Die Europäische Kommission stellte am 24.9.2020 das Digital Finance Package vor, das den digitalen Finanzdienstleistungsmarkt auf Unionsebene einheitlich regeln soll. Herzstück ist der Vorschlag einer Verordnung über die sogenannte "Betriebsstabilität" digitaler Systeme im Finanzsektor (Digital Operational Resilience Act, kurz "DORA"). Kurz zusammengefasst werden damit Anforderungen an IKT-Systeme von Finanzdienstleistern und von bestimmten, mit Finanzdienstleister zusammenarbeitenden, Unternehmen aufgestellt.
Mit einem In-Kraft-Treten von DORA ist frühestens 2023 zu rechnen. Der Vorschlag gibt aber bereits jetzt eine Richtschnur vor, wie die Cybersicherheit bei Finanzdienstleistungen gestärkt und die daraus resultierenden operationellen Risiken besser bewältigt werden können. Die inhaltlichen Parallelen zur NIS-Richtlinie und bestehenden Guidelines zum Thema Cybersicherheit sind dabei unverkennbar. Unsere Digital Industries Group hat die wichtigsten Takeaways für Sie kurz zusammengefasst.
1. Sachlicher und persönlicher Anwendungsbereich
DORA soll Kreditinstitute, Zahlungsinstitute und Wertpapierfirmen sowie Anbieter von Krypto-Dienstleistungen bis hin zu Versicherungsunternehmen, Versicherungsvermittler und zahlreiche weitere Finanzdienstleistungsanbieter erfassen. Daneben werden auch Abschlussprüfer sowie bestimmte, von den Europäischen Aufsichtsbehörden ("ESA") benannte kritische IKT-Drittanbieter, die digitale (Daten)Dienste erbringen, umfasst. Ausgenommen sind aktuell aber Anbieter von Hardwarekomponenten und bloßer elektronischer Kommunikationsdienste.
Durch DORA werden nun auch die bereits vorhandenen Leitlinien der Europäischen Bankenaufsichtsbehörde ("EBA"), der Europäischen Wertpapier- und Marktaufsichtsbehörde ("ESMA") und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung ("EIOPA") im Bereich der Auslagerungen und IKT-Risiken unionsrechtlich verankert, weiter ergänzt und spezifiziert.
2. Ausblick auf die inhaltlichen Anforderungen von DORA
2.1. IKT-Risikomanagement
Um mit der rasch ändernden Bedrohungslage Schritt zu halten, müssen die betroffenen Unternehmen stabile IKT-Systeme und -Instrumente einrichten und kontinuierlich verbessern. Der Fokus liegt daher auf Schutz- und Präventionsmaßnahmen sowie Notfall- und Wiederherstellungsplänen. Die Anforderungen der Verordnung bauen dabei auf europäischen und international anerkannten technischen Normen auf.
2.2. Management, Klassifizierung und Berichterstattung von IKT-Vorfällen
Finanzunternehmen sollen einen Managementprozess zur Überwachung und Protokollierung IKT-bezogener Vorfälle implementieren. Demnach sind Vorfälle auf Grundlage der in der Verordnung dargelegten Kriterien anhand von Wesentlichkeitsschwellen zu klassifizieren. Schwerwiegende IKT-bezogene Vorfälle sind zu melden.
2.3. Regelungen für die Testung von IKT-Systemen
Die im Rahmen für das IKT-Risikomanagement enthaltenen Kapazitäten und Funktionen müssen regelmäßig auf Abwehrbereitschaft und die Ermittlung von Schwachstellen, sowie auf die umgehende Umsetzung von Korrekturmaßnahmen geprüft werden.
2.4. Steuerung des von IKT-Drittanbietern ausgehenden Risikos
Finanzunternehmen müssen das Risiko durch IKT-Drittanbieter vorab evaluieren, laufend proaktiv steuern und überwachen. Der Vorschlag harmonisiert zu diesem Zweck wesentliche Anforderungen an die Bestandteile des Dienstes sowie auch die Verträge mit Drittanbietern. Vergleichbar mit der Systematik der DSGVO fördert DORA hierzu die freiwillige Verwendung von Standardvertragsklauseln. Diese werden von der Europäischen Kommission für die Nutzung von Cloud-Computing-Diensten entwickelt. Nach der zuletzt im Datenschutzbereich für den internationalen Datentransfer erfolgten Kehrtwende – DORDA hat berichtet – ist auch hier zu erwarten, dass selbst bei Verwendung der vorgegebenen Vertragsmuster eine detaillierte interne Gesamtrisikoabwägung vorzunehmen ist.
3. Verstreute Zuständigkeiten bei den Aufsichtsbehörden
Wenn es nach dem aktuellen Vorschlag geht, wären in Österreich neben der Finanzmarktaufsichtsbehörde (FMA) auch die Gewerbebehörde und die Abschlussprüferaufsichtsbehörde für den Vollzug zuständig. Für die Beaufsichtigung kritischer IKT-Drittanbieter soll ein Vertreter der Europäischen Aufsichtsbehörden (ESA) – diese setzen sich aus EBA, ESMA und EIOPA – zusammen, als federführende Aufsichtsinstanz bestimmt werden. Die Details sind laut Verordnungsentwurf noch von der Europäischen Kommission festzulegen. Um die Zusammenarbeit und vor allem die (Krisen-)Kommunikation zwischen den Behörden zu erleichtern, sieht die Verordnung Möglichkeiten für sektorübergreifende Simulationsübungen vor. Ob die erforderliche Abstimmung in der bei Cyberangriffen üblicherweise herausfordernd kurzen Zeit auch faktisch funktioniert, ist noch nicht absehbar.
4. Verhältnis zum NISG
Was auf den ersten Blick fehlt, ist eine dem Netz- und Informationssicherheitsgesetz ("NISG") vergleichbare, generelle Ausnahme für Kleinstunternehmen. Drohende Überschneidungen und Doppelbelastung durch Anwendbarkeit beider Regime wurde allerdings in anderen Bereichen bereits proaktiv mitbedacht:
Für Betreiber kritischer Infrastruktur sieht das NISG bereits jetzt hohe Anforderungen in Hinblick auf die sichere Gestaltung der IT-Infrastruktur vor. Bisher sind aus dem breiten Spektrum der Finanzdienstleister allerdings lediglich Zahlungsdienste im Sektor Bankwesen und Finanzmarktinfrastruktur als kritische Infrastruktur erfasst. Durch den DORA-Verordnungsentwurf soll der Anwendungsbereich bewusst erweitert werden, um der wachsenden Bedrohung durch Cyberangriffe gerecht zu werden.
Um mögliche Überschneidungen und Doppelgleisigkeiten (zB bei Meldepflichten zu verhindern, werden die betroffenen Finanzdienstleister im Verordnungsentwurf von der Erfüllung der NIS-Anforderungen explizit ausgenommen. Das ist nur stringent, da DORA dem NISG durchaus vergleichbare, wenn aber auch in Details abweichende, Vorgaben zur IKT-Sicherheit enthält.
5. Ausblick und nächste Schritte
DORA beinhaltet umfangreiche organisatorische und technische Vorgaben, die von den erfassten Unternehmen zusätzlich zu den schon bestehenden Vorgaben umzusetzen sind. Ein genaues Datum des In-Kraft-Tretens ist aber noch nicht fixiert. Frühestens ist damit 2023 zu rechnen.
Neben dem europäischen Gesetzgeber hat auch die FMA das brennende Thema Cybersicherheit bereits aufgegriffen und Cyberrisiken sowie IT-Sicherheit zu ihren Aufsichtsschwerpunkten für das Jahr 2021 erklärt. Wir werden Sie daher regemäßig auf dem Laufenden zu den einschlägigen Entwicklungen halten, damit Sie die wesentlichen Vorkehrungen zum richtigen Zeitpunkt setzen können.