Digitale operative Resilienz im Finanzsektor

Resilienz ist für Menschen sehr hilfreich: Die Ressource der Widerstandsfähigkeit ermöglicht es ihnen, belastende Umstände zu meistern, Störungen zu verkraften und gut mit negativen Ereignissen umzugehen. Auch IT-Systeme sollten stabil sein, vor allem im Finanzsektor – können doch Cyberangriffe, aber auch sonstige schwerwiegende IT-Störungen gravierende Auswirkungen haben auf betroffene Unternehmen, deren Kunden und auf die gesamte Stabilität des Finanzsystems. Um die Geschäftsstrategien von Finanzunternehmen und das Risikomanagement bei der Informations- und Kommunikationstechnik (IKT) besser aufeinander abzustimmen, hatte die EU-Kommission im September 2020 einen Verordnungsvorschlag zur sog. "Cyberresilienz" im Finanzsektor vorgelegt, den Digital Operational Resilience Act (DORA).
Der Digital Operational Resilience Act (DORA) wird zusätzliche Anforderungen an das Risikomanagement der Informations- und Kommunikationstechnik von Finanzunternehmen stellen. Beim daraus entstehenden Prüfungs- und Beratungsbedarf werden Wirtschaftsprüferinnen und Wirtschaftsprüfer gefragt sein. Ob diese in eigener Sache ebenfalls ein entsprechendes Risikomanagement werden betreiben müssen, soll nach dem Inkrafttreten von DORA in einer späteren Überprüfungsphase geklärt werden.
Wie man sich bei Kreditinstituten innerhalb und außerhalb der Abschlussprüfung mit Cyberrisiken derzeit auseinandersetzt, thematisiert das IDW Knowledge Paper „Cyberrisk Teil 2“.
Abschlussprüfer fallen nicht mehr in den Anwendungsbereich
Die Verordnung soll für nahezu alle Finanzunternehmen wie Banken, Versicherungen, aber auch Anbieter von Krypto-Dienstleistungen gelten. Abschlussprüfer und Prüfungsgesellschaften werden vorerst nicht betroffen sein. Dieses Ergebnis wurde in den Trilogverhandlungen zwischen EU-Kommission, EU-Parlament und dem Europäischen Rat erzielt (vgl. IDW aktuell vom 12.05.2022). Allerdings soll die mögliche Einbeziehung bei einer späteren Überprüfung von DORA innerhalb eines Zeitraums von drei Jahren erneut betrachtet werden.
Anforderungen an das IKT Risikomanagement
DORA legt Anforderungen an das Risikomanagement der Informations- und Kommunikationstechnik von Finanzunternehmen fest, u.a. zu den Bereichen
- IKT-Systeme, -Protokolle und -Instrumente
- Schutz und Prävention
- Erkennung
- Gegenmaßnahmen und Wiederherstellung
- Strategien für Datensicherung und Wiederherstellungsverfahren
- Lernprozesse und Weiterentwicklung
- Kommunikation
Verantwortlich für die Definition, Genehmigung und Überwachung des Risikomanagementrahmens ist die Leitung des Unternehmens.
Meldung und Prüfung
Außerdem müssen Finanzunternehmen eine Vorgehensweise festlegen, wie sie IKT-bezogene Vorfälle mittels Frühwarnindikatoren erkennen, bewältigen und in schwerwiegenden Fällen an die zuständigen Behörden melden. DORA enthält auch Vorgaben zu regelmäßigen Tests der operativen Resilienz, einschließlich von Penetrationstests, die im Live-Modus durchgeführt werden (Kleinstunternehmen sind ausgenommen).
Ferner ist eine Prüfung der digitalen Betriebsstabilität vorgesehen: alle kritischen IKT-Systeme müssen mindestens einmal jährlich von unabhängigen internen oder externen Parteien geprüft werden. DORA betrachtet auch das Risiko durch Drittanbieter von IKT-Systemen. Die Verordnung legt fest, dass die Haftung auch bei Einbeziehung von Dritten weiterhin beim Finanzunternehmen verbleibt. Finanzunternehmen müssen eine Strategie für das Risiko durch Drittanbieter verabschieden und regelmäßig überprüfen. Bereits vor einem Vertragsabschluss über die Nutzung von IKT-Diensten hat das Finanzunternehmen bestimmte Pflichten zu beachten, u.a. muss es einen geeigneten Auswahl- und Bewertungsprozess einhalten und etwaige Interessenskonflikte ermitteln.
Geschäftsfeld Prüfung oder Beratung für Wirtschaftsprüfende
DORA verpflichtet die Finanzunternehmen, sich umfassend mit ihrem IKT Risikomanagement auseinanderzusetzen und entsprechende Systeme einzurichten und deren Funktionsfähigkeit sicherzustellen. Außerdem sieht die EU-Verordnung eine jährliche Prüfungspflicht für kritische IKT-Systeme und -Anwendungen vor. In diesen Bereichen dürften Unternehmen auf die Expertise von Wirtschaftsprüfer*innen zurückgreifen, sei es bei Beratungs- oder bei Prüfungsleistungen.
Im Mai 2022 haben sich der Rat der EU, die EU-Kommission und das Europäische Parlament vorläufig über DORA geeinigt. Im November 2022 haben das Europäische Parlament und der Rat die Verordnung angenommen. Neben der DORA-Verordnung gehören zum DORA-Rahmenwerk auch delegierte Verordnungen sowie die von den zuständigen EU-Aufsichtsbehörden zu erstellenden Leitlinien, technischen Regulierungs- und Durchführungsstandards. Die Verordnung wird zwei Jahre nach ihrem Inkrafttreten anwendbar sein.