Die neue Bankenrichtlinie DORA muss zum 17.1.2025 umgesetzt sein. Betroffen sind alle Finanzdienstleister in der EU, aber auch deren kritische Informations- und Kommunikations- (IKT) Drittdienstleister.
Wir geben auszugweise eine kurze Übersicht zu den wesentlichen Aspekten für die Informationssicherheit.
Einige regulatorische Anforderungen und Auslegungsrichtlinien befinden sich zwar noch in der Entwicklung und die "Konsultationen" laufen. Der Gesamtrahmen steht jedoch.
Die Anforderungen von DORA sind EU-weit gültig und in der Verordnung in folgenden Kapiteln zu finden:
IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)
Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)Zusammenfassend hier einige Informationen:
Konkretisierungen der BaFin und weiterer Stellen laufen noch, sind aber in den letzten Zügen, hier gilt es dann in Q4 auf dem Laufenden zu sein, um sich anzupassen.
Spezifikationen
Aber wer ist nun ein ein "IKT-Drittdienstleister" (kurz IKT-D)?
Kurz sagt DORA dazu, dass dies ein Unternehmen ist, das IKT-Dienstleistungen anbietet (Art. 3 Nr. 19 DORA). Es könnten also viele Unternehmen darunter fallen!
Gem. Art 3 Nr. 21 DORA handelt es sich dabei um „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“
Weiter spezifiziert werden die Anforderungen an einen "kritischen IKT-Drittanbieter" hinsichtlich der Inhalte:
Sie sollten systemischen Charakter und systemische Auswirkungen auf die Stabilität des Kunden haben, sich auf das Vertrauen des Finanzinstituts auswirken, sie sind nicht leicht zu ersetzen und die relevanten Daten können nicht ohne weiteres zu alternativen Anbietern migriert werden.
Das werden nun nicht alle IKT-Leistungen erfüllen, daher sollte man das prüfen.
Für das Finanzunternehmen gilt, daß es ein "Informationsregister" nach den Vorgaben der BaFin führen muss. Darin sollen alle vertraglichen Vereinbarungen über die Nutzung von Dienstleistungen der Informations- und Kommunikationstechnologie (IKT) zwischen dem Finanzunternehmen und IKT-Drittdienstleistern enthalten sein.
Überwachung
Wichtig ist, daß die IKT-D nicht von der Bafin reguliert werden können, da sie ja auch keine Zulassung beantragen müssen! Es gibt also keine "direkte" Aufsicht über kritische IKT Drittdienstleister (vgl. Erwägungsgrund 76 DORA). Die Aufsicht überwacht kritische IKT-Drittdienstleister aber mit Blick auf den gesamten Finanzmarkt.
Der Überwachungsumfang der Aufsicht bezieht sich konkret (vgl. Art. 33 Abs. 3 DORA) auf diese 9 Bereiche (wird ggf. je nach Kritikalität ausgedehnt):
IKT-Anforderungen, um insbesondere die Sicherheit, Verfügbarkeit, Kontinuität, Skalierbarkeit und Qualität der Dienste zu gewährleisten
Physische Sicherheit
Risikomanagementprozesse einschließlich IKT-Risikomanagement- richtlinien und IKT-Reaktions- und Wiederherstellungspläne
Governance-Regelungen
Ermittlung, Überwachung und unverzügliche Meldung wesentlicher IKT-bezogener Vorfälle an Finanzunternehmen, Management und Behebung dieser Vorfälle, insbesondere Cyberangriffe
Die Mechanismen für die Datenübertragbarkeit, die Übertragbarkeit von Anwendungen und die Interoperabilität, die eine wirksame Ausübung der Kündigungsrechte durch die Finanzunternehmen gewährleisten
Das Testen von IKT-Systemen, -Infrastrukturen und -Kontrollen
IKT-Audits
Die Anwendung einschlägiger nationaler und internationaler Standards, die für die Erbringung seiner IKT-Dienste für die Finanzunternehmen gelten
Bewertung
Grundsätzlich beziehen sich die meisten Anforderungen auf bekannte Themen, die z. B. aus dem gängigen Standard ISO/IEC 27001 abgeleitet werden können. Die meisten Anforderungen werden mit einem gut umgesetzten aktuellen ISMS gem. Version 2022 also realisiert. Achtung: ISO/IEC 27002 sollte zur Konkretisierung auch herangezogen werden!
Zusätzliche Probleme wie TLPT, Vertragsthemen etc. können ebenfalls in diesem Rahmen behandelt werden.
Umsetzung
Jeder IKT-D sollte nun selbst für sich prüfen, ob er "kritisch" ist sein könnte und sich vorbereiten, denn die Kunden werden dazu Fragen stellen und vom Dienstleister verlangen, alle relevanten Informationen gemäß DORA abzugeben oder sogar verlangen, sich DORA-compliant aufzustellen!
Wir empfehlen daher jedem IKT-D im Bereich der Finanzdienstleiter - ob kritisch oder nicht - eine Gap-Analyse, um die aktuelle Situation mit den DORA-Anforderungen zu vergleichen, und einen Maßnahmenplan aufzusetzen. Und für IKT-D ist das eine gute Gelegenheit, ein ISMS einzuführen! Denn in einem ISMS sind alle Zusammenhänge transparent zusammengeführt, das ist eine gute Basis für die Umsetzung und weitere Pflege.
Eine Möglichkeit ist es, das ISMS als Teil eines integrierten Managementsystems (IMS) zu führen, damit kommt auch EnterpriseOS als Option in Frage!
Verträge und SLA
Auch die Verträge der IKT-D und die dazugehörigen SLA sind zu prüfen. Denn die Auftraggeber müssen sichten, ob die unmittelbaren Dienstleister oder die kaskadierenden Sub-Dienstleister auch die DORA-Anforderungen unterstützen. Hier eine Übersicht dazu:
Business Case
IKT-D mit kritischem Charakter bleibt keine Wahl, sie müssen sich gemäß DORA aufstellen, aber warum sollte ein IKT-D nun handeln, wenn er selbst nicht "kritisch" ist?
Hier kommt Einkaufspolitik ins Spiel: Im Rahmen der Lieferantenpolitik steht zu erwarten, daß ALLE Leistungen, die bei Finanzdienstleistern im Informationsregister landen, hinsichtlich DORA hinterfragt werden. Und den IKT-D-Kunden wird es bei der Anzahl der Lieferanten schwer fallen, zu differenzieren. Am besten, alle sind DORA-compliant, das ist am einfachsten zu steuern. Neue Lieferanten kommen nur noch mit DORA hinzu, Lieferanten ohne DORA werden schrittweise ausgelistet. Dafür sollte man vorbereitet sein.
Höchstwahrscheinlich wird der Markt daher in Zukunft von allen IKT-D die Einhaltung von DORA voraussetzen, um überhaupt eine Geschäftsgrundlage zu haben.
Am Ende ist das eine Frage des Business!
Denn es ist mit Aufwand verbunden, die Verträge anzupassen und ggf. mit allen Sub-Dienstleistern wiederum passende Verträge zu schliessen. Daher werden vermutlich Organisationen prüfen, ob sie sich den DORA - Anforderungen unterwerfen oder lieber auf die Verträge verzichten. Und die Finanzunternehmen müssen sich dann ggf. auf einen Wechsel bei Lieferanten einstellen.
Hier wird viel Aufwand entstehen in den Einkaufsorganisationen der Finanzunternehmen und im Kundenmanagement der IKT-D, um die ganzen Kunden und Lieferanten zu managen und alle zu DORA zu "bewegen". Haben Sie genug Kapazitäten dafür vorgehalten?
Unser Angebot: Die Opexa kann die Gap-Analyse vornehmen und die Umsetzung der Maßnahmen für DORA begleiten.
Rechtlicher Hinweis
Die hier abgegebenen Aussagen und Empfehlungen beruhen ausschliesslich auf den aktuell verfügbaren Informationen und stellen keine abschliessende rechtliche oder regulatorische Information dar. Wir übernehmen keine Haftung für Entscheidungen oder Maßnahmen, die auf der Grundlage dieser bereitgestellten Informationen getroffen werden.