Der Digital Operational Resilience Act (DORA) ist eine bedeutende regulatorische Entwicklung, die darauf abzielt, die Betriebsstabilität digitaler Systeme des Finanzsektors in der Europäischen Union (EU) zu verbessern. Mit DORA soll den wachsenden Cyberrisiken begegnet werden. Diese Regelungen sind am 16.1.2023 in Kraft getreten. Mit dem Digital Operational Resilience Act (DORA) will die EU den Finanzsektor widerstandsfähiger gegen IT-Störungen und Cyberangriffe machen.
Es scheint beabsichtigt, dass DORA europäische und nationale Vorschriften harmonisieren sowie potenziell obsolet machen soll. Hier setzt DORA an und ermöglicht grenzüberschreitend tätigen Finanzunternehmen, durch vergleichbare Vorschriften und die EU-weite Anerkennung von Prüfungen das internationale Geschäft zu erleichtern.
Als wichtigste Anforderungen gelten:
- DORA wird bestehende Anforderungen an Risikomanagement moderner Technologien EU-weit harmonisieren.
- IKT-Drittanbieter werden zukünftig in gleicher Art geprüft wie bisherige Aufsichtsobjekte, Banken und Versicherungen.
- Hyperscaler werden zentral durch ESA und die nationale Aufsicht geprüft und zahlen für Aufsichtstätigkeit.
- DORA wird mehr MINT-Expertise in den Leitungs- und damit auch Aufsichtsgremien einfordern.
- Zertifizierungsfähige Informationssicherheitsmanagementsysteme (ISMS) werden europäische Best Practice im Finanzsektor.
- Zukünftig werden sich Verwaltungsaufwände durch neue Berichtspflichten und Genehmigungsverfahren erhöhen.
- Als kritisch deklarierte Finanzunternehmen werden turnusmässig ihre digitale Betriebsstabilität durch bedrohungsorientierte Penetrationstests gemäss TIBER EU beweisen.
- Hybride IT-Prüfung wird sich als Standard für manuell-automatisierbare Prüfungshandlungen etablieren.
- Meldung von Vorfällen: Versicherungen sind verpflichtet, wesentliche IKT-bezogene Vorfälle unverzüglich an die zuständigen Behörden zu melden, um eine koordinierte Reaktion und eine Analyse potenzieller Systemrisiken zu ermöglichen.
Mit DORA wird ein EU-Rechtsrahmen „über die Betriebsstabilität digitaler Systeme des Finanzsektors“ erschaffen. Grundsätzlich fasst DORA bestehende Regelungen zu Sicherheitsmassnahmen, Meldewesen und Überprüfung von Auslagerungen zusammen, erweitert und vertieft diese jedoch an selektierten Stellen. IKT-Drittanbieter werden inkludiert, womit der so genannten entscheidenden Aufsichtsinstanz durch Möglichkeiten des Einspruches wie bspw. Zwangsgeldern die nötigen Mittel zu Durchsetzung von Standards in der Finanzmarktstabilität gegeben werden. Als umfassendes Regelwerk für die Informationssicherheit wird DORA in den drei Dimensionen Organisation, Regulatorik und IT in Finanzunternehmen eine vergleichbar grosse Wirkung entfalten wie die DSGVO beim Schutz persönlicher Daten seit ihrer Geltung im Jahr 2018. Während die DSGVO für die gesamte Wirtschaft und Verwaltung gilt, aber nur den Schutz personenbezogener Daten adressiert, wird DORA für alle Finanzunternehmen und IKT-Drittanbieter gelten – hierunter fallen u. a. auch Verwaltungsentitäten, allerdings hat DORA den Schutz aller Informationen zum Ziel, personenbezogene Daten eingeschlossen.
Neben der DORA-Verordnung und der damit verbundenen Richtlinie gehören zum DORA-Rahmenwerk auf EU-Ebene die Delegierten Rechtsakte sowie die von den zuständigen EU-Aufsichtsbehörden zu erstellenden Leitlinien, technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS). Diese gelten in jedem Mitgliedsland des europäischen Wirtschaftsraums, jedoch legen eine Vielzahl von Ländern, so auch Deutschland, diese Vorgaben national aus.
DORA subsummiert Anforderungen an die Sicherheit im Finanzsektor, weitet den Kreis der Aufsichtsobjekte aus und stellt in einzelnen Sicherheitsbereichen neue und höhere Anforderungen auf.
Inhalt von DORA
Während die drei Kapitel „Anforderungen an IKT-Risikomanagement“, „Meldung von IKT-Vorfällen“ sowie „Prüfung der digitalen Betriebsstabilität“ Finanzunternehmen adressieren, reguliert der Artikelblock „Prüfung des Risikos durch IKT-Drittanbieter“ auch die Technologieanbieter. Dienstleister wie adesso müssen sich insbesondere mit erweiterten vertraglichen Anforderungen auseinandersetzen, die DORA für vertragliche Auslagerungsvereinbarungen zwischen Versicherungen und IKT-Drittdienstleistern vorgibt.
Daneben sind IKT-Drittdienstleister künftig auch bei der Durchführung von bedrohungsorientierten Penetrationstests einzubeziehen.
DORA: Aktueller Rechtsetzungsstand und Zeitplan
Die folgende Abbildung gibt einen Überblick zum zeitlichen Verlauf der Entwicklung der DORA-Verordnung bis zu deren Anwendung ab dem 17.1.2025.
DORA: Umsetzung für Versicherungsunternehmen und IKT-Drittdienstleister
DORA beinhaltet viele Vorgaben, die weitgehend kongruent mit Vorschriften aus bereits bekannten Regularien – wie z. B. MaRisk/BAIT, MaGo/VAIT, KAMaRisk/KAIT, ZAIT, EBA-Guidelines on Outsourcing Arrangements und EBA-Guidelines on ICT and Security Risk Management – sind. Allerdings enthält DORA auch einige Abweichungen bzw. Detaillierungen und Ergänzungen gegenüber diesen Regularien. Die erweiterten Anforderungen führen insgesamt zu einem umfangreichen Umsetzungsaufwand in der Finanzindustrie.
Das individuelle Ausmass ist dabei abhängig von der Grösse und den Risiken aus dem Geschäftsmodell sowie dem Reifegrad der digitalen operationalen Resilienz des jeweiligen Versicherungsunternehmens.
Versicherungsunternehmen sollten daher die verbleibende Zeit bis zur Anwendung der DORA-Verordnung nutzen und sich schon frühzeitig mit der Umsetzung der DORA-Anforderungen und ihrer aktuell bestehenden eigenen digitalen operationellen Widerstandsfähigkeit im Sinne einer GAP-Analyse beschäftigen.
Daneben wird eine Orientierung an den aktuellen VAIT-Anforderungen empfohlen. Zusätzliche Orientierungshilfen geben die Ergebnisse der aktuellen VAIT-Prüfungspraxis sowie die Verfolgung der aktuellen Initiativen von EBA/EZB. Dringend angeraten wird in diesem Zusammenhang eine unmittelbare und wirksame Verankerung und Umsetzung der VAIT im Unternehmen.
Hinsichtlich der geforderten Penetrationstests werden die gängigen Praktiken von Notfallübungen zur Geschäftskontinuitätsplanung empfohlen. In diesem Zusammenhang wird auch eine Überprüfung von Datenschutz und Datensicherheit notwendig.
Es muss auch darauf hingewiesen werden, dass gemäss Erwägungsgrund 16 die DORA- Verordnung eine Lex specialis zur Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) verkörpert, weil mit DORA auch die Harmonisierung in der EU in Bezug auf die verschiedenen Komponenten der digitalen Resilienz erhöht wird, indem Anforderungen an das IKT-Risikomanagement und die Meldung von IKT-Vorfällen eingeführt werden, die strenger sind als diejenigen Regelungen, die bislang im Finanzdienstleistungsrecht galten.
Fazit:
DORA ist in allen EU-Mitgliedsstaaten ab Januar 2025 verbindlich anzuwenden. Versicherungsunternehmen sollten sich proaktiv auf die Einführung von DORA vorbereiten:
- Gap-Analyse durchführen: Bewertung der aktuellen Situation in Bezug auf Governance, Risikomanagement und Einhaltung der bestehenden Richtlinien und Standards.
- Roadmap erstellen: Ermitteln der Prioritäten und Aufwände, die erforderlich sind, um die DORA-Anforderungen zu erfüllen.
- Governance und Praxis-Ausrichtung: Sicherstellung, dass die Führungs- und Betriebspraktiken mit den in DORA dargelegten Säulen der Resilienz übereinstimmen.
- Regulatorik überwachen: Aktualisierung von neuen technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS), die von den Aufsichtsbehörden während des Umsetzungszeitraums festgelegt werden könnten.
Lassen Sie uns darüber sprechen, wie moderne Versicherungssoftware dabei hilft, die innovative Versicherung Wirklichkeit werden zu lassen und der Regulatorik zu entsprechen. Unser Experte Karsten Schmitt, Head of Business Development, freut sich auf Ihre Nachricht.
