Das neue IKT-Risikomanagement nach dem „Digital Operations Resilience Act“ (DORA) Verordnung (EU) 2022/2554

Neben der neuen NIS-2-Richtlinie, welche wir an anderer Stelle bereits behandelt haben [Wie setzen Unternehmen die NIS-2-Vorgaben zur Cybersicherheit um? (clarius.legal), oder: NIS-2-Richtlinie Umsetzung und aktueller Stand in Deutschland (clarius.legal)], hat der europäische Gesetzgeber mit dem DORA weitere Compliance-Anforderungen in Bezug auf Cybersicherheit in besonderen Unternehmen aufgestellt. Die Verordnung entfaltet ab dem 17.01.2025 unmittelbare Geltungswirkung. Während die NIS-2-Richtlinie im persönlichen Anwendungsbereich auf insb. Infrastruktur- und wichtige Einrichtungen im Allgemeinen abzielt, handelt es sich bei dem DORA um spezialgesetzliche Regelungen für den Finanzsektor und damit zusammenhängende Dienstleister. „IKT“ steht dabei für „Informations- und Telekommunikationstechnologien.“

Für welche Unternehmen gilt der DORA?

Trotz des spezialgesetzlichen Verhältnisses zur NIS-2-Richtlinie ist das Verständnis vom Finanzsektor im DORA ein denkbar weites. Die Verordnung gilt im Ausgangspunkt umfassend für „Finanzunternehmen“. Diese umfassen nach Art. 2 Abs. 1, Abs. 2 DORA insbesondere:

Kreditinstitute
Wertpapierfirmen
Zahlungsinstitute
Versicherer und Rückversicherer
Versicherungs- und Rückversicherungsvermittler
Einrichtungen der betrieblichen Altersvorsorge

Neben den Finanzunternehmen werden ferner gem. Art. 2 Abs. 1 k DORA sog. IKT-Drittdienstleister erfasst. Dies sind solche Unternehmen, die dauerhaft digitale Dienstleistungen in Bezug auf Hard- oder Software leisten (Art. 3 Nr. 21). Einschränkungen bestehen dabei für kleine und mittlere Unternehmen i.S.d. Art. 3 Nr. 63, 64.

Welche Anforderungen bestehen an ein IKT-Risikomanagement?

Grundsätzlich hat jedes Finanzunternehmen einen internen Governance- und Kontrollrahmen zu implementieren (Art. 5 Abs. 1 DORA), welcher ein „hohes Niveau an digitaler operativer Resilienz“ bietet. Letztverantwortlich sind dabei nach Art. 5 Abs. 2 a DORA die Leitungsorgane des Unternehmens und somit Vorstände oder die Geschäftsführung. Deren Aufgaben umfassen im Ausgangspunkt nach Art. 5 DORA:

Leitlinien, die auf hohe Standards in Bezug auf Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit abzielen
Verteilung klarer Aufgaben und Verantwortlichkeiten für IKT-bezogene Funktionen zur wirksamen und rechtzeitigen Kommunikation, Zusammenarbeit und Koordinierung
Genehmigung, Überwachung und Überprüfung von IKT-Geschäftsfortführungsleitlinien und IKT-Reaktions- und Wiederherstellungsplänen (Art. 11 DORA)
Genehmigung und Überprüfung von IKT-Revisionsplänen
Entsprechende Zuweisung von Budgetmitteln
Überprüfung und Genehmigung von Leitlinien in Bezug auf die Vereinbarungen über die Nutzung von IKT-Dienstleistungen, welche von Dritten bereitgestellt werden.

Ausgehend hiervon ist nach Art. 6 DORA ein umfassender und dokumentierter IKT-Risikomanagementrahmen zu entwickeln. Dieser umfasst alle Leitlinien, Verfahren u.ä., die erforderlich sind, um für alle Informations- und IKT-Assets (insb. Hardware, Server, Software, Räumlichkeiten) einen angemessenen Schutz vor Risiken, einschließlich der Beschädigung und des unbefugten Zugriffs oder der unbefugten Nutzung, zu gewährleisten (Art. 6 Abs. 2). Die so geschaffenen Systeme und Protokolle müssen stets dem aktuellen Stand und möglichen Bedrohungslagen angepasst werden (Art. 7). Ferner sind Mechanismen zur Erkennung von Unregelmäßigkeiten, IKT-Vorfällen und potenzieller Schwachstellen zu implementieren (Art. 10). Zudem sind Geschäftsfortführungsleitlinien zu implementieren und zu dokumentieren, die für alle IKT-bezogenen Vorfälle angemessene und wirksame Mechanismen vorsehen, u.a. kritische Funktionen sicherzustellen sowie Schäden einzuschätzen und zu begrenzen (Art. 11). Daneben ist auch ein Verfahren zur anschließenden Aufarbeitung und Kommunikation mit Kunden und Öffentlichkeit vorzuhalten.

Es handelt sich hier nur um einen holzschnittartigen Überblick. Die Verordnung enthält weitere und insbesondere deutlich tiefer gehende Regelungen, welche hier nicht im Detail abgebildet werden können.

Inwieweit ist die eigene Resilienz zu überprüfen?

Als weiterer präventiver Ansatz schreibt Kapitel IV DORA durchzuführende Tests der digitalen und operativen Resilienz unmittelbar gesetzlich vor:

Tests müssen durch eine unabhängige Partei (nicht zwingend extern) durchgeführt werden.
Der Prüfungsumfang richtet sich nach Größe, Gesamtrisikoprofil, Kritikalität und technisch-spezifischen IKT-Risiken.
Für große Finanzunternehmen (i.S.d. Art. 26 Abs. 1) werden zudem turnusmäßige Penetrationstests festgeschrieben.

Risikomanagement betreffend Drittanbieter?

Die Auslagerung von Prozessen auf IKT-Dienstleister entbindet nicht von der Verantwortung. Kapitel V DORA formuliert umfangreiche Regelungen betreffend das Management des Drittrisikos. Dabei ist das IKT-Drittparteienrisiko in das oben geschilderte Risikomanagement als „integraler Bestandteil“ miteinzubeziehen (Art. 28 Abs. 1). Insoweit ist eine Strategie für das Management des Drittrisikos durch Überprüfung nebst Leitlinien zur Nutzung von Drittanbietern zu entwickeln.

Handeln bei akuten Vorfällen und Drittdienstleistermanagement?

Neben den oben geschilderten präventiven Ansätzen regeln die Art. 17 ff. DORA das Management von konkreten Vorfällen sowie korrespondierende Meldepflichten. Wie diesbezüglich zu verfahren ist, bleibt einem weiteren Beitrag vorbehalten.

Fazit:

Die Verordnung (EU) 2022/2554 sieht ein enges Geflecht von präventiver Vorkehrung im eigenen Unternehmen, die Kontrollen dritter IKT-Dienstleister und Pflichten für den „Ernstfall“ vor. Diese sprengen im Einzelnen den hier darstellbaren Umfang deutlich. Die Compliance Ihres Unternehmens kann nur durch umfassende Prüfung und Beratung im individuellen Fall erfolgen. Gerne unterstützen wir Sie bei der Umsetzung von DORA und mit unseren weiteren flexiblen Produkten aus den Bereichen Compliance, Datenschutz und IT-Sicherheitsrecht.