Neue Anforderungen an die IT-Sicherheit im Finanzsektor

Am 27.12.2022 wurde die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) im Amtsblatt veröffentlicht. Mit dieser Verordnung werden erstmals unionsweit einheitliche Regeln für IKT-Sicherheit für den Finanzsektor eingeführt, welche bisherige Richtlinien kodifizieren und Lücken schließen. Völlig neu ist ein Überwachungsregime für kritische Technologieanbieter. Die Verordnung gilt ab 17.01.2025. Aufgrund der komplexen und umfangreichen Regeln ist es notwendig, zeitig mit der Implementierung zu beginnen.

Kontext der Verordnung

DORA ist Teil eines umfangreichen Pakets für IKT-Sicherheit. Gleichzeitig wurden weitere Richtlinien erlassen, nämlich RL 2022/2555 über ein hohes gemeinsames Cybersicherheitsniveau („NIS 2“), RL 2022/2556 über digitale operationale Resilienz im Finanzsektor und RL 2022/2557 über die Resilienz kritischer Einrichtungen. Als lex specialis geht DORA der NIS 2-RL vor. Seit der Finanzkrise von 2008 wurde die finanzielle Resilienz des Finanzsektors gestärkt, die IT-Sicherheit soll nun gleichziehen. Bestehende rechtliche Unterschiede zwischen den Mitgliedstaaten, die zu Wettbewerbsverzerrungen führen können, sollen beseitigt werden.

Anwendungsbereich

Die Verordnung gilt für den ganz überwiegenden Teil der Finanzbranche. Neben Kreditinstituten sind insbesondere auch Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler E‑Geldinstitute, Anbieter von Krypto-Dienstleistungen und IKT-Drittdienstleister erfasst. Ausgenommen sind nur wenige sehr spezielle Finanzdienstleister und Kleinstunternehmen.

Grundsatz der Verhältnismäßigkeit

Durch den Verhältnismäßigkeitsgrundsatz werden die strengen Vorgaben etwas abgemildert. Maßgeblich sind die Größe, das Gesamtrisikoprofil sowie Art, Umfang und Komplexität der ausgeübten Tätigkeiten.

Management des internen Risikos

IT-Risikomanagement ist Chefsache. Die Verantwortung liegt ausdrücklich bei der Unternehmensführung. Finanzunternehmen müssen über einen internen Governance- und Kontrollrahmen sowie einen IKT-Risikomanagementrahmen verfügen. Das interne Risikomanagement ist grundsätzlich jährlich zu überprüfen.

IKT-Systeme, -Protokolle und -Tools sind stets auf dem neuesten Stand zu halten und müssen über ausreichende Kapazitäten verfügen. Verpflichtend sind Systeme zur Prävention und Erkennung von Vorfällen sowie zur Wiederherstellung, die regelmäßig zu testen sind. Finanzunternehmen müssen außerdem über Kapazitäten verfügen, um Informationen über Vorfälle zu sammeln und aus ihnen zu lernen. Des Weiteren müssen Pläne für die Kommunikation zumindest von schwerwiegenden Vorfällen gegenüber Kunden, anderen Finanzunternehmen sowie der Öffentlichkeit bestehen.

Behandlung und Meldung von Vorfällen

Finanzunternehmen müssen über einen Prozess zur Behandlung IKT-bezogener Vorfälle verfügen, solche Vorfälle klassifizieren und deren Auswirkungen bestimmen.

Schwerwiegende Vorfälle sind der Behörde zu melden. Die Mitgliedstaaten haben eine einzige zuständige Behörde als zentrale Stelle zu benennen. Meldungen bedeutender Kreditinstitute sind an die EZB weiterzuleiten. Die ESA werden bis 17. Juli 2024 Entwürfe für harmonisierte Meldungen erstellen.

Testen

Zur Vorbereitung auf IKT-bezogene Vorfälle erstellen, pflegen und überprüfen Finanzunternehmen ein solides und umfassendes Programm für das Testen der IT-Resilienz. Kleinstunternehmen sind von dieser Verpflichtung ausgenommen. Die Tests können von unabhängigen internen oder externen Parteien durchgeführt werden. Bei internen Testern müssen Interessenkonflikte ausgeschlossen werden.

Bei kritischen oder wichtigen Systemen sind mindestens einmal jährlich angemessene Tests durchzuführen. Die meisten Finanzunternehmen müssen mindestens alle drei Jahre erweiterte Tests (TLPT) durchführen.

Management des Drittparteienrisikos

Finanzunternehmen bleiben jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen verantwortlich, auch wenn sie IKT-Dienstleistungen an Vertragspartner ausgelagert haben. Um dieses Drittparteienrisiko zu managen, müssen Finanzunternehmen eine Strategie beschließen und diese regelmäßig überprüfen. Dazu muss insbesondere ein Register mit allen vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die durch Dritte bereitgestellt werden, geführt werden. Neue Vereinbarungen sind mindestens einmal jährlich den Behörden zu berichten und vor deren Abschluss ist eine Risikoeinschätzung vorzunehmen. Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sind vorab an die Behörden zu melden.

Auch der Inhalt solcher Verträge unterliegt strengen Vorgaben: Verträge mit IKT-Drittdienstleistern dürfen nur abgeschlossen werden, wenn sie angemessene Sicherheitsstandards einhalten. Die Verträge müssen bestimmte wesentliche Elemente, einschließlich wichtiger Kündigungsgründe, umfassen. Die Behörden werden außerdem noch Standardvertragsklauseln entwerfen.

Vereinbarungen über den Austausch von Informationen

Die Verordnung betont mehrfach, dass die Zusammenarbeit und der Austausch von Informationen und Erfahrungswerten entscheidend für die Erhöhung der IT-Sicherheit ist und erwünscht ist. Grundsätzlich ist dies erlaubt und steht nicht in Konflikt mit Kartellrecht und Datenschutz. Dies hat jedoch auf der Grundlage von Vereinbarungen zu geschehen, die auch den Behörden anzuzeigen sind.

Behörden und Sanktionen

IKT-Drittdienstleister, die für Finanzunternehmen kritisch sind, werden zukünftig direkt von den ESA beaufsichtigt, wobei jeweils eine der Behörden, EBA, ESMA oder EIOPA, als federführende Überwachungsbehörde bestimmt wird. Die Zuteilung erfolgt danach, welche Art von Finanzunternehmen auf Basis von deren Bilanzsumme der IKT-Drittdienstleister überwiegend betreut. Die federführende Überwachungsbehörde hat zur Wahrnehmung ihrer Aufgaben, das Recht Informationen einzuholen, Untersuchungen durchzuführen, die Erstellung von Berichten zu verlangen und Empfehlungen abzugeben.

Finanzunternehmen werden auch im Hinblick auf die Einhaltung der Verordnung von ihrer jeweils zuständigen Aufsichtsbehörde (in Österreich idR der FMA) überwacht.

Die Verordnung sieht auch vor, dass die zuständigen Behörden bei Verstößen gegen die Verpflichtungen Verwaltungsstrafen verhängen können, wobei die konkreten Strafen im nationalen Recht festzulegen sind. Die Verordnung sieht zudem die Möglichkeit vor, dass Mitgliedstaaten strafrechtliche Sanktionen vorsehen wobei aber sicherzustellen ist, dass die Strafverfolgungsbehörden mit den ESA zusammenarbeiten und der Informationsaustausch sichergestellt ist.

Ausblick

Die Vorgaben durch DORA für Finanzunternehmen sind vielfältig und komplex. Da die Verordnung in weniger als zwei Jahren vollständig in Kraft tritt, muss die verbleibende Zeit genutzt werden, um die bestehenden Organisation auf ihre Vereinbarkeit mit DORA zu überprüfen, Lücken zu identifizieren und diese zu schließen, um bei Inkrafttreten in zwei Jahren gerüstet zu sein.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.