Was ist DORA?
DORA steht für Digital Operational Resilience Act. DORA ist eine auf Finanzinstitute ausgerichtete EU-Verordnung, die EU-weit einheitliche Anforderungen festlegt, um einen einheitlichen Reifegrad der Cybersicherheit und der betrieblichen Widerstandsfähigkeit für alle ihre Tätigkeiten innerhalb der EU zu gewährleisten.
DORA ist auf vier Grundprinzipien aufgebaut:
- IT- und Cybersicherheits-Risikomanagement: Finanzinstitute sollen verpflichtet werden, ihre IT- und Cybersicherheitsrisiken zu ermitteln, zu bewerten und zu beaufsichtigen. Die Verordnung verpflichtet Institute dazu Strategien und Verfahren zum Schutz ihrer Systeme und Daten vor Cyberbedrohungen zu formulieren.
- Management der Geschäftskontinuität: Die Finanzinstitute müssten gründliche Pläne zur Aufrechterhaltung des
Geschäftsbetriebs erstellen, um sicherzustellen, dass sie in der Lage sind, ihren Kunden auch bei Betriebsunterbrechungen Dienstleistungen zu erbringen. Dies beinhaltet die Implementierung von Backup-Systemen, alternativen Kommunikationskanälen und Notfallplänen. - Beaufsichtigung und Überwachung: Die Verordnung zielt darauf ab, einen Rahmen für Aufsichts- und Überwachungsbehörden zu schaffen, um die operative Widerstandsfähigkeit von Finanzinstituten zu bewerten und zu überwachen. Dies bedeutet, dass die Aufsichtsbehörden die Befugnis erhalten, Inspektionen durchzuführen, Informationen anzufordern und gegebenenfalls Sanktionen zu verhängen.
- Überwachung von IKT-Risiken Dritter: Finanzinstitute müssen die Risiken von Drittanbietern, wie z.B. Cloud-Anbietern, überwachen und managen und sicherstellen, dass ihre Maßnahmen zur digitalen Resilienz auch den DORA-Anforderungen entsprechen.
Da es sich bei DORA um eine Verordnung und nicht um eine Richtlinie handelt, ist sie in allen ihren Teilen verbindlich und gilt unmittelbar in allen EU-Mitgliedstaaten. Die DORA ist am 16. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 gelten.
Verantwortung des Managements um Pflege der aktuellen SBOM
Das Leitungsorgan, z. B. der Vorstand in Banken, ist für das IKT-Risikomanagement verantwortlich. Artikel 5 beauftragt das Leitungsorgan, den IKT-Risikomanagementrahmen festzulegen, zu genehmigen und zu beaufsichtigen. Dies beinhaltet die letztendliche Verantwortung für das IKT-Risikomanagement und die Genehmigung der Strategie für die digitale operationelle Widerstandsfähigkeit. Die Mitglieder des Leitungsorgans des Finanzinstituts müssen sich durch regelmäßige IKT-spezifische Schulungen auf dem Laufenden halten, um die Risiken und ihre Auswirkungen auf die Geschäftstätigkeit des Finanzinstituts zu verstehen und zu bewerten, was ohne umfassende SBOM (Software bill of materials), die die von den Finanzinstituten verwendeten Softwarekomponenten dokumentieren, unmöglich ist.
Wer ist von DORA betroffen?
DORA gilt im Allgemeinen für alle beaufsichtigten Finanzunternehmen in der EU, einschließlich IKT-Drittdienstleistern, mit nur wenigen Ausnahmen. Sie umfasst verschiedene Einrichtungen des Finanzsektors, darunter Zahlungsinstitute, Vermögensverwaltungsgesellschaften, Ratingagenturen sowie IKT- und kryptobezogene Dienstleister. Es gibt zwar Raum für individuelle Ausnahmen, wie z. B. im Fall von Förderbanken, doch können diese auf nationaler Ebene festgelegt werden.
Darüber hinaus werden auch kritische dritte IKT-Dienstleister durch die Verordnung reguliert. Für jeden kritischen IKT-Dienstleister wird ein federführender Prüfer benannt. Im folgenden sind die betroffenen Stellen zusammengefasst:
- Finanzinstitute
Kreditinstitute, Zahlungsinstitute, Anbieter von Kontoinformationsdiensten,, E-Geld-Institute, Zentrale Wertpapierverwahrungsstellen, Zentrale Gegenparteien, Wertpapierfirmen, Anbieter von Kryptoasset-Dienstleistungen, Handelsplätze, Trade repositories, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Anbieter von Datenübermittlungsdiensten,Versicherungs- und Rückversicherungsunternehmen, Einrichtungen der betrieblichen Altersversorgung, Rating-Agenturen, Verwalter von kritischen Benchmarks, Crowdfunding Dienstleister, Verwahrstellen für Verbriefungen - IKT-Diensteanbieter
Ein IKT-Drittdienstleister ist ein Unternehmen, das IKT-Dienstleistungen anbietet. IKT-Dienstleistungen umfassen digitale und datentechnische Dienstleistungen, die über IKT-Systeme kontinuierlich an interne oder externe Nutzer geliefert werden. Dazu gehören auch Hardware als Dienstleistung und Hardware-Dienstleistungen, die technische Unterstützung durch Software- oder Firmware-Updates durch den Hardware-Anbieter beinhalten. Insbesondere sind herkömmliche analoge Telefondienste vom Anwendungsbereich der IKT-Dienstleistungen ausgeschlossen.
Wer ist von der DORA befreit?
Nach der vorläufigen Einigung werden die Wirtschaftsprüfer nicht sofort der DORA unterworfen, sondern in eine spätere Überprüfung der Verordnung einbezogen. Diese Überprüfung kann möglicherweise zu einer erneuten Prüfung und Überarbeitung der Vorschriften für Wirtschaftsprüfer führen.
Welche Auswirkungen hat die DORA auf die Finanzinstitute?
Es wird erwartet, dass DORA einen tiefgreifenden Einfluss auf die in der Europäischen Union tätigen Finanzinstitute haben wird. Im Folgenden sind einige Beispiele für diesen Einfluss aufgeführt:
- Erhöhte Kosten für die Einhaltung der Vorschriften: Es müssen zusätzliche Ressourcen, Verfahren und Systeme eingerichtet werden, um die neuen Anforderungen der Verordnung zu erfüllen.
- Verstärkte aufsichtsrechtliche Überwachung: Die Verordnung räumt den Aufsichtsbehörden erweiterte Befugnisse zur Überwachung und Bewertung der operativen Widerstandsfähigkeit von Finanzinstituten ein, was zu einer verstärkten aufsichtsrechtlichen Überwachung und potenziell häufigeren und strengeren aufsichtsrechtlichen Prüfungen führt.
- Änderungen der Geschäftspraktiken: Einige Institute müssen beispielsweise ihre Outsourcing-Vereinbarungen überprüfen und aktualisieren, ihre Cybersicherheitsmaßnahmen verstärken und ihre Geschäftskontinuitätspläne verbessern.
- Betonung des Risikomanagements: Die Verordnung verpflichtet die Finanzinstitute, einen soliden Rahmen für das Risikomanagement zu schaffen, der die Entwicklung und Umsetzung strengerer Risikomanagementprozesse und -verfahren erfordert.
Wie wird DORA durchgesetzt, wenn eine Nichteinhaltung festgestellt wird?
- Geldbußen: Finanzinstitute können mit Geldbußen von bis zu 10 Millionen Euro oder 5 % ihres gesamten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.
- Abhilfemaßnahmen: Die Aufsichtsbehörden sind befugt, die Finanzinstitute zur Durchführung von Abhilfemaßnahmen zu verpflichten, um etwaige Mängel oder Unzulänglichkeiten in ihrer operationellen Widerstandsfähigkeit zu beheben.
- Öffentliche Warnungen: Die Aufsichtsbehörden können Finanzinstitute, die die Anforderungen der Verordnung nicht erfüllen, öffentlich verwarnen.
- Aussetzung: Die Aufsichtsbehörden können die Zulassung von Finanzinstituten aussetzen oder entziehen, die die Anforderungen der Verordnung wiederholt nicht erfüllen.
- Rückerstattungen: Finanzinstitute können verpflichtet werden, Kunden oder Dritte für Schäden zu entschädigen, die durch die Nichteinhaltung der Vorschriften entstehen.
Wie lange haben die Finanzinstitute Zeit, die DORA-Vorschriften umzusetzen?
DORA räumt den Finanzinstituten eine zweijährige Vorbereitungszeit (2023 und 2024) ein, um ihre Governance und Praktiken an die Resilienzsäulen der Verordnung anzupassen und einen Fahrplan für die Umsetzung zu entwickeln. Die Verordnung wird voraussichtlich Anfang 2025 in Kraft treten. Bis dahin müssen Berichterstattung, Bewertung und Tests abgeschlossen sein.
Wie wirkt sich DORA auf die Verwendung von Open Source aus?
Bei der Nutzung von Open-Source-Bibliotheken liegt es in der Verantwortung des Finanzinstituts, das mit diesen Bibliotheken verbundene Risiko zu verfolgen und zu überwachen.
Im Folgenden finden Sie einige Auszüge aus der DORA-Verordnung zu den oben genannten Punkten:
(44) Um eine robuste digitale Betriebsstabilität zu erreichen …, sollten Finanzunternehmen ihre IKT-Systeme … regelmäßig … überprüfen, um potenzielle IKT-Schwachstellen aufzudecken und zu beseitigen. … sollten die Tests eine breite Palette von Instrumenten und Maßnahmen umfassen, die von der Bewertung grundlegender Anforderungen (z. B. Bewertungen und Überprüfungen der Anfälligkeit, Analysen von Open-Source-Software, Bewertungen der Netzsicherheit, Lückenanalysen Analysen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen,Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests oder End-to-End-Tests) bis hin zu erweiterten Prüfungen … reichen…
Als Grundlage hierfür schriebt „Artikel 7: Identifizierung“, vor:
(1) Als Teil des IKT-Risikomanagementrahmens gemäß Artikel 5 Absatz 1 identifizieren, klassifizieren und dokumentieren Finanzunternehmen angemessen alle IKT-bezogenen Unternehmensfunktionen, die Informationsressourcen, die diese Funktionen unterstützen, sowie die Konfigurationen und Vernetzungen des IKT-Systems mit internen und externen IKT-Systemen…Ebenso überprüfen Finanzunternehmen erforderlichenfalls, mindestens jedoch einmal jährlich, ob die Klassifizierung der Informationsressourcen und jeglicher einschlägigen Unterlagen angemessen ist.
DORA-Anforderungen an aktuelle Software-Stücklisten
Gemäß Artikel 15 DORA werden die Europäischen Aufsichtsbehörden (ESAs) beauftragt, technische Regulierungsstandards (RTS) zu entwickeln. Die ESAs haben ein Konsultationspapier erstellt, in dem gemäß Artikel 10 die folgenden Maßnahmen vorgeschlagen werden:
- a) Ermittlung und Aktualisierung relevanter und vertrauenswürdiger Informationsquellen, um ein Bewusstsein für Schwachstellen zu schaffen und aufrechtzuerhalten;
- b) die Durchführung automatisierter Schwachstellen-Scans und -Bewertungen von IKT-Vermögenswerten entsprechend ihrer Klassifizierung und dem Gesamtrisikoprofil des IKT-Vermögensswerts sicherzustellen. Bei denjenigen, die kritische oder wichtige Funktionen unterstützen, wird dies mindestens wöchentlich durchgeführt.
- c) sicherzustellen, dass IKT-Drittdienstleister alle Schwachstellen im Zusammenhang mit den für das Finanzinstitut erbrachten IKT-Dienstleistungen behandeln und dem Finanzinstitut melden. Insbesondere verlangen die Finanzinstitute von den IKT-Drittdienstleistern, dass sie die betreffenden Schwachstellen untersuchen, die Ursache ermitteln und geeignete Lösungen umsetzen;
- d) die Nutzung von Bibliotheken von Drittanbietern, einschließlich Open-Source-Bibliotheken, , zu verfolgen und die Version und mögliche Aktualisierungen zu überwachen;
- e) Verfahren für die verantwortungsbewusste Offenlegung von Schwachstellen gegenüber Kunden und Geschäftspartnern sowie gegebenenfalls gegenüber der Öffentlichkeit einrichten;
Diese Anforderungen unterstreichen die zunehmende Bedeutung automatischer Schwachstellen-Scans und der Behebung von Schwachstellen. Wöchentliche Scans sind jetzt obligatorisch. Das Risiko in der Lieferkette wird stärker in den Mittelpunkt gerückt, wobei die Beseitigung von Schwachstellen durch Patches Vorrang hat.
Wie kann Bitsea helfen?
Die DORA führt eine Reihe neuer Anforderungen an Finanzunternehmen im Bereich der Cybersicherheit ein. Von nun an sind die Finanzinstitute nicht nur für ihre eigene IKT verantwortlich, sondern müssen auch die Risiken für die von den Finanzinstituten genutzten Drittanbieter verwalten.
Einer der wichtigsten Bereiche, den jedes Finanzinstitut genau im Blick haben sollte, ist die Software-Lieferkette. Dazu gehört auch die Nutzung von Open Source: Finanzinstitute müssen Komponenten identifizieren, verwalten, Sicherheitslücken verfolgen und Patches installieren. Um die Schwachstellenanalyse zu erleichtern, sollten die Hersteller die in den Produkten enthaltenen Komponenten mit digitalen Elementen identifizieren und dokumentieren, unter anderem durch die Erstellung einer Software-Stückliste (SBOM).
Bitsea unterstützt Sie in allen Aspekten des Open-Source-Managements. Bitsea hat mehr als ein Jahrzehnt Erfahrung darin, Unternehmen dabei zu helfen, ihren Code zu verstehen und enthaltene Komponenten aufzubereiten.
Darüber hinaus bietet Bitsea:
- Identifizierung von Sicherheitsschwachstellen in SBOM.
- Verwaltung der SBOM: Sie werden benachrichtigt, wenn eine neue Sicherheitslücke in einer Komponente ihrer SBOM entdeckt wird.
- Einrichtung einer Werkzeugkette zur automatischen Analyse.
- Verwalten von FOSS-Daten: Zuordnung welche Komponenten in welchen Softwaresystem genutzt werden.
- Unterstützung bei ISO 5230 & ISO 18974: Vorbereitung auf die Zertifizierung.