Die Umsetzungsfrist des Digital Operational Resilience Acts, kurz DORA, kommt rasch näher. Bis 17. Januar 2025 hat der Finanzsektor Zeit, alle Vorkehrungen für die Erfüllung der neuen Vorgaben zu treffen.
Im ersten Teil unserer Blogreihe zum Thema DORA haben wir uns mit den allgemeinen Inhalten der EU-Verordnung auseinandergesetzt. Die Details dazu lesen Sie hier: „DORA auf dem Vormarsch: Die neue EU-Verordnung zur Cyberresilienz im Finanzsektor”.
In diesem Beitrag gehen wir nun gezielt auf die Pflichten ein, die sich aus Compliance- und Vertragsmanagement-Sicht für Finanzunternehmen ergeben.
Sorgfaltspflichten der Geschäftsführung
Der Geschäftsführung von Finanzunternehmen obliegt die Letztverantwortung für die Einhaltung der Vorschriften, schreibt die Verordnung vor: „Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen.“¹
Zu den Pflichten der Geschäftsführung gehören unter anderem:
- Die Aufstellung von Leitlinien zur Aufrechterhaltung hoher Standards bezüglich der Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit der Daten.
- Die Ausarbeitung und Genehmigung der Strategie zur „digitalen operationalen Resilienz“² und die Festlegung der Toleranzschwellen für das IKT-Risiko im Einklang mit der Risikobereitschaft des Finanzunternehmens.
- Die Autorisierung und Überwachung der IKT-Geschäftsfortführungsleitlinie sowie der IKT-Reaktions- und Wiederherstellungspläne.
- Die Genehmigung und kontinuierliche Überprüfung der internen Revisionspläne, der IKT-Revision sowie der Leitlinien in Bezug auf Vereinbarungen mit IKT-Drittdienstleistern.
- Die Verteilung entsprechender Budgetmittel für das IKT-Risikomanagement inklusive Schulungen und Sensibilisierungsprogramme für die Belegschaft.
- Die Absolvierung regelmäßiger Fachschulungen, um IKT-Risiken und deren Folgen einschätzen zu können.
Bei Nichteinhaltung der Vorschriften können die zuständigen Finanzaufsichtsbehörden „Mitgliedern des Leitungsorgans sowie anderen natürlichen Personen, die nach nationalem Recht für den Verstoß verantwortlich sind, vorbehaltlich der nach nationalem Recht geltenden Bedingungen verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen auferlegen“.³
Strengere Vorschriften bei Vertragsabschlüssen mit Drittdienstleistern
Bei Vertragsschlüssen mit IKT-Dienstleistern gibt die EU hohe Anforderungen in Bezug auf die Informationssicherheit vor. Betreffen die Vereinbarungen kritische oder wichtige Funktionen, müssen Finanzunternehmen im Vorhinein prüfen, ob jene Anbieter „die aktuellsten und höchsten Qualitätsstandards für Informationssicherheit anwenden“.⁴
Auch inhaltlich legt die DORA-Verordnung einige Vorgaben fest. Die Vereinbarungen müssen insbesondere folgende Details enthalten:
- Umfassende Beschreibung sämtlicher Funktionen, IKT-Dienstleistungen sowie der Dienstleistungsgüte
- Datenschutzregelungen hinsichtlich Vertraulichkeit, Authentizität, Integrität und Verfügbarkeit der Informationen
- Verpflichtung des Anbieters, das Finanzunternehmen bei Auftreten eines IKT-Vorfalls zu unterstützen, der mit einer für das Finanzunternehmen bereitgestellten Dienstleistung in Verbindung steht
- Bestimmungen für IKT-Drittdienstleister, an Sensibilisierungsprogrammen und Schulungen für IKT-Sicherheit und Cyberresilienz von Finanzunternehmen teilzunehmen
- Wichtige Kündigungsgründe, etwa die verpflichtende Kündigung bei Verstoß des IKT-Drittdienstleisters gegen Gesetze, Vertragsbedingungen oder sonstige Vorschriften
- Kündigungsrechte und damit einhergehende Mindestkündigungsfristen
Im Falle einer Beauftragung bleiben die Finanzunternehmen zu jeder Zeit und in vollem Umfang für die Erfüllung aller Vorgaben verantwortlich.
Nachvollziehbare Dokumentation und Berichtspflichten
Sämtliche Maßnahmen zur Absicherung der digitalen operationalen Resilienz sind von den Finanzunternehmen nachvollziehbar und revisionssicher zu dokumentieren. Die Finanzaufsichtsbehörde hat das Recht, alle Informationen bei Bedarf vorgelegt zu bekommen.
Zusätzlich muss jährlich oder situationsbedingt (bei schwerwiegenden⁵ IKT-Vorfällen, auf aufsichtsrechtliche Anweisung sowie als Resultat von Tests und Audits) eine Neubewertung und Berichterstattung zu einzelnen Punkten erfolgen. Darunter fallen unter anderem die IKT-relevanten Rollen und Funktionen im Betrieb, der IKT-Risikomanagementrahmen sowie das IKT-Risiko der Dienstleister. Auch alle kritischen und wichtigen IKT-Systeme sind regelmäßig einer Überprüfung bezüglich ihrer Betriebsstabilität durch unabhängige interne oder externe Personen zu unterziehen.
Hinsichtlich des Vertragsbestands verpflichten sich Finanzunternehmen dazu, ein Informationsregister über sämtliche Vereinbarungen mit IKT-Drittdienstleistern zu führen. Dabei erfolgt eine Kategorisierung danach, ob jene Leistungen eine kritische oder wichtige Funktion erfüllen, oder nicht. Auf Anfrage müssen die Verantwortlichen den Behörden das gesamte oder einen bestimmten Auszug aus dem Informationsregister zur Verfügung stellen. Ergänzend besteht die Vorschrift, jährlich die Anzahl neuer Verträge sowie die entsprechende Einstufung der IKT-Drittdienstleister zu reporten. Welche nationale Behörde als zentrale Meldestelle fungiert, ist von den jeweiligen EU-Mitgliedsstaaten zu definieren.
Fazit: Notwendigkeit der Automatisierung
Für die Erfüllung der DORA-Verordnung müssen Finanzunternehmen auf unterschiedlichen Ebenen tätig werden. Diese reichen weit über die direkten Maßnahmen des IKT-Risikomanagements (wie die Erhebung und Bewertung der Risiken der aktuellen IT-Systeme und Drittdienstleister, die Definition von Maßnahmen bei Auftreten eines Vorfalls, das Controlling etc.) hinaus.
Speziell die hohen Anforderungen an das Vertragsmanagement, darunter die strengen Vorgaben der Vertragsinhalte sowie die damit verbundenen Nachweispflichten, wirken sich erheblich auf die betriebsinternen Prozesse aus. Mit manuellen Werkzeugen ist der Aufwand, der auf die Unternehmen zukommt (vor allem in Vorbereitung auf Audit- und Prüfsituationen), nur schwer zu bewerkstelligen.
Ein smartes digitales Vertragsmanagement-Tool unterstützt hier auf unterschiedlichen Handlungsebenen erheblich, darunter bei der
- revisionssicheren Dokumentation sämtlicher Informationen,
- nachweislichen Durchführung vorgeschriebener Due Diligence-Aktivitäten,
- Einhaltung aller vertraglichen Vorgaben,
- standardisierten Berichtserstellung und
- Beantwortung von Ad-hoc-Anfragen.
Wie Sie diese Bestimmungen von DORA mit Fabasoft Contracts umsetzen, lesen Sie im nächsten Blog.
¹ Art 5 Abs 2 DORA
² Art 3 DORA: „,Digitale operationale Resilienz‘ die Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen.“
³ Art 50 Abs 5 DORA
⁴ Art 28 Abs 5 DORA
⁵ Art 3 DORA: „,Schwerwiegender IKT-bezogener Vorfall‘ ein IKT-Vorfall, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen.“
