Neue EU-Verordnung Warum Finanzunternehmen Dora als Chance begreifen sollten

Vaike Metzger von KMPG erklärt, was Finanzunternehmen der Dora-Verordnung beachten müssen.

Vaike Metzger von KMPG erklärt, was Finanzunternehmen der Dora-Verordnung beachten müssen. Foto: KPMG/Vaike Metzger, imago images/ZUMA Wire

Den Kontostand checken, Überweisungen tätigen, Daueraufträge einrichten: Im digitalen Zeitalter findet Banking größtenteils online statt. Sofern die Systeme laufen. Denn was passiert, wenn die Dienste nicht zur Verfügung stehen, mussten die fast 18 Millionen Kunden der Volks- und Raiffeisenbanken erfahren: Mitte 2021 hatte ein Sabotageangriff auf den IT-Dienstleister der Bankengemeinschaft die mehr als 800 genossenschaftlichen Geldhäuser schwer getroffen und vielfach das Online-Banking lahmgelegt.

Attacken wie diese sind längst keine Seltenheit mehr. Mit durchschnittlich 1.131 Cyber-Angriffen musste sich die Finanzbranche im vergangenen Jahr auseinandersetzen – jede Woche. Das haben die Cyber-Security-Experten von Check Point herausgefunden. Im Vergleich zu 2021 ist diese Zahl um 52 Prozent gestiegen. Auch vor großen Instituten machen die Kriminellen nicht Halt: Mehr als zwei Drittel von ihnen waren mindesteins einmal betroffen. Verhinderte Attacken und Dunkelziffer nicht eingerechnet.

Mehr Digitalisierung, größeres Risiko

Je digitaler die Finanzwelt wird, desto anfälliger ist sie auch für Attacken aus dem Internet. Das wissen Unternehmen, Aufsichtsbehörden und Gesetzgeber. Aber obwohl die wachsende Bedrohungslage bekannt ist, gab es auf europäischer Ebene für Finanzunternehmen und für deren Dienstleister bisher über die Sektoren hinweg noch keine einheitlichen Vorgaben für die Cybersicherheit ihrer Systeme. Diese Lücke hat die Europäische Union (EU) erkannt und unlängst ein Stück weiter geschlossen.

Die Lösung trägt den Namen: „Digital Operational Resilience Act“ – kurz Dora. Die Verordnung gilt seit Januar 2023 und vereinheitlicht oder ergänzt bisherige Standards. So schafft sie einen detaillierten, umfassenden und weitgehend einheitlichen Aufsichtsrahmen. Ziel ist es, die Finanzwirtschaft EU-weit resilienter gegen größere IT-Störungen zu machen, die etwa durch Cyberangriffe oder unzureichend umgesetzte interne Sicherheitsstandards ausgelöst werden können. Dafür setzt sie nicht nur auf monetäre Maßnahmen wie die angemessene Bereitstellung finanzieller Mittel für die operationelle Sicherheit, sondern auch auf konkrete Handlungsanweisungen, beispielsweise beim Risikomanagement oder der Meldung von Vorfällen.

 

Die gute Nachricht: Ein Teil der Dora-Anforderungen ist aus der bestehenden Regulierung wie etwa den EBA-Guidelines beziehungsweise den BAIT bereits bekannt. Durch die neue Verordnung werden diese Regeln konkretisiert und um neue Aspekte ergänzt. So umfasst Dora nicht nur alle regulierten Finanzunternehmen, sondern auch kritische IKT-Drittdienstleister wie zum Beispiel Cloud-Anbieter. Und auch innerhalb der Finanzbranche bezieht die Verordnung mehr Unternehmen ein als etwa die EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken oder jene zu Auslagerungen. Demnach sind neben Kreditinstituten, Versicherungen oder Wertpapierfirmen jetzt auch Kryptodienstleister oder Ratingagenturen betroffen.

Mehr Arbeit durch Dora, aber auch viele Chancen

Für die Unternehmen bedeutet das auf der einen Seite mehr Arbeit, schließlich müssen sie die neuen Vorgaben durch Dora umsetzen. Auf der anderen Seite bieten sich ihnen aber auch Chancen: Mehr Cybersicherheit, Synergieeffekte zwischen den Abteilungen innerhalb des Unternehmens, die künftig stärker zusammenarbeiten und ein eindeutiger EU-weiter Rechtsrahmen sind nur drei Beispiele. Das lohnt sich: Denn ein Schaden verursacht am Ende häufig höhere Kosten als die Investitionen in Sicherheitsmaßnahmen.

Die institutionelle Kapitalanlage ist Ihre Leidenschaft?

Unsere auch. Abonnieren Sie unseren Newsletter „pbm institutionell“. Wir versorgen Sie jeden Mittwoch mit aktuellen Nachrichten, Personalien und Analysen.

Zudem müssen durch Dora einzelne Abteilungen im Unternehmen in Sachen Cyber-Abwehr enger zusammenarbeiten. Das mindert Doppelstrukturen und setzt Synergieeffekte frei. Um die Zusammenarbeit in den Disziplinen zu stärken, die sich um den Cyber-Schutz kümmern, gilt es jetzt, Silos abzubauen und einheitliche Ziele und Abläufe zu etablieren, die das Institut resilienter machen. Zusätzlich können sich Unternehmen darauf verlassen, dass EU-weit und über Sektoren hinweg Regeln weiter harmonisiert werden. Ein Vorteil insbesondere für Marktteilnehmer, die international tätig sind.

Statt sich von den Aufwendungen abschrecken zu lassen, sollten Unternehmen eher die Vorteile in den Blick nehmen – und Dora als Chance nutzen. Doch wie gelingt das?

Zunächst geht es darum, sich eine gute Ausgangsposition zu verschaffen. Viele Aspekte der Dora sind bereits durch etablierte Standards bekannt. Daher hat bei der Umsetzung der neuen Verordnung weniger Mühe, wer bereits aufsichtsrechtliche Anforderungen erfüllt und internationale Marktstandards und Normen wie die der ISO-27xxx-Familie befolgt.

Darüber hinaus ist wichtig, sich frühzeitig mit den Dora-Vorgaben auseinanderzusetzen, etwaige Anpassungen an bestehende Verfahren und Methodiken zu analysieren und einen Plan für die Umsetzung zu erstellen. Dafür braucht es ein übergreifendes Verständnis für das Risikomanagement bei Finanzunternehmen – von den verschiedenen Risiken aus der Providersteuerung über die Cyberbedrohung bis zu jeweiligen Schutzmaßnahmen.

Die größten Veränderungen bei der Anpassung an die neue Verordnung werden die Unternehmen schließlich in vier Bereichen vorfinden: dem IKT-Risikomanagement, der digitalen operationellen Widerstandsfähigkeit, der Berichterstattung über Vorfälle und dem Management des Drittdienstleisterrisikos.