Cybersicherheit & IT-Steuerung

Digital Operational Resilience Act (DORA), Informationssicherheit und IT-Compliance

Die Widerstandsfähigkeit von IT-Infrastrukturen rückt nicht erst mit der seit Januar 2023 veröffentlichten, neuen europäischen DORA-Gesetzgebung immer mehr in den Mittelpunkt der Banken. Aufgrund der zunehmenden Digitalisierung, zusätzlicher Angriffsrisiken und generell einer komplexeren IT-Systemlandschaft rückt die Cyber-Resilienz auch unabhängig von der Regulatorik weiter in den Fokus. Die EZB plant aufsichtlich für 2024 zudem spezifische Stresstests zur Cyberresilienz für die von ihr direkt beaufsichtigten Institute.

Um den Anforderungen gerecht zu werden, rücken neben den nationalen insbesondere auch weltweiten, allgemeinen Standards (bspw. ISO/IEC 270xx für ein ISMS) sowie spezifische Industriestandards bzw. solche von übergreifenden Initiativen (wie bspw. das MITRE Framework zur Klassifizierung von Bedrohungen und Angriffserkennung) in den Fokus der Banken. So können diese darauf basierenden Systeme im Zusammenspiel mit einem Security Information and Event Management (SIEM), angedockt an ein Security Operations Center (SOC) zur Durchführung gezielter Maßnahmen, eine ganzheitliche Betrachtung und einen wichtigen Teilbereich bspw. der IT-Systembezogenen Informationssicherheit abdecken. 

Auf regulatorischer Ebene soll das erste Paket der delegierten DORA-Rechtsakte Mitte Juni 2023 von den europäischen Aufsichtsbehörden EIOPA, EBA, ESMA und den ESAs zur Konsultation gestellt werden. Diese Konsultation läuft bis zum 11. September 2023. Das zweite Paket ist für November/Dezember 2023 angekündigt. Die zeitlichen Eckpunkte stehen bereits fest. So sollen die Rechtsakte des 1. Pakets am 17. Januar 2024 und die des 2. Pakets am 17. Juli 2024 final vorliegen. Alle Anforderungen sind bis zum 17. Januar 2025 umzusetzen bzw. anzuwenden.

Der deutsche Gesetzgeber plant für die DORA-Anwendung ein nationales Begleitgesetz für die den Mitgliedstaaten eingeräumten Optionen und für spezifische Aspekte zur Klarstellung. Dieses soll in Kürze auf den formalen Weg des Gesetzgebungsverfahrens gebracht werden. Neben DORA sollen in diesem Gesetz auch spezifische Aspekte der EU-Regulierung zu Markets in Crypto Assets (MiCA) für Deutschland geregelt werden. 

Wie in DORA generell vorgesehen, ist es für die Mitglieder ganz entscheidend, Handlungsspielräume für die Umsetzung in Abhängigkeit vom jeweiligen Geschäft zu erhalten. Dabei ist die Berücksichtigung von Proportionalität und Verhältnismäßigkeit, u. a. durch die Berücksichtigung von risikobasierten Ansätzen des jeweiligen Instituts, sehr wichtig.