Presseartikel

Regulatorik: DORA soll Cybersicherheit erhöhen – und muss bis Anfang 2025 umgesetzt sein

Veröffentlicht: 22.08.2024 | Von investify

Die digitalen Möglichkeiten im Banken- und Finanzwesen sind in den letzten Jahren immer weitergewachsen. Sie bieten den Anbietern viele Ansätze, Prozesse zu verschlanken und erleichtern die Kommunikation zwischen Instituten und Kunden. Finanzunternehmen sind jedoch auch beliebte Angriffsziele für Kriminelle. Zudem haben hohe Kundenanstürme in letzter Zeit zu technischen Problemen z.B. bei Postbank, Scalable oder Trade Republic geführt. Die Europäische Kommission will dem mit dem Digital Operational Resilience Act (DORA) entgegentreten und hat Finanzunternehmen neue Verpflichtungen auferlegt, die schon bis 17. Januar 2025 umgesetzt werden müssen.

Ziel des Regulierungsaktes ist ein effektives und umfassendes Management von Cybersicherheits-, Informationstechnik- und Kommunikationstechnik-Risiken. In Europa fallen fast alle Finanzunternehmen unter die Verordnung, die vor anderthalb Jahren in Kraft getreten und bis 17. Januar 2025 umgesetzt werden muss. Bis dahin müssen die Unternehmen ihre Systeme so aufgerüstet haben, dass sie widerstandsfähiger gegen Vorfälle wie Datenlecks, DDoS-Angriffe oder Insider-Bedrohungen werden. Besonders wichtig innerhalb der fünf Kernthemen: das IKT (Informationstechnik und Kommunikationstechnologie) -Risikomanagement und das Management von IKT-Drittanbietern.

Gerade der letzte Punkt dürfte für viele Vermögensverwalter relevant sein, da fast alle Institute IT-Dienstleistungen beauftragt haben. Hier gilt es darauf zu achten, dass diese Dienstleister DORA-konform arbeiten.

Die Finanzinstitute sind zur Überwachung der Risiken verpflichtet, die die Inanspruchnahme von Informations- und Kommunikationstechnik-Drittanbietern mit sich bringt. Darunter fallen z.B. das dabei entstehende IT-Konzentrationsrisiko oder Risiken, die sich aus der Weitervergabe von Aktivitäten über eine Kette von Dienstleistern ergeben. Für einen besseren Überblick müssen sie ein vollständiges Verzeichnis aller von Dritten bezogenen IKT-Leistungen anlegen. Außerdem müssen die Verträge mit Informations- und Kommunikationstechnik-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten, um auch hier möglichen Sicherheitslücken vorzubeugen. Auch das Meldewesen für IKT-Vorfälle bezieht die Kette der Dienstleister von kritischen und wichtigen Funktionen mit ein.

Die Institute sind nämlich verpflichtet, ihre IKT-Dienstleister auf DORA zu schulen und heranzuführen, sie müssen mit ihnen eine Reihe von Vertragsklauseln wie Prüfrechte für die Aufsichtsbehörden selber vereinbaren. Wir wissen aus vielen Gesprächen, dass dies oft ein sehr zähes Unterfangen ist. Denn: Viele IT-Dienstleister stammen nicht aus dem Finanzbereich und arbeiten für viele Branchen. Sie kennen die Vorgaben für Finanzinstitute nicht, man findet keinen Ansprechpartner und kommt nur langsam voran. Das bringt auch Unsicherheit mit sich, wenn man die DORA-Anforderungen bei Dienstleistern nicht oder nur langsam umsetzen kann. Hier ist es ein großer Vorteil, wenn der IT-Dienstleister selber reguliert ist und unter die DORA-Regularien fällt. Das entlastet das Finanzunternehmen erheblich. Wir bei investify TECH müssen DORA sowieso selber umsetzen und kennen daher die Themen gut.

Natürlich bringt DORA vor allem organisatorische und technische Herausforderungen mit sich, es sind gesetzliche Vorgaben, die eingehalten werden müssen. Viele Finanzunternehmen sind heute noch nicht umfassend gegen die wachsenden cyberkriminellen Bedrohungen und gegen technische Probleme aufgestellt. DORA kann – bei allem Aufwand – also durchaus als Treiber für die Verbesserung der Widerstandsfähigkeit verstanden werden.

Dieser Artikel wurde am 20.08.2024 als Gastbeitrag im Private Banking MagazinGastbeitrag im Private Banking Magazin veröffentlicht.
Autor: Dr. Harald Brock, Geschäftsführer investify TECH