Resilienz digitaler Systeme und der Infrastruktur

Um ein hohes gemeinsames Niveau digitaler operationaler Resilienz zu erreichen, begründet die DORA einheitliche Anforderungen für Finanzunternehmen in folgenden Bereichen:

• Risikomanagement bzgl. Informations- und Kommunikationstechnologien (IKT), inkl. Anforderungen an die Organisationsstruktur zur Prävention, Behandlung anomaler IKT-Vorfälle sowie zur Wiederherstellung des IKT-Betriebs.
• Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, insb. Meldung schwerwiegender IKT-bezogener Vorfälle und zahlungsbezogener Betriebs- oder Sicherheitsvorfälle sowie — auf freiwilliger Basis — erheblicher Cyberbedrohungen.
• Tests der digitalen operationalen Resilienz insb. zur Vorbereitung auf IKT-bezogene Vorfälle, u.a. durch regelmäßige Durchführung von Tests der digitalen operationalen Resilienz, inklusive bedrohungsorientierter Penetrationstests (TLPT — Threat-Led Penetration Testing).
• Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen.
• Maßnahmen in Bezug auf die Nutzung von IKT-Dienstleistern (IKT-Drittparteienrisikos), insb. Risiken aus (Unter-)Auslagerungen. IKT-Dienstleistungen sind alle digitalen Dienste und Datendiensten, die über IKT-Systeme dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, mit Ausnahme herkömmlicher analoger Telefondienste.

Erleichterungen greifen für u.a. kleine und nicht verflochtene Wertpapierfirmen (vereinfachter ITK-Risikomanagementrahmen) sowie für Kleinstunternehmen.

Finanzunternehmen sind gehalten, IKT-Drittparteienrisiken solide zu managen und Schlüsselprinzipien zu beachten. So regelt die DORA u.a. Anforderungen an IKT-Verträge, z.B. in Bezug auf die vollständige Beschreibung der Dienste, Angaben zu den Orten, an denen Daten verarbeitet werden, vollständige Leistungsbeschreibungen mit quantitativen und qualitativen Leistungszielen sowie Kündigungsrechte und Ausstiegsstrategien.

Kritische IKT-Dienstleister werden einem Überwachungsrahmen bei der Erbringung von Dienstleistungen für Finanzunternehmen unterstellt. Gegenstand ist die Bewertung, ob der Drittdienstleister über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management von IKT-Risiken verfügt. Hierzu gehören u.a. Maßnahmen zur physischen Sicherheit der Systeme als auch deren Verfügbarkeit, Skalierbarkeit, Kontinuität und Qualität. Hoheitliche Maßnahmen können direkt gegenüber dem IKT-Dienstleister ergriffen werden.

Die Einstufung eines IKT-Dienstleisters als kritisch erfolgt durch die europäischen Aufsichtsbehörden. Nicht als kritisch gelten u.a. Finanzunternehmen, die selbst IKT-Dienstleistungen erbringen, und IKT-Dienstleister, die nur gruppenintern tätig sind.

Finanzunternehmen dürfen künftig nur dann die Dienstleistungen eines als kritisch eingestuften IKT-Drittdienstleisters mit Sitz in einem Drittland in Anspruch nehmen, wenn der Dienstleister innerhalb von 12 Monaten nach der entsprechenden Einstufung ein Tochterunternehmen in der Union gründet. Aufsichtsbehörden können an Standorten in einem Drittland, die sich im Eigentum eines kritischen IKT-Drittdienstleisters befinden oder von ihm genutzt werden, auch direkt Maßnahmen ergreifen.

ZurückWeiter