Das Konto digital eröffnen, Beratungsgespräche online führen oder Transaktionen bequem über mobile Apps ausführen – das ist für Privatkunden schon lange gelebte Praxis. Und im Finanzsektor sorgen Lösungen wie KI-basierte Risikobewertung, automatisierte Anlageberatung oder Robotic-Process-Automation (RPA) bei der Rechnungsverarbeitung für mehr Effizienz und personalisierte Ergebnisse. Allerdings sind Finanzunternehmen wegen ihrer besonderen Marktposition und den von ihnen verwalteten, sensiblen Daten beliebte Angriffsziele für Cyberkriminelle.
In den letzten Jahren sind die Regularien auf europäischer Ebene nicht im gleichen Maße wie die neuen, digitalen Möglichkeiten gewachsen. Dieser Entwicklung wirkt die Europäische Kommission nun mit der Dora-Verordnung entgegen. Die Richtlinie verlagert den Fokus weg von der finanziellen Widerstandsfähigkeit des Sektors hin zur Resilienz der IT-Systeme. Begleitet wird dieses Vorhaben von neuen Pflichten, denen Finanzunternehmen jetzt nachkommen müssen. So sieht die Verordnung etwa vor, dass Finanzunternehmen bis zum 17. Januar 2025 ein effektives und umfassendes Management von Cybersicherheits- und Informations- und Kommunikationstechnik-Risiken umsetzen müssen.
Banken, Versicherer, Krypto-Anbieter und Versicherungsvermittler zählen ebenso wie Informations- und Kommunikationstechnik-Drittdienstleister zu den knapp 22.000 Finanzunternehmen in Europa, die von der Verordnung betroffen sind. Mit dem Inkrafttreten am 16. Januar 2023 haben die Unternehmen zwei Jahre Zeit, ihre Systeme so aufzurüsten, dass sie widerstandsfähiger gegen Vorfälle wie Datenlecks, DDoS-Angriffe oder Insider-Bedrohungen werden. Besonders wichtig innerhalb der fünf Kernthemen: das IKT-Risikomanagement und die Risikoanalyse von Informations- und Kommunikationstechnik-Drittanbietern.
Präventionsmaßnahmen ergreifen und Drittanbieter im Blick behalten
Damit ein umfassendes Informations- und Kommunikationstechnik-Risikomanagement greifen kann, müssen Finanzunternehmen zunächst die kritischen und wichtigen Funktionen und Prozesse ihres Unternehmens identifizieren und daraus abgeleitet die relevanten Informations- und Kommunikationstechnik-Systeme und -Werkzeuge festlegen. Zusätzlich sollten die Zuständigen alle Quellen, die potenzielle Informations- und Kommunikationstechnik-Risiken bergen, kontinuierlich überwachen, um Schutz- und Präventionsmaßnahmen zu etablieren und bei auffälligen Aktivitäten sofort eingreifen zu können.
Um im Ernstfall schnell zu reagieren, braucht es klare Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungspläne inklusive regelmäßiger Tests. Nicht zuletzt sind Firmen angehalten, eigene Mechanismen zu entwickeln, um sowohl aus externen Vorfällen als auch eigenen Informations- und Kommunikationstechnik-Vorfällen zu lernen.
Aber auch die Drittparteien müssen Unternehmen im Blick haben. So sind Firmen verpflichtet, die Risiken zu überwachen, die die Inanspruchnahme von Informations- und Kommunikationstechnik-Drittanbietern mit sich bringt. Darunter fallen beispielsweise das dabei entstehende IT-Konzentrationsrisiko oder Risiken, die sich aus Sub-Outsourcing-Aktivitäten ergeben. Für einen besseren Überblick müssen sie ein vollständiges Verzeichnis aller von Dritten bezogenen Informations- und Kommunikationstechnik-Leistungen anlegen, in dem auch gruppeninterne Dienstleistungen vermerkt sind, und jegliche Änderung melden. Außerdem gilt es sicherzustellen, dass ihre Verträge mit Informations- und Kommunikationstechnik-Drittanbietern alle notwendigen Details zur Überwachung und Erreichbarkeit enthalten, um auch hier möglichen Sicherheitslücken vorzubeugen.
Keine Zeit zum Abwarten
Die Umsetzung von Dora erfordert einen klaren Zeitplan, um allen Beteiligten ausreichend Gelegenheit zur Anpassung zu geben. Aktuell läuft die erste Konsultationsphase, bei der relevante Akteure ihre Einsichten und Kommentare einbringen können. In den Zeiträumen von Juni bis September 2023 und November 2023 bis Januar 2024 findet ein öffentlicher Austausch zu den noch ausstehenden Regulierungs- und Implementierungsstandards (RTS/ITS) statt.
Nach zwei weiteren Konkretisierungsphasen wird Dora am 17. Januar 2025 in vollem Umfang gültig sein. Ab diesem Zeitpunkt liegt die Verantwortung bei den etablierten nationalen und internationalen Behörden, die Einhaltung der Vorgaben sicherzustellen.
Bedeutet dies nun, dass Unternehmen die endgültige Verabschiedung aller Regularien abwarten sollten? Keineswegs. Einerseits, weil die Regulierungs- und Implementierungsstandards nur rund 20 bis 40 Prozent von Dora ausmachen. Andererseits, weil die bereits veröffentlichten Anforderungen schon jetzt Handlungsbedarf signalisieren.
Zunächst sollten sich Unternehmen zwei bis drei Monate dafür Zeit nehmen, ihren aktuellen Stand zu bewerten: den Projektumfang definieren, relevante Stakeholder einbeziehen, Interviews und Workshops durchführen. Aus dem internen und externen Austausch lassen sich dann Lücken und Bereiche mit einem niedrigen Reifegrad identifizieren und schließlich weitere Aktionen ableiten.
In der zweiten Phase geht es dann darum, die Maßnahmen zu implementieren, kritische Kernfunktionen zu priorisieren und insgesamt den Resilienz-Reifegrad zu erhöhen. Spezifische Resilienz-Fähigkeiten wie ein transparentes Third-Party-Management oder eine starke Netzwerkarchitektur helfen dabei, die eigene Position weiter zu stärken.
Zudem sollten regelmäßig bedrohungsbasierte Penetrationstests, in größeren Instituten durch externe Parteien, durchgeführt werden, um die Wirksamkeit auszuloten. Ab Januar 2025 geht es dann darum, die bis dahin umgesetzten und etablierten Lösungen regelmäßig zu prüfen, strategisch zu optimieren und mit toolbasierten Anwendungen Prozesse weiter zu automatisieren.
Vorsprung durch Widerstandsfähigkeit
Auf den ersten Blick bringt Dora vor allem eine Menge organisatorischer und technischer Herausforderungen mit sich. Denn viele Finanzunternehmen sind noch nicht ausreichend gegen die wachsenden cyberkriminellen Bedrohungen aufgestellt und haben Potenzial, ihre Widerstandsfähigkeit weiter zu optimieren.
Unabhängig davon, dass es sich hierbei um gesetzliche Vorgaben handelt, die eingehalten werden müssen, sollten Finanzunternehmen aber auch so ihre eigene Cybersicherheit priorisieren. Dora sollte also vielmehr als Startschuss für die Verbesserung der Widerstandsfähigkeit verstanden werden.
Die europaweit gültigen Vorgaben der Verordnung bieten Finanzunternehmen die Chance, einen einheitlichen Reifegrad in Bezug auf Cybersicherheit und operative Widerstandsfähigkeit sicherzustellen. Das erleichtert nicht nur den übergreifenden Austausch, sondern bestärkt die Beteiligten, in die eigene Absicherung zu investieren und sich so proaktiv gegen mögliche Ausfälle zu schützen.
Durch notwendige Analysen – beispielsweise der Abhängigkeit zwischen dem eigenen Unternehmen und den Dienstleistern – können Unternehmen zudem ein tiefergreifendes Verständnis für Zusammenhänge und mögliche interne Synergien erhalten. Dies wiederum erleichtert die Zusammenarbeit und sorgt für eine stärkere Unternehmensbasis. Gleiches gilt für den Umgang mit den entsprechenden Informations- und Kommunikationstechnik-Drittanbietern.
Denn eine frühzeitige Kollaboration mit Dienstleistern sowie ein ganzheitlicher Überblick über die jeweiligen Stärken und Verantwortlichkeiten ist entscheidend, um die Resilienz des Finanzsystems auf ein neues Niveau zu heben.
Über den Autor:
Philipp Schulz ist Direktor im Geschäftsbereich Risiko und Regularien bei PWC Deutschland in Düsseldorf und Emea- sowie deutschlandweit verantwortlich für das Thema Digital Operational Resilience Act (Dora). In seiner Funktion leitet er eine Vielzahl verschiedener IT-Assurance- und Cyber-Beratungsprojekte für Kunden aus dem Finanzdienstleistungssektor (Banken, Versicherungen, Vermögensverwaltung und deren IT-Dienstleister). Zusätzlich ist er Certified Information Systems Auditor (Cisa) und verfügt über die zusätzliche Prüfprozesskompetenz für § 8a des BSI-Gesetzes.