Betriebsstabilität im Finanzsektor

Die Verordnung über die Betriebsstabilität digitaler Systeme im Finanzsektor (DORA) schafft einheitliche Anforderungen für die Betriebsstabilität von Netz- und Informationssystemen (IKT). Ein kohärenter Rechtsrahmen mit gleichen Wettbewerbsbedingungen soll in der EU geschaffen werden. Die DORA liegt aktuell im Entwurf vor. Dieser Beitrag gibt einen Überblick über ihre Inhalte.

Aufsicht über Auslagerungsunternehmen

Für kritische IKT-Drittanbieter, z.B. Auslagerungsunternehmen, soll durch die DORA ein selbständiger Aufsichtsrahmen geschaffen werden, diese Unternehmen erstmals direkt unter Aufsicht stellt. Informationsersuchen, Vor-Ort-Prüfungen und hoheitliche Maßnahmen können dann direkt auch gegenüber dem Drittanbieter ergehen.

Inhalte im Überblick

Von der Verordnung betroffen sind die Finanz- und Versicherungsindustrie, Asset Manager sowie in diesem Bereich tätige Dienstleister, z.B. Rating-Agenturen, Administratoren kritischer Benchmarks, Abschlussprüfer und Prüfungsgesellschaften sowie Verbriefungsregister. Erfasst werden auch Krypto-Dienstleister und Emittenten von Kryptowerten. Inhaltlich differenziert die Verordnung nach der Größe des betroffenen Finanzunternehmens und enthält Ausnahmen für Kleinstunternehmen.

Die DORA misst Leitungsorganen künftig eine entscheidende und aktive Rolle bei der Steuerung des Rahmens für das IKT-Risikomanagement zu. Die Organmitglieder sind unter anderem verpflichtet, Strukturen mit klaren Rollenverteilungen und Zuständigkeiten für alle IKT-bezogenen Funktionen zu entwickeln.

Geregelt wird in der DORA auch der Mindestinhalt von IT-Verträgen, insbesondere bei Auslagerungen. So sind u.a. eine vollständige Beschreibung der Dienste, Angaben zu den Orten, an denen Daten verarbeitet werden sollen, vollständige Leistungsbeschreibungen mit quantitativen und qualitativen Leistungszielen sowie unmissverständliche Kündigungsrechte und spezielle Ausstiegsstrategien vertraglich zu regeln.

Insight

„[…] in der Verordnung [wird] anerkannt, dass zwischen Finanzunternehmen in Bezug auf Größe, Unternehmensprofile oder das Ausmaß digitaler Risiken erhebliche Unterschiede bestehen. Da größere Finanzunternehmen über mehr Ressourcen verfügen, müssen nur Finanzunternehmen, die nicht als Kleinstunternehmen gelten, beispielsweise komplexe Governance-Regelungen und spezielle Verwaltungsfunktionen einführen und nach größeren Veränderungen an Netz- und Informationssysteminfrastrukturen eingehende Bewertungen sowie regelmäßige Risikoanalysen bei IKT-Altsystemen durchführen und die Prüfung von Plänen für Betriebskontinuität, Gegenmaßnahmen und Wiederherstellung ausweiten, um Szenarien für die Umstellung von ihrer primären IKT-Infrastruktur auf redundante Einrichtungen zu konzipieren. Darüber hinaus werden nur Finanzunternehmen, die für die Zwecke einer erweiterten Prüfung der digitalen Resilienz als bedeutend eingestuft wurden, bedrohungsorientierte Penetrationstests durchführen müssen.“ (Auszug Gesetzesmaterialien zur DORA)