehr Branchen, darunter:
    • Energieversorgung
    • Gesundheitswesen
    • Lebensmittelproduktion und -versorgung
    • Abfallwirtschaft
    • Öffentliche Verwaltung
  2. Erhöhte Sicherheitsanforderungen: Unternehmen müssen:
    • Umfassende Risikobewertungen durchführen
    • Sicherheitsmaßnahmen wie Netzsegmentierung, Backup-Systeme und regelmäßige Sicherheitsupdates implementieren
    • Mitarbeitende regelmäßig schulen und sensibilisieren
  3. Strengere Meldepflichten:
    • Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem detaillierten Bericht binnen 72 Stunden.
  4. Verstärkte Durchsetzungsmechanismen:
    • Nationale Behörden erhalten mehr Kompetenzen zur Überprüfung und Durchsetzung der Vorschriften.
    • Bei Verstößen drohen hohe Bußgelder (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes).
  5. Förderung der internationalen Zusammenarbeit:
    • Der Informationsaustausch zwischen den Mitgliedsstaaten wird durch Plattformen wie das EU-Cybersicherheitsnetzwerk intensiviert.

Zusammenhang zwischen NIS2, IT-Sicherheitsgesetz und NIS2-Umsetzungsgesetz

Das deutsche IT-Sicherheitsgesetz (IT-SiG) bildet die Grundlage für die nationalen Cybersicherheitsstandards, während das NIS2-Umsetzungsgesetz diese um die Anforderungen der EU-Richtlinie ergänzt. Ziel ist es, ein einheitliches und gleichzeitig strengeres Sicherheitsniveau zu gewährleisten.

Neue Elemente durch das NIS2-UmsG

  1. Breiterer Fokus: Im Gegensatz zum IT-SiG reguliert das NIS2-UmsG eine größere Zahl von Branchen, darunter auch solche, die bislang nicht im Fokus standen.
  2. Erweiterte Meldepflichten: Sicherheitsvorfälle müssen schneller und detaillierter gemeldet werden, was neue Prozesse in Unternehmen erfordert.
  3. Sanktionsmechanismen: Die Einführung von EU-weit harmonisierten Bußgeldern erhöht den Druck auf Unternehmen, die Vorgaben einzuhalten.

Das Zusammenspiel zwischen IT-SiG und NIS2-UmsG sorgt für eine umfassendere Abdeckung und stärkt die internationale Koordination im Bereich Cybersicherheit.

Der BSI NIS2-Check: Unterstützung für Unternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen ein spezielles Tool, die NIS2-Betroffenheitsprüfung, um zu klären, ob sie unter die Regelungen der NIS2-Richtlinie fallen. Diese Analyse hilft Organisationen, die eigene Betroffenheit anhand der Kriterien der Richtlinie zu bewerten und entsprechende Maßnahmen einzuleiten.

Funktionsweise der NIS2-Betroffenheitsprüfung:

  1. Analyse der Unternehmensdaten: Überprüfen, ob das Unternehmen in einem der relevanten Sektoren tätig ist und welche Rolle es dort einnimmt.
  2. Abgleich mit den NIS2-Kriterien: Bewertung, ob die Unternehmensgröße und die Relevanz der Dienstleistungen für die Gesellschaft die Anwendung der Richtlinie auslösen.
  3. Empfehlungen zur weiteren Umsetzung: Ermittlung konkreter Handlungsschritte, falls das Unternehmen betroffen ist.

Das Tool des BSI unterstützt Unternehmen dabei, frühzeitig ihre Verpflichtungen zu erkennen und sich auf die Einhaltung der Richtlinie vorzubereiten. Weitere Informationen und Zugang zum Tool finden Sie auf der offiziellen Website des BSI: BSI NIS2-Betroffenheitsprüfung.

Die zuständige Aufsichtsbehörden und ihre Befugnisse

Die Überwachung und Durchsetzung der NIS2-Richtlinie in Deutschland erfolgt durch die zuständigen Aufsichtsbehörden, darunter insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörden haben erweiterte Kompetenzen, um die Einhaltung der Vorgaben sicherzustellen:

  1. Überprüfung der Compliance: Die Behörden können Audits und Inspektionen bei betroffenen Unternehmen durchführen, um die Einhaltung der Richtlinie zu prüfen.
  2. Anordnung von Maßnahmen: Bei festgestellten Mängeln haben die Behörden das Recht, verbindliche Maßnahmen zur Verbesserung der Cybersicherheit anzuordnen.
  3. Zwangsmaßnahmen: Im Falle von Nichtbefolgung können Unternehmen zur Umsetzung der Maßnahmen gezwungen werden, etwa durch Bußgelder oder gerichtliche Anordnungen.
  4. Koordination auf EU-Ebene: Die nationalen Behörden arbeiten eng mit anderen Mitgliedsstaaten und der EU-Kommission zusammen, um grenzüberschreitende Cyberbedrohungen effektiv zu bekämpfen.

Die Aufsichtsbehörden spielen somit eine Schlüsselrolle bei der Durchsetzung der NIS2-Richtlinie und der Sicherstellung eines einheitlichen Sicherheitsniveaus.

Strafen bei Verstößen gegen die NIS2-Richtlinie

Die NIS2-Richtlinie sieht erhebliche Sanktionen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. Diese Sanktionen sind so gestaltet, dass sie Unternehmen zur Einhaltung der Vorgaben motivieren und gleichzeitig abschreckend wirken:

  1. Hohe Bußgelder:
    • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist.
  2. Reputationsschäden:
    • Verstöße können öffentlich gemacht werden, was zu einem erheblichen Verlust des Vertrauens von Kunden und Geschäftspartnern führen kann.
  3. Haftung der Geschäftsführung:
    • In schweren Fällen können auch Mitglieder der Geschäftsführung persönlich zur Verantwortung gezogen werden.
  4. Betriebsunterbrechungen:
    • Bei wiederholten oder schweren Verstößen können Behörden den Betrieb eines Unternehmens teilweise oder vollständig einschränken.

Die strengen Sanktionsmöglichkeiten unterstreichen die Bedeutung der NIS2-Richtlinie und machen deutlich, dass Cybersicherheit ein zentraler Bestandteil der Unternehmensführung sein muss.

Umsetzung der NIS2-Richtlinie mit einem ISMS nach ISO 27001 oder BSI IT-Grundschutz

Ein effektiver Weg, die Anforderungen der NIS2-Richtlinie zu erfüllen, ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder dem BSI IT-Grundschutz. Beide Standards bieten bewährte Methoden und Werkzeuge, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu minimieren.

Vorteile eines ISMS nach ISO 27001 oder BSI IT-Grundschutz:

  1. Systematische Risikobewertung: Ein ISMS ermöglicht eine strukturierte Analyse und Bewertung von Sicherheitsrisiken, die Unternehmen helfen, geeignete Maßnahmen zu priorisieren.
  2. Flexibilität: Die Standards können individuell an die Größe und Branche des Unternehmens angepasst werden.
  3. Compliance: Durch die Umsetzung eines ISMS erfüllen Unternehmen automatisch viele der von der NIS2-Richtlinie geforderten Sicherheitsmaßnahmen.
  4. Kontinuierliche Verbesserung: Beide Standards setzen auf einen kontinuierlichen Verbesserungsprozess (Plan-Do-Check-Act), der sicherstellt, dass Sicherheitsmaßnahmen regelmäßig überprüft und aktualisiert werden.
  5. Nachweisbare Sicherheit: Die Zertifizierung nach ISO 27001 oder die Umsetzung des BSI IT-Grundschutzes bietet Behörden und Geschäftspartnern eine transparente Bestätigung der Sicherheitsmaßnahmen.

Praxisbeispiel: Integration in die NIS2-Compliance

Die ISO/IEC 27002:2022 umfasst 93 Controls, die nahezu alle Anforderungen der NIS2-Richtlinie abdecken. Diese Controls bieten eine systematische Basis, um Cybersicherheitsmaßnahmen umzusetzen, müssen jedoch an die spezifischen Vorgaben der NIS2 angepasst werden. Ein zentrales Beispiel ist der Security Incident Prozess, der so ausgestaltet sein muss, dass die Meldefristen der NIS2 eingehalten werden:

  • 24-Stunden-Regel: Erste Meldung eines Sicherheitsvorfalls.
  • 72-Stunden-Regel: Detaillierter Bericht mit Maßnahmen und Auswirkungen.

Die ISO-Controls helfen dabei, diese Prozesse zu standardisieren und effizient zu gestalten. Beispielsweise fordern die Controls Richtlinien für das Management von Vorfällen, die klare Zuständigkeiten und Eskalationswege definieren.

Unternehmen können so nicht nur die NIS2-Vorgaben erfüllen, sondern auch ihre Cybersicherheitsmaßnahmen strategisch verbessern und langfristig optimieren.

Fazit und Ausblick

Die NIS2-Richtlinie ist ein entscheidender Schritt, um die Cybersicherheitslandschaft in Europa zu stärken und widerstandsfähiger gegen Bedrohungen zu machen. Mit der Frist im Oktober 2024 stehen die Mitgliedsstaaten unter Druck, die Vorgaben schnell und umfassend umzusetzen. Deutschland muss in den kommenden Monaten erheblich nachbessern, um nicht nur den Anforderungen der EU zu genügen, sondern auch die eigene Cybersicherheitsstrategie zu stärken.

Unternehmen sollten die Zeit nutzen, um ihre eigenen Sicherheitsmaßnahmen zu evaluieren und anzupassen. Der Fokus sollte auf der Erfüllung der Meldepflichten, der Umsetzung technischer Sicherheitsmaßnahmen und der Mitarbeiterschulung liegen. Nur durch eine konsequente Umsetzung können die Ziele der NIS2-Richtlinie erreicht und Sanktionen vermieden werden.

Die kommenden Monate werden entscheidend sein, um die Cybersicherheitsinfrastruktur in Deutschland und Europa nachhaltig zu stärken.

NIS 2 – Die neue EU-Richtlinie zur Erhöhung der Cybersicherheit

Die Digitalisierung schreitet unaufhaltsam voran und damit auch die Bedrohungen für die Cybersicherheit. Um diesen Herausforderungen zu begegnen, hat die Europäische Union (EU) im Jahr 2016 die erste Richtlinie zur Erhöhung der Cybersicherheit (NIS 1) verabschiedet. Nun steht mit NIS 2 eine neue Richtlinie in den Startlöchern, die noch umfassender und strenger ist.

Entstehung von NIS 2

Die Entstehung von NIS 2 geht auf die Erfahrungen und Erkenntnisse aus der Umsetzung von NIS 1 zurück. Die erste Richtlinie hatte zum Ziel, die Cybersicherheit in kritischen Infrastrukturen wie Energieversorgung, Verkehr oder Gesundheitswesen zu erhöhen. Doch es zeigte sich, dass die Umsetzung in den Mitgliedsstaaten sehr unterschiedlich erfolgte und es an einheitlichen Standards und klaren Zuständigkeiten mangelte.

Daher hat die EU-Kommission im Dezember 2020 den Entwurf für NIS 2 vorgelegt, der nun von den Mitgliedsstaaten diskutiert und umgesetzt werden soll. Die neue Richtlinie soll die Cybersicherheit in allen Bereichen stärken und einheitliche Standards und Zuständigkeiten schaffen.

Inhalte von NIS 2

NIS 2 umfasst eine Vielzahl von Maßnahmen und Regelungen, die auf die Erhöhung der Cybersicherheit abzielen. Dazu gehören unter anderem:

  • Erweiterung des Anwendungsbereichs: NIS 2 soll nicht nur für kritische Infrastrukturen gelten, sondern für alle Unternehmen und Organisationen, die digitale Dienste anbieten oder von ihnen abhängig sind.
  • Verpflichtende Meldung von Sicherheitsvorfällen: Unternehmen und Organisationen müssen Sicherheitsvorfälle, die Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit von digitalen Diensten haben, innerhalb von 24 Stunden melden.
  • Erhöhung der Anforderungen an Sicherheitsmaßnahmen: Unternehmen und Organisationen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dazu gehören unter anderem regelmäßige Risikoanalysen, Schulungen der Mitarbeiterinnen und Mitarbeiter und die Umsetzung von Sicherheitsstandards.
  • Schaffung eines EU-weiten Zertifizierungssystems: Unternehmen und Organisationen können sich freiwillig zertifizieren lassen, um ihre Cybersicherheit nachzuweisen. Das Zertifizierungssystem soll EU-weit einheitlich sein und auf internationalen Standards basieren.

Handlungsbedarfe und konkrete Maßnahmen

Die Umsetzung von NIS 2 erfordert von Unternehmen und Organisationen ein hohes Maß an Engagement und Investitionen in die Cybersicherheit. Insbesondere kleine und mittelständische Unternehmen (KMU) stehen vor großen Herausforderungen, da sie oft nicht über die Ressourcen und das Know-how verfügen, um die Anforderungen von NIS 2 umzusetzen.

Um die Anforderungen der NIS-Richtlinie zu erfüllen, sollten KMUs (kleine und mittlere Unternehmen) in der Europäischen Union folgende Maßnahmen ergreifen:

  1. Bewertung der kritischen Infrastruktur: Identifizieren Sie die wesentlichen Netzwerke, Systeme und Dienste, die für den Geschäftsbetrieb Ihres Unternehmens von zentraler Bedeutung sind.
  2. Risikobewertung: Führen Sie eine umfassende Risikobewertung durch, um potenzielle Bedrohungen, Schwachstellen und Risiken zu identifizieren, die Ihre Netzwerk- und Informationssicherheit beeinträchtigen könnten.
  3. Sicherheitsmaßnahmen implementieren: Ergreifen Sie geeignete technische und organisatorische Maßnahmen, um die Sicherheit Ihrer Netzwerke und Informationen zu gewährleisten. Dazu gehören z. B. Firewalls, Antivirus-Software, Verschlüsselung und Zugriffskontrollen.
  4. Incident Response Plan: Entwickeln Sie einen Notfallplan für den Umgang mit Sicherheitsvorfällen. Definieren Sie klare Verfahren zur Erkennung, Meldung, Reaktion und Wiederherstellung im Falle eines Sicherheitsvorfalls.
  5. Sicherheitsbewusstsein schaffen: Sensibilisieren Sie Ihre Mitarbeiter für Netzwerk- und Informationssicherheit. Schulen Sie sie regelmäßig über bewährte Sicherheitspraktiken, Phishing-Erkennung und den sicheren Umgang mit sensiblen Informationen.
  6. Externe Dienstleister überprüfen: Stellen Sie sicher, dass externe Dienstleister, die Zugang zu Ihren Netzwerken oder Informationen haben, angemessene Sicherheitsmaßnahmen implementiert haben.
  7. Datenschutz beachten: Stellen Sie sicher, dass Sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen, da diese eng mit den Anforderungen der NIS-Richtlinie verbunden sind.
  8. Regelmäßige Sicherheitsaudits durchführen: Führen Sie regelmäßig interne oder externe Sicherheitsaudits durch, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen und potenzielle Schwachstellen zu identifizieren.
  9. Vorfallberichterstattung: Stellen Sie sicher, dass Sie Sicherheitsvorfälle den zuständigen Behörden melden, wie in der NIS-Richtlinie vorgeschrieben.
  10. Zusammenarbeit mit CERTs: Arbeiten Sie mit Computer Emergency Response Teams (CERTs) zusammen, um Informationen über Bedrohungen auszutauschen und Unterstützung bei der Bewältigung von Sicherheitsvorfällen zu erhalten.
  11. Aktuelle Software und Patches: Halten Sie Ihre Systeme und Software auf dem neuesten Stand und stellen Sie sicher, dass alle relevanten Sicherheitspatches eingespielt sind.
  12. Backup- und Wiederherstellungsplan: Implementieren Sie regelmäßige Backups Ihrer wichtigen Daten und entwickeln Sie einen Plan zur Wiederherstellung im Falle eines Datenverlusts oder einer Systembeschädigung.
  13. Physische Sicherheit: Berücksichtigen Sie auch physische Sicherheitsmaßnahmen, wie z. B. den Zugang zu Serverräumen, Büros, Technikräumen

Informationssicherheit: Cybersecurity umsetzen – das MITRE Attack Framework

MITRE ATT&CK® ist eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienstleistungen verwendet.

Mit der Schaffung von ATT&CK erfüllt MITRE seinen Auftrag, Probleme für eine sicherere Welt zu lösen, indem es Gemeinschaften zusammenbringt, um eine effektivere Cybersicherheit zu entwickeln. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

ATT&CK Matrix for Enterprise:

Das ATT&CK Framework kann Unternehmen helfen, Analysen zu entwickeln, die die von einem Angreifer verwendeten Techniken erkennen. Folgende Hilfsmittel und Anleitungen in Form von Anwendungsfällen (Use Cases) werden dafür bereitgestellt, die nachfolgend beispielhaft für den ausgewählten Bereich aufgeführt werden.

Erkennen und Analysen

  • Erste Schritte mit ATT&CK: Erkennung und Analyse Blog Post: In diesem Blogbeitrag wird beschrieben, wie Sie ATT&CK für die Erkennung und Analyse auf drei verschiedenen Schwierigkeitsgraden einsetzen können.
  • Cyber Analytics Repository (CAR): ATT&CK ist der Rahmen für das Vorgehen von Angreifern, und CAR ist eine Wissensdatenbank mit Analysen, die auf ATT&CK basieren. In diesem Blog-Beitrag über CAR wird unsere Arbeit zur Verbesserung des Systems erläutert.
  • Auffinden von Cyber-Bedrohungen mit ATT&CK-basierten Analysen: Präsentiert eine Methodik für die Verwendung von ATT&CK zum Aufbau, Testen und Verfeinern verhaltensbasierter analytischer Erkennungsfunktionen.
  • CASCADE: Dieses MITRE-Forschungsprojekt zielt darauf ab, die Arbeit des “Blue Teams” zu automatisieren, einschließlich der Durchführung von Analysen.
  • ATT&CKing the Status Quo Präsentation: Der letzte Teil dieser Präsentation bietet eine Einführung in die Verwendung von ATT&CK zur Erstellung von Analysen. Die Folien sind ebenfalls verfügbar.
  • Viele Mitglieder der ATT&CK-Community leisten hervorragende Arbeit bei der Analyse und Erkennung. Wir empfehlen Ihnen, sich die Präsentationen der ATT&CKcon 2018 anzusehen, um sich Anregungen zu holen. Sie können uns auch auf Twitter unter @MITREattack folgen, da wir manchmal Informationen über Community-Projekte retweeten, die ATT&CK-Nutzern helfen könnten.

ATT&CK bietet eine gemeinsame Sprache und einen Rahmen, den Red Teams nutzen können, um spezifische Bedrohungen zu emulieren und ihre Operationen zu planen.

Emulation von Angriffen und Red Teaming

Bewertung und Technik

ATT&CK kann verwendet werden, um die Fähigkeiten Ihres Unternehmens zu bewerten und technische Entscheidungen zu treffen, z. B. welche Tools oder Protokollierung Sie implementieren sollten.

Sollten Sie Unterstützung bei der Anwendung des Rahmenwerks für Ihr Unternehmen, insbesondere dem Aufbau der Use Cases, Emulation der Angriffe und Ableitung von Maßnahmen zur Verbesserung des Cyber-Schutzniveaus, nehmen Sie gern Kontakt mit uns auf.

Link zur Website: MITRE ATT&CK®

Gesetze und Verordnungen: DORA – Digital Operational Resilience Act

Die Europäische Kommission hat im September 2020 einen Vorschlag für eine Verordnung über die digitale operationelle Widerstandsfähigkeit des Finanzsektors vorgelegt, der gemeinhin als Digital Operational Resilience Act (DORA) bezeichnet wird.

Das Gesetz über die digitale operationelle Widerstandsfähigkeit (Digital Operational Resilience Act, DORA) fördert ein gemeinsames Paket von Regeln und Standards, um die Risiken der Informations- und Kommunikationstechnologie (IKT) für Finanzunternehmen zu mindern. Eines der Ziele von DORA ist es, eine zunehmende Fragmentierung der für das IKT-Risikomanagement geltenden Vorschriften zu verhindern.

Darüber hinaus ist die Europäische Kommission der Ansicht, dass die Finanzunternehmen, die in den Anwendungsbereich von DORA fallen, nicht alle gleichermaßen IKT-Risiken ausgesetzt sind. Vielmehr können verschiedene Faktoren wie die Größe eines Unternehmens, seine Funktionen oder sein Geschäftsprofil seine Gefährdung durch IKT-Risiken beeinflussen.

Über DORA – Digital Operational Resilience Act

Der Digital Operational Resilience Act wird in der gesamten Europäischen Union (EU) direkt gelten, ohne dass nationale Umsetzungsgesetze erforderlich sind. Damit wird zum ersten Mal eine einheitliche Anwendung von Grundsätzen und Regeln für das IKT-Risikomanagement im Finanzsektor erreicht.

Die Verordnung wird voraussichtlich Ende 2024 in Kraft treten, vorbehaltlich der Annahme von Stufe-2-Maßnahmen. Das Stufe-2-Mandat ist im Zusammenhang mit DORA wichtig, da bestimmte kritische Elemente abgedeckt werden sollen (z. B. RTS zu IKT-Vorfällen und zur Klassifizierung von Cyber-Bedrohungen, RTS zur Meldung größerer IKT- und Cyber-Vorfälle an die Behörden, RTS zu wichtigen Vertragsbestimmungen).

Die fünf Säulen von DORA

1. DORA und IKT-Risikomanagement

Die Finanzunternehmen müssen über interne Verwaltungs- und Kontrollrahmen verfügen, die ein wirksames und umsichtiges Management aller IKT-Risiken[1] gewährleisten, um ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu erreichen.

Die Finanzunternehmen müssen darauf vorbereitet sein, Risiken zu managen, die insbesondere von der Entscheidung über die Erbringung von Dienstleistungen bis hin zur Mitteilung eines potenziellen größeren IKT-bezogenen Vorfalls reichen. Die Einhaltung aller IKT-Risikomanagementverpflichtungen wird jedoch vom Profil des Unternehmens abhängen. DORA ermöglicht es kleinen und nicht miteinander vernetzten Akteuren, einen vereinfachten IKT-Risikomanagement-Rahmen einzuhalten.

2. Prävention von IKT-Risiken im Rahmen von DORA

Als Teil ihres Rahmens für die Steuerung und Kontrolle von IKT-Risiken müssen die Finanzunternehmen aktualisierte Systeme, Protokolle und Instrumente verwenden und pflegen. Außerdem müssen sie alle IKT-bezogenen Geschäftsfunktionen, Risiken, Systemkonten sowie alle Prozesse, die von IKT-Drittanbietern abhängig sind, identifizieren, klassifizieren und angemessen dokumentieren.

Die Umsetzung von Sicherheitsstrategien, -richtlinien und -protokollen mit dem Ziel, die Widerstandsfähigkeit und Kontinuität von IKT-Systemen zu gewährleisten, ist ebenfalls von zentraler Bedeutung für den Schutz und die Prävention von IKT-Risiken. Die DORA verlangt daher von den Finanzunternehmen, dass sie geeignete Sicherheitsstrategien und -maßnahmen entwickeln, beschaffen und umsetzen und in der Lage sind, anomale Aktivitäten zu erkennen.

3. Kontinuität und effiziente Wiederherstellung unter DORA

Das Digital Operational Resilience Act enthält die Verpflichtung, eine spezielle und umfassende IKT-Business-Continuity-Strategie einzuführen, die ein integraler Bestandteil der operativen Business-Continuity-Strategie der Finanzunternehmen ist. Eine solche Politik sollte insbesondere darauf abzielen, Schäden durch Zwischenfälle zu begrenzen und die Kontinuität der kritischen oder wichtigen Funktionen des Finanzunternehmens sicherzustellen.

Um eine effiziente Wiederherstellung der IKT-Systeme und eine Begrenzung der Auswirkungen von Störungen zu gewährleisten, müssen die Finanzunternehmen auch Backup-Strategien und Wiederherstellungsmethoden entwickeln.

Im Falle erheblicher IKT-Störungen müssen die Finanzunternehmen Vorfallprüfungen durchführen, um die Ursachen zu analysieren und Verbesserungen zu ermitteln.

4. Meldung von IKT-bezogenen Vorfällen gemäß DORA

Als Teil ihres Prozesses zum Management von IKT-bezogenen Vorfällen müssen Finanzunternehmen einen Managementprozess zur Erkennung, Verwaltung und Meldung von IKT-bezogenen Vorfällen definieren, einrichten und umsetzen.

IKT-bezogene Vorfälle werden klassifiziert, und die Finanzinstitute müssen die Auswirkungen eines jeden Vorfalls bestimmen. Zu diesem Zweck müssen die Finanzinstitute Folgendes berücksichtigen

  • Die Anzahl der von einem Vorfall betroffenen Nutzer/Finanzkontrahenten
    • Die Dauer des Vorfalls
    • Die geografische Ausbreitung
    • die Datenverluste, die der Vorfall mit sich bringt
    • die Kritikalität der betroffenen Dienste
    • die wirtschaftlichen Auswirkungen

Größere IKT-bezogene Vorfälle müssen der zuständigen Behörde unter Verwendung standardisierter Meldeformulare zeitnah gemeldet werden.

5. Prüfung der digitalen operativen Belastbarkeit

Als Teil des Rahmens für das IKT-Risikomanagement müssen die Finanzinstitute ein solides und umfassendes Testprogramm für die digitale operationelle Belastbarkeit einrichten, aufrechterhalten und regelmäßig überprüfen. Ziel ist es, Schwachstellen, Mängel oder Lücken in ihrer digitalen operativen Belastbarkeit zu bewerten und zu ermitteln und in der Lage zu sein, umgehend Korrekturmaßnahmen zu ergreifen.

Die IKT-Systeme und -Werkzeuge werden regelmäßigen Tests und erweiterten Tests unterzogen, die von unabhängigen Parteien (intern oder extern) durchgeführt werden. Die Häufigkeit dieser Tests kann je nach Risikoprofil und Umständen des betreffenden Finanzinstituts variieren.

Management von IKT-Drittrisiken

Das Management von IKT-Drittrisiken ist ein integraler Bestandteil des IKT-Risikomanagementrahmens.

DORA definiert eine Reihe von Schlüsselprinzipien für Finanzunternehmen, um ein solides Management von IKT-Drittrisiken zu erreichen und eine solide Vertragsbeziehung mit IKT-Drittdienstleistern einzugehen.

Das Digital Operational Resilience Act enthält Elemente, die sich auf die Auswahl von IKT-Drittdienstleistern (mit vorheriger Due Diligence), wichtige Vertragsbestimmungen, die in Vereinbarungen mit IKT-Drittdienstleistern enthalten sein müssen (einschließlich Kündigungsereignisse und Ausstiegsstrategien), sowie laufende Kontrollen und die Aufsicht über kritische IKT-Drittdienstleister beziehen.

Informationsaustausch im Rahmen von DORA

DORA fördert Vereinbarungen zum Informationsaustausch zwischen Finanzunternehmen, um die digitale operative Widerstandsfähigkeit zu verbessern, insbesondere durch die Sensibilisierung für Informationen und Erkenntnisse über Cyber-Bedrohungen, einschließlich Indikatoren für eine Kompromittierung, Taktiken und Cybersicherheitswarnungen.

Vereinbarungen über den Informationsaustausch müssen zwischen vertrauenswürdigen Gemeinschaften von Finanzunternehmen geschlossen werden und die Sensibilität der ausgetauschten Informationen schützen, wobei die geltenden Vertraulichkeitsregeln und die Grundsätze des Schutzes personenbezogener Daten einzuhalten sind.

Auswirkungen von DORA auf die Branche

DORA ist ein integraler Bestandteil des digitalen Finanzpakets. Die Finanzunternehmen müssen die Bestimmungen und Anforderungen der DORA innerhalb von 24 Monaten nach Inkrafttreten der Verordnung erfüllen. Das Management von Cybersicherheitsrisiken wird sich mit der harmonisierten und allgemeinen Anwendung der DORA-Anforderungen und des Verhaltenskodexes zweifelsohne verbessern und an Reife gewinnen.  

Um alle in der Verordnung festgelegten Anforderungen zu erfüllen, müssen die Finanzunternehmen ihre bestehenden Verfahren, Instrumente und Standardpraktiken in Bezug auf das IKT-Risikomanagement und die Einbeziehung von IKT-Drittdienstleistern umfassend bewerten.

Welche Firmen sind von DORA betroffen?

Zu den Firmen, die in den Geltungsbereich von DORA fallen, gehören:

  • Kreditinstitute, Zahlungsinstitute, E-Geld-Institute,
  • Wertpapierfirmen und Wertpapierverwahrer
  • Anbieter von Krypto-Asset-Dienstleistungen
  • Handelsplattformen
  • Verwalter von alternativen Investmentfonds und Verwaltungsgesellschaften
  • Anbieter von Datenübermittlungsdiensten
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungs-, Rückversicherungs- und Versicherungsnebenkostenvermittler
  • Einrichtungen der betrieblichen Altersversorgung
  • Rating-Agenturen
  • Abschlussprüfer und Prüfungsgesellschaften
  • Verwalter kritischer Benchmarks
  • Anbieter von Crowdfunding-Dienstleistungen

Standpunkt der Wertpapierdienste

DORA ist ein wichtiger Baustein in der Entwicklung der Finanzmärkte hin zur Digitalisierung. Die europäischen Finanzmärkte für das digitale Zeitalter fit zu machen, bedeutet, dass angemessene Schutzvorkehrungen getroffen werden sollten, um einen soliden Markt zu fördern und allen Teilnehmern, die an der digitalen Revolution teilhaben wollen, Sicherheit und Vertrauen zu geben.

Daher werden die in der DORA enthaltenen Regeln wahrscheinlich ein Gleichgewicht zwischen der ständig zunehmenden Gefährdung durch IKT-Risiken und Cyber-Bedrohungen schaffen, die sich aus der wachsenden Abhängigkeit von der Technologie ergeben.  

Sollten Sie Unterstützung bei der Bewertung und Stärkung der Cybersecurity Resilienz Ihres Unternehmens, insbesondere der Umsetzung der neuen Anforderungen des DORA – Digital Operational Resilience Act benötigen, nehmen Sie gern Kontakt mit uns auf.