Die DORA-Verordnung (Digital Operational Resilience Act) stellt umfassende Anforderungen an die digitale operative Resilienz von Finanzinstituten. Sie zielt darauf ab, die Widerstandsfähigkeit des europäischen Finanzsystems gegenüber IKT-bezogenen Störungen zu erhöhen. Dieser Abschnitt erläutert die zentralen Aspekte von DORA, die für ecrop als Finanzdienstleistungsinstitut und deren Kunden relevant sind, und beschreibt die Implementierung und Einhaltung der DORA-Vorgaben bei ecrop. Der Fokus liegt auf den Bereichen IKT-Risikomanagement, Incident Management, Testverfahren und Meldepflichten. DORA tritt am 17. Januar 2025 in Kraft und wird erhebliche Auswirkungen auf die Prozesse und Systeme von Finanzinstituten haben.

DORA - Ein Überblick und Kontext:

DORA zielt darauf ab, die Widerstandsfähigkeit des europäischen Finanzsystems gegenüber IKT-bezogenen Störungen zu erhöhen. Die Verordnung adressiert die zunehmende Abhängigkeit von IKT-Systemen und -Dienstleistern und die damit verbundenen Risiken, wie z. B. Cyberangriffe, Systemausfälle oder Datenverlust. DORA soll sicherstellen, dass Finanzinstitute über robuste IKT-Systeme und -Prozesse verfügen, um diese Risiken zu minimieren und die Geschäftskontinuität im Falle einer Störung zu gewährleisten.

  • Ziel und Zweck von DORA: DORA verfolgt das übergeordnete Ziel, die operative Resilienz im Finanzsektor zu stärken und die Stabilität des Finanzsystems im digitalen Zeitalter zu gewährleisten. Sie soll Finanzinstitute besser auf Cyberangriffe, Systemausfälle, Datenverlust und andere IKT-bezogene Störungen vorbereiten und die Auswirkungen solcher Vorfälle minimieren. Der Schutz kritischer Infrastrukturen, die Gewährleistung der Finanzmarktintegrität und die Stärkung des Vertrauens in das Finanzsystem sind zentrale Anliegen von DORA. DORA soll dazu beitragen, dass Finanzinstitute über robuste IKT-Systeme, -Prozesse und -Kontrollen verfügen, um diese Risiken zu minimieren und die Geschäftskontinuität im Falle einer Störung zu gewährleisten.

  • Geltungsbereich: DORA gilt für eine breite Palette von Finanzunternehmen, darunter Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Versicherungen, Kapitalverwaltungsgesellschaften und kritische IKT-Drittanbieter. ecrop, als Kryptowertpapierregisterführer gemäß § 1 Abs. 1a Satz 2 Nr. 8 KWG und als Kryptoverwahrer gemäß § 1 Abs. 1a Satz 2 Nr. 6 KWG (Finanzdienstleistungsinstitute), fällt unter den Geltungsbereich von DORA. Auch die Kunden von ecrop (Emittenten), die die White-Label-Plattform für Crowdinvesting nutzen, sind indirekt von DORA betroffen, da sie die Anforderungen an die operative Resilienz in ihren Verträgen mit ecrop berücksichtigen müssen. Dies gilt insbesondere für die Bereiche IKT-Risikomanagement, Incident Management, Testverfahren und Meldepflichten.

  • Verhältnis zu bestehenden Regulierungen (BAIT, VAIT, KAIT, NIS2): DORA löst die bestehenden sektorspezifischen IT-Sicherheitsrichtlinien BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT) ab und setzt einen einheitlichen, sektorspezifischen Rahmen für die IT-Sicherheit im Finanzsektor. Sie ergänzt die NIS2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union), die sich an Betreiber kritischer Infrastrukturen richtet. DORA konsolidiert und erweitert die IKT-Risikoanforderungen und stellt höhere Anforderungen an die operative Resilienz von Finanzinstituten. Die Verordnung trägt damit den Besonderheiten des Finanzsektors Rechnung und schafft einen einheitlichen Rechtsrahmen für die IT-Sicherheit.

    Link zur NIS2-Richtlinie

  • Zeitplan und Umsetzung: DORA wird am 17. Januar 2025 in Kraft treten. Die Europäischen Aufsichtsbehörden (ESAs – EBA, ESMA, EIOPA) haben technische Regulierungsstandards (RTS) und Durchführungsstandards (ITS) erarbeitet, um die Anforderungen von DORA zu konkretisieren. Die nationalen Aufsichtsbehörden, wie die BaFin in Deutschland, sind für die Umsetzung und Überwachung von DORA in ihrem jeweiligen Zuständigkeitsbereich verantwortlich.

IKT-Risikomanagement nach DORA

DORA definiert einen umfassenden Rahmen für das IKT-Risikomanagement, der alle relevanten Aspekte abdeckt und auf einem risikobasierten Ansatz beruht. Finanzinstitute müssen die individuellen Risiken im Zusammenhang mit ihren IKT-Systemen und -Prozessen identifizieren, bewerten und steuern.

  • IKT-Risikomanagement-Rahmenwerk: Finanzinstitute müssen ein robustes IKT-Risikomanagement-Rahmenwerk implementieren, das die folgenden Elemente umfasst und die Anforderungen von Artikel 5 DORA erfüllt:

    • IKT-Risikomanagement-Strategie: Definition der Ziele und der strategischen Ausrichtung des IKT-Risikomanagements.

    • IKT-Governance: Klare Verantwortlichkeiten und Berichtswege im Bereich IKT-Risikomanagement.

    • IKT-Risiko-Identifizierung: Systematische Identifizierung aller relevanten IKT-Risiken, einschließlich Cyberrisiken, operationeller Risiken und Compliance-Risiken.

    • IKT-Risikobewertung: Bewertung der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit, ihres potenziellen Schadens und ihrer Auswirkungen auf die Geschäftskontinuität.

    • IKT-Risikosteuerung: Implementierung von Maßnahmen zur Risikominderung und -behandlung, einschließlich technischer und organisatorischer Maßnahmen.

    • IKT-Risikoüberwachung: Kontinuierliche Überwachung der Risikosituation, der Wirksamkeit der implementierten Maßnahmen und der Einhaltung der regulatorischen Anforderungen.

  • IKT-Systeme, -Protokolle und -Tools: DORA stellt hohe Anforderungen an die Sicherheit, Zuverlässigkeit, Resilienz und Kapazität von IKT-Systemen, -Protokollen und -Tools. Finanzinstitute müssen sicherstellen, dass ihre Systeme stets auf dem neuesten Stand der Technik sind und regelmäßig aktualisiert werden. Ein effektives Patch-Management ist unerlässlich, um Sicherheitslücken zu schließen und die Systeme vor Cyberangriffen zu schützen.

  • IKT-Drittparteienrisiko: Die zunehmende Abhängigkeit von IKT-Drittanbietern birgt erhebliche Risiken für die operative Resilienz von Finanzinstituten. DORA definiert daher strenge Anforderungen an das Management von IKT-Drittparteienrisiken, insbesondere in Bezug auf die Auswahl, Vertragsgestaltung, Überwachung und das Ausstiegsmanagement. Finanzinstitute müssen die Risiken im Zusammenhang mit der Nutzung von IKT-Dienstleistungen sorgfältig bewerten und steuern, insbesondere wenn es sich um kritische oder wichtige Funktionen handelt. Die Auswahl von IKT-Drittanbietern muss auf Basis einer Due Diligence erfolgen, die die Sicherheitsstandards, die Compliance-Prozesse und die finanzielle Stabilität des Anbieters berücksichtigt. Die Vertragsgestaltung muss die Anforderungen von DORA erfüllen, insbesondere im Hinblick auf die Verantwortlichkeiten, die Service Levels und die Sicherheitsmaßnahmen. Die Überwachung der IKT-Drittanbieter muss kontinuierlich und risikobasiert erfolgen. Das Ausstiegsmanagement muss sicherstellen, dass die Abhängigkeit vom IKT-Drittanbieter im Falle einer Beendigung der Zusammenarbeit minimiert wird. Besondere Aufmerksamkeit gilt den Risiken im Zusammenhang mit Cloud-Anbietern, da diese oft kritische Infrastrukturen und sensible Daten verarbeiten.

Incident Management nach DORA

Ein effektives Incident Management ist entscheidend, um die Auswirkungen von IKT-bezogenen Störungen zu minimieren und die Geschäftskontinuität zu gewährleisten. DORA definiert einen strukturierten und dokumentierten Prozess zur Behandlung von IKT-bezogenen Vorfällen.

  • Prozess zur Behandlung von IKT-bezogenen Vorfällen: DORA fordert ein strukturiertes und dokumentiertes Verfahren zur Behandlung von IKT-bezogenen Vorfällen gemäß Artikel 33 DORA. Dieser Prozess muss die folgenden Schritte umfassen:

    • Erkennung: Frühzeitige Erkennung von IKT-bezogenen Vorfällen durch Monitoring-Systeme und -Prozesse.

    • Erfassung und Protokollierung: Umfassende Erfassung und Protokollierung aller relevanten Informationen zum Vorfall, einschließlich Art, Umfang, Zeitpunkt und betroffene Systeme.

    • Kategorisierung und Klassifizierung: Einstufung des Vorfalls nach Schweregrad, Art und Auswirkung auf die Geschäftskontinuität.

    • Behandlung: Implementierung von Maßnahmen zur Eindämmung und Behebung des Vorfalls, einschließlich technischer und organisatorischer Maßnahmen.

    • Meldung: Meldung des Vorfalls an die zuständigen Behörden (z.B. BaFin) und internen Stellen gemäß den gesetzlichen Meldepflichten.

    • Kommunikation: Information der betroffenen Stakeholder (z.B. Kunden, Mitarbeiter, Aufsichtsbehörden) über den Vorfall und die ergriffenen Maßnahmen.

    • Lernprozesse: Analyse des Vorfalls, Identifizierung der Ursachen und Ableitung von Maßnahmen zur Vermeidung zukünftiger Vorfälle. Die Ergebnisse der Analyse fließen in die kontinuierliche Verbesserung des IKT-Risikomanagements ein.

  • Meldepflichten: Schwerwiegende IKT-bezogene Vorfälle müssen innerhalb enger Fristen an die zuständigen Behörden gemeldet werden, gemäß Artikel 33 DORA. Die Meldungen müssen alle relevanten Informationen zum Vorfall enthalten, wie z. B. Art und Umfang des Vorfalls, betroffene Systeme und Daten, Anzahl der betroffenen Nutzer, geschätzte finanzielle Schäden und die ergriffenen Maßnahmen zur Eindämmung und Behebung des Vorfalls. Die Meldungen müssen zudem den Anforderungen der BAIT und der MaRisk entsprechen. Die ecrop GmbH hat ein Meldesystem implementiert, das die Einhaltung der Meldepflichten sicherstellt und die notwendigen Informationen automatisiert erfasst.

  • Zusammenarbeit und Informationsaustausch: DORA fördert die Zusammenarbeit und den Informationsaustausch zwischen Finanzinstituten, Behörden und Aufsichtsbehörden im Bereich der Cyberbedrohungen. Dies soll dazu beitragen, die Widerstandsfähigkeit des Finanzsystems gegenüber Cyberangriffen zu erhöhen, Best Practices im Bereich der Cyber-Sicherheit zu teilen und ein gemeinsames Verständnis von Bedrohungen und Schwachstellen zu entwickeln. Die ecrop GmbH beteiligt sich aktiv an diesem Informationsaustausch und arbeitet eng mit den relevanten Behörden und Organisationen zusammen.

Testverfahren nach DORA

DORA schreibt regelmäßige Tests der digitalen operationalen Resilienz vor, um sicherzustellen, dass Finanzinstitute im Falle einer IKT-bezogenen Störung ihre kritischen Funktionen weiterhin ausführen können und die Geschäftskontinuität gewährleistet ist.

  • Testen der digitalen operationalen Resilienz: Finanzinstitute müssen regelmäßig die Wirksamkeit ihrer IKT-Systeme, -Protokolle und -Tools sowie ihrer Prozesse und Verfahren im Hinblick auf die operative Resilienz testen, gemäß Artikel 32 DORA. Die Tests müssen verschiedene Szenarien abdecken, wie z.B. Cyberangriffe, Systemausfälle, Datenverlust, Stromausfälle oder den Ausfall kritischer Systeme. Die Szenarien müssen auf die individuellen Risiken des Finanzinstituts zugeschnitten sein. Die Ergebnisse der Tests müssen dokumentiert und analysiert werden, um Schwachstellen zu identifizieren und Maßnahmen zur Verbesserung der operativen Resilienz abzuleiten. Die Ergebnisse der Tests müssen zudem an die zuständigen Aufsichtsbehörden gemeldet werden.

  • Threat-Led Penetration Testing (TLPT): TLPT ist ein erweitertes Testverfahren, das die Cyber-Resilienz von Finanzinstituten auf Basis realer Bedrohungsszenarien überprüft, die auf die individuellen Risiken des Finanzinstituts zugeschnitten sind. TLPT simuliert gezielte Angriffe auf die IKT-Systeme und -Prozesse und bewertet die Fähigkeit des Unternehmens, solche Angriffe zu erkennen, einzudämmen und zu beheben. DORA stellt spezifische Anforderungen an die Durchführung von TLPT, inklusive der Qualifikation der Tester, der Methodik und der Dokumentation der Ergebnisse. Die Ergebnisse des TLPT müssen zudem an die zuständigen Aufsichtsbehörden gemeldet werden.

DORA und die Kunden der ecrop GmbH

Die DORA-Verordnung hat auch Auswirkungen auf die Kunden von ecrop (Emittenten), die Kryptowertpapiere über die White-Label-Plattform anbieten. Emittenten sind gemäß Artikel 2 Absatz 1 DORA ebenfalls verpflichtet, die Anforderungen der Verordnung zu erfüllen, insbesondere im Hinblick auf die operative Resilienz ihrer IKT-Systeme.

  • Auswirkungen von DORA auf Emittenten: Emittenten, die die White-Label-Plattform von ecrop nutzen, müssen die Anforderungen von DORA an die operative Resilienz in ihren Verträgen mit ecrop berücksichtigen. Dies betrifft insbesondere die Bereiche IKT-Risikomanagement, Incident Management, Testverfahren, Meldepflichten und die Überwachung durch IKT-Drittanbieter. Emittenten müssen sicherstellen, dass ihre Prozesse und Systeme den DORA-Vorgaben und den technischen Regulierungsstandards (RTS) entsprechen und dass sie im Falle eines IKT-bezogenen Vorfalls angemessen reagieren können. Die ecrop GmbH unterstützt ihre Kunden bei der Erfüllung dieser Anforderungen und stellt die notwendigen Informationen und Ressourcen zur Verfügung.

  • Unterstützung durch ecrop: ecrop unterstützt ihre Kunden bei der Umsetzung und Einhaltung der DORA-Vorgaben. Die White-Label-Plattform ist so konzipiert, dass sie die technischen Anforderungen von DORA und der zugehörigen technischen Regulierungsstandards (RTS) erfüllt. Zusätzlich bietet ecrop ihren Kunden Tools, Templates, Best Practices und Schulungen an, um sie bei der Implementierung, Dokumentation und Überwachung der erforderlichen Prozesse und Maßnahmen zu unterstützen. ecrop stellt zudem sicher, dass die Plattform regelmäßig auf ihre DORA-Konformität geprüft und aktualisiert wird.