04.09.2024
Open Source
Amy Jaqueline Wittmann
Frau Wittman ist Anwältin in München und Partner von Bitsea.
Um die digitale operative Widerstandsfähigkeit zu verbessern, hat die Europäische Kommission im Rahmen ihres Digital Finance Package 2020 den Digital Operational Resilience Act (Verordnung (EU) 2022/2554 – „DORA“) eingeführt. Derzeit sind die Vorschriften zur digitalen Widerstandsfähigkeit über verschiedene sektorspezifische EU- Gesetze und -Richtlinien verstreut (z. B. MiF II, CRD, PSD2, Leitlinien der Europäischen Aufsichtsbehörden oder „ESAs“ und andere Bankenvorschriften der EU-Mitgliedstaaten), was zu Regulierungslücken und Unsicherheiten führt, die DORA zu beseitigen versucht.
Die DORA, die am 17. Januar 2025 in Kraft treten soll, erlegt Finanzinstituten in fast allen Sektoren neue Verpflichtungen für das Management von Risiken und Vorfällen im Bereich der Informations- und Kommunikationstechnologie (IKT) auf, die sie einhalten müssen.
Anwendungsbereich
DORA ist eine wichtige EU-Verordnung, die sowohl Finanzinstitute als auch IKT- Dienstleister betrifft. Kritische Drittanbieter von IKT-Dienstleistungen (Critical Third Party ICT Service Providers, CTPPs) werden direkten Verpflichtungen unterliegen, einschließlich der Einhaltung der neuen Vorschriften und der Aufsicht durch die Finanzaufsichtsbehörden. Andere IKT-Dienstleister werden zwar nicht direkt als CTPPs eingestuft, sind aber dennoch betroffen, insbesondere durch ihre vertraglichen Beziehungen mit Finanzunternehmen, die möglicherweise aktualisiert werden müssen, um den umfassenderen DORA-Standards zu entsprechen.
Dies bedeutet, dass Finanzdienstleister, Technologieunternehmen und Fintechs sowohl innerhalb als auch außerhalb der EU betroffen sind, wenn sie Dienstleistungen in der EU erbringen, die unter DORA fallen. Dies könnte z.B. Nicht-EU-Unternehmen betreffen, die Datenanalysen für Finanzinstitute in der EU durchführen, wie z.B:
- Kreditinstituten (Banken).
- Wertpapierfirmen, die Vermögensverwaltung oder Finanzberatung anbieten.
- Verwalter alternativer Investmentfonds und OGAW-Verwaltungsgesellschaften, die Organismen für gemeinsame Anlagen beaufsichtigen.
- Versicherungs- und Rückversicherungsunternehmen sowie Versicherungsvermittler, die Risiken verwalten und Versicherungspolicen vertreiben.
- Zahlungsinstitute und E-Geld-Institute, die elektronische Zahlungen ermöglichen und digitale Währungen ausgeben.
- Kontoinformationsdienstleister, die Finanzdaten verarbeiten.
- Anbieter von Kryptoassets, die an Transaktionen mit Kryptowährungen beteiligt sind.
- Handelsplätze wie Aktienbörsen.
- Zentralverwahrer und zentrale Gegenparteien, die Wertpapiere verwalten und Transaktionen abwickeln.
- Transaktionsregister, die Transaktionsdaten speichern.
- Verbriefungsregister, die Daten über verbriefte Vermögenswerte verwalten.
- Datenmeldedienstleister, die die Einhaltung der Meldepflichten sicherstellen.
- Einrichtungen der betrieblichen Altersversorgung, die Pensionspläne verwalten.
- Crowdfunding-Dienstleister, die Peer-to-Peer-Finanzierungen ermöglichen.
- Rating-Agenturen, die die Kreditwürdigkeit bewerten.
- Verwalter kritischer Benchmarks, die die Zuverlässigkeit von Finanz-Benchmarks überwachen.
Die wichtigsten Anforderungen im Rahmen von DORA
- IKT-Risikomanagement: Finanzinstitute müssen einen umfassenden Rahmen für die Identifizierung, das Management und die Berichterstattung von IKT-Risiken schaffen, um ihre Widerstandsfähigkeit im digitalen Umfeld zu gewährleisten. Dazu gehört die Durchführung von Schwachstellenanalysen, Open-Source-Analysen und Bewertungen der Netzwerksicherheit, um potenzielle Risiken zu identifizieren und zu mindern. Nach Artikel 7 der DORA sind diese Stellen verpflichtet, die IKT-bezogenen Geschäftsfunktionen jährlich zu dokumentieren und zu überprüfen. Im Einklang mit der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA) sollten Organisationen umfassende Risikomanagementpraktiken einführen, einschließlich der Pflege einer Software- Bestandsliste (Software Bill of Materials, SBOM), um Schwachstellen in allen Softwarekomponenten zu identifizieren und zu beheben und so eine robuste Cybersicherheit und betriebliche Widerstandsfähigkeit zu gewährleisten.
- Kennen Sie Ihre Systeme: Gemäß Artikel 5 der RTS müssen die Verfahren für das Management von IKT-Assets die Kriterien für die Durchführung von Bewertungen der Kritikalität von Informations- und IKT-Assets, die Geschäftsfunktionen unterstützen, detailliert beschreiben. Dies beinhaltet die Berücksichtigung der IKT- Risiken im Zusammenhang mit diesen Geschäftsfunktionen und deren Abhängigkeit von Informationen oder IKT-Assets sowie die Auswirkungen eines Verlusts der Vertraulichkeit, Integrität oder Verfügbarkeit dieser Assets auf Geschäftsprozesse und Aktivitäten.
- Operative Widerstandsfähigkeitstests: Unternehmen sind verpflichtet, regelmäßige Tests der digitalen operativen Widerstandsfähigkeit durchzuführen, einschließlich fortgeschrittener bedrohungsbasierter Penetrationstests für größere Organisationen.
- Meldung von Vorfällen: Unternehmen müssen strenge Anforderungen erfüllen, um IKT-bezogene Vorfälle unverzüglich und präzise an die Aufsichtsbehörden zu melden.
- Anforderungen an die Meldung von Vorfällen: Jedes Unternehmen, das unter DORA fällt, muss sicherstellen, dass Meldeverfahren vorhanden sind, um größere IKT-bezogene Vorfälle an die zuständige Behörde und in bestimmten Fällen auch an Kunden zu melden. Das Meldeverfahren umfasst.
- Erstmedung innerhalb von 4 Stunden nach Einstufung eines Vorfalls als „schwerwiegend“, spätestens jedoch 24 Stunden nach Bekanntwerden des Vorfalls.
- Zwischenbericht innerhalb von 72 Stunden nach der ersten Meldung und einen aktualisierten Bericht ohne unnötige Verzögerung, sobald der normale Betrieb wieder aufgenommen wurde.
- Abschlussbericht innerhalb eines Monats nach dem letzten aktualisierten Zwischenbericht.
- Risikomanagement gegenüber Dritten: Finanzinstitute müssen sicherstellen, dass ihre IKT-Dienstleister, insbesondere kritische Drittanbieter, die neuen vertraglichen Verpflichtungen und Standards einhalten.
- Schwachstellen- und Patch-Management: Artikel 10 der RTS verlangt von den Finanzinstituten ein Schwachstellen- und Patch-Management für alle Systemkomponenten. Dazu gehören automatische Schwachstellen-Scans, insbesondere für kritische oder wichtige Funktionen, mindestens einmal pro Woche. Darüber hinaus müssen die Unternehmen sicherstellen, dass Drittanbieter von IKT-Dienstleistungen alle Schwachstellen im Zusammenhang mit den angebotenen IKT-Dienstleistungen behandeln und dem Finanzinstitut melden. Die Nachverfolgung der Nutzung von Bibliotheken Dritter, einschließlich Open Source, ist ebenso wichtig wie die Nachverfolgung ihrer Versionen und möglicher Updates.
- Verwaltung von Open Source Software (OSS): DORA fordert ausdrücklich die Entwicklung einer SBOM (Software Bill of Materials), insbesondere für Open Source Komponenten. Es liegt in der Verantwortung der Finanzinstitute, die Sicherheitspraktiken ihrer Open-Source-Software- Anbieter zu bewerten, die Herkunft und Pflege von Open-Source-Projekten zu beurteilen und sicherzustellen, dass diese keine Schwachstellen in kritische Systeme einbringen. Regelmäßige Schwachstellentests aller verwendeten Open-Source-Pakete sind angesichts der Häufigkeit neu entdeckter Schwachstellen obligatorisch. Dazu gehört auch die Bewertung aller temporär abhängigen Open-Source-Pakete, die selbst für die Entwickler nicht sofort ersichtlich sind.
- Überwachung und Erhaltung: Kritische Drittanbieter von IKT werden direkt von den Finanzbehörden überwacht, während andere Anbieter die Einhaltung der Vorschriften indirekt über ihre vertraglichen Beziehungen sicherstellen müssen.
DORA: Endgültiger RTS-Entwurf zu Outsourcing
Am 26. Juli 2024 haben die Europäischen Aufsichtsbehörden (ESAs) den finalen Entwurf der technischen Regulierungsstandards (RTS) zur Unterauftragsvergabe im Rahmen von DORA veröffentlicht. Unternehmen, die der DORA unterliegen, müssen sicherstellen, dass ihre Verträge bis zum Umsetzungsdatum am 17. Januar 2025 aktualisiert werden.
- Wichtige Bestimmungen zur Unterauftragsvergabe: Art. 30 DORA enthält einen Katalog von Mindestinhalten, die in Outsourcing-Verträgen mit IKT-Dienstleistern enthalten sein müssen. Diese Anforderungen gehen über die bestehende BCM- Outsourcing-Gesetzgebung hinaus und stellen sicher, dass Drittanbieter von IKT- 10 Dienstleistungen Notfallpläne implementieren und testen sowie über Maßnahmen, Werkzeuge und Richtlinien zur IKT-Sicherheit verfügen.
- IKT-Dienstleistungen für kritische Funktionen: IKT-Dienstleister, die kritische und wichtige Funktionen unterstützen, müssen Notfall- und Geschäftskontinuitätspläne implementieren, die den Anforderungen von Artikel 11 der DORA entsprechen. Diese Pläne müssen zusammen mit Service Level Agreements (SLAs) klar definiert und in Verträgen verbindlich vereinbart werden.
Technische Anforderungen gemäß DORA
Die Ergebnisse des Cyber-Resilience-Stresstests der Europäischen Zentralbank (EZB) werden derzeit diskutiert und werden voraussichtlich Einfluss auf die Finalisierung der DORA-Anforderungen haben, insbesondere im Hinblick auf KI-gesteuerte Sicherheitsmaßnahmen. Die Regulierungsbehörden haben die Notwendigkeit unterstrichen, zu bewerten, wie die bestehenden Rechtsvorschriften, z. B. das KI-Gesetz, die Datenschutz- Grundverordnung und DORA, mit potenziellen Sicherheitsrisiken durch KI umgehen.
Die technischen Anforderungen von DORA stellen erhebliche Anforderungen an IT- Abteilungen, insbesondere im Finanzdienstleistungssektor. Zu diesen Anforderungen gehört ein strenges Schwachstellenmanagement, das wöchentliche Schwachstellenscans für kritische Funktionen und die Durchführung von bedrohungsbasierten Penetrationstests (TLPT) mit Red-Teaming-Übungen alle drei Jahre gemäß den TIBER-EU-Richtlinien erfordert. IT- Abteilungen müssen außerdem Zwei-Faktor-Authentifizierung einführen und gründliche Risikobewertungen älterer IKT-Systeme durchführen, insbesondere solcher, die sich dem Ende ihres Support-Lebenszyklus nähern.
Fazit
Mit dem Näherrücken ihres Inkrafttretens am 17. Januar 2025 wird die DORA die Landschaft des IKT-Risikomanagements und der operativen Belastbarkeit im Finanz-, Technologie- und Fintech-Sektor neu gestalten. Durch die EU-weite Konsolidierung und Standardisierung der Vorschriften beseitigt DORA kritische Lücken und gewährleistet einen einheitlichen Ansatz für das digitale Risikomanagement. Finanzunternehmen und IKT-Dienstleister, sowohl innerhalb als auch außerhalb der EU, müssen ihre Prozesse proaktiv an die strengen Anforderungen von DORA anpassen, um mögliche Strafen bei Nichteinhaltung zu vermeiden und eine ununterbrochene Geschäftskontinuität zu gewährleisten.
Die vorliegende Checkliste dient als umfassender Leitfaden für Unternehmen, um sich im komplexen regulatorischen Umfeld von DORA zurechtzufinden. Mithilfe dieser Checkliste können Unternehmen ihr IKT-Risikomanagement systematisch bewerten und verbessern, robuste Protokolle für die Meldung von Vorfällen sicherstellen und solide Beziehungen zu Drittanbietern pflegen. Diese proaktiven Maßnahmen sind entscheidend für die Einhaltung von Vorschriften und den Schutz vor der wachsenden Bedrohung durch Cyberangriffe in der heutigen digitalen Wirtschaft.
Checkliste DORA:
- Anwendungsbereich und Anwesendbarkeit:
- Bestimmen Sie die Anwendbarkeit: Prüfen Sie, ob Ihr Unternehmen in den Anwendungsbereich von DORA fällt (z. B. Finanzinstitute, IKT-Dienstleister, Nicht-EU-Unternehmen, die Dienstleistungen wie Datenanalyse in der EU anbieten).
- Identifizieren Sie die betroffenen Dienstleistungen: Stellen Sie fest, welche Geschäftsfunktionen oder Dienstleistungen Ihres Unternehmens von DORA betroffen sind.
- IKT-Risikomanagement:
- ICT-Risikorahmen implementieren: Implementieren Sie ein umfassendes IKT-Risikomanagement-Rahmenwerk, das den DORA-Standards entspricht.
- ICT-Funktionen dokumentieren: Führen Sie eine Software-Bestandsliste (SBOM) für alle IKT-Systeme und sorgen Sie für regelmäßige Aktualisierungen und Überprüfungen.
- Durchführung von Bewertungen: Führen Sie regelmäßig Schwachstellenanalysen, Analysen von Open-Source-Software und Bewertungen der Netzwerksicherheit durch.
- Operative Resilienztests:
- Digitale Resilienztests: Planung und Durchführung regelmäßiger digitaler Resilienztests, einschließlich fortgeschrittener bedrohungsbasierter Penetrationstests (TLPT) für größere Organisationen.
- Kritische Funktionen testen: Stellen Sie sicher, dass kritische Geschäftsfunktionen regelmäßig getestet werden, um die DORA-Standards zu erfüllen.
- Berichterstattung über Vorfälle:
- Einrichten eines Berichtsrahmens: Implementieren Sie Prozesse für die Meldung größerer IKT-bezogener Vorfälle gemäß den DORA-Richtlinien:
- Erster Bericht: Innerhalb von 4 Stunden nach Einstufung des Vorfalls als „schwerwiegend“ oder innerhalb von 24 Stunden nach Bekanntwerden.
- Zwischenbericht: Aktualisierung des Berichts innerhalb von 72 Stunden nach der ersten Meldung, ggf. mit weiteren Aktualisierungen.
- Abschlussbericht: Vorlage eines Abschlussberichts innerhalb von 1 Monat nach dem letzten Zwischenbericht.
- Risikomanagement für Dritte:
- Aktualisierung der Verträge: Sicherstellen, dass alle Verträge mit Drittanbietern von IKT-Dienstleistungen aktualisiert werden, um den Anforderungen von DORA zu entsprechen.
- Implementierung von Notfallplänen: Bestätigen Sie, dass kritische Drittanbieter regelmäßig Notfallpläne implementieren und testen.
- Einhaltung durch Unterauftragnehmer: Sicherstellen, dass alle Unterauftragnehmer die Anforderungen von DORA in Bezug auf die Reaktion auf Vorfälle und die Geschäftskontinuität erfüllen.
- Überwachung und Einhaltung:
- Bereiten Sie sich auf die Überwachung vor: Kritische Drittanbieter von IKT sollten sich auf eine direkte Beaufsichtigung durch die Finanzbehörden vorbereiten.
- Sicherstellen der Einhaltung von Verträgen: Nicht-kritische Dienstleister müssen die Einhaltung von Vorschriften durch aktualisierte vertragliche Verpflichtungen sicherstellen.
- Business Continuity Management (BCM):
- BCM-Prozesse überprüfen: Stärkung der bestehenden BCM-Prozesse, um die erweiterten Anforderungen von DORA zu erfüllen.
- Testen und dokumentieren: Regelmäßiges Testen und Dokumentieren der BCM-Prozesse mit Schwerpunkt auf der Wiederherstellung nach IKT-Vorfällen.
- Technische Anforderungen:
- KI-gesteuerte Sicherheit implementieren: Aktualisieren Sie regelmäßig die KI-gesteuerten Sicherheitsmaßnahmen, um sie mit DORA, AI Act und GDPR in Einklang zu bringen.
- Regelmäßige Scans durchführen: Führen Sie wöchentliche Schwachstellenscans für kritische Funktionen durch und planen Sie regelmäßige Red-Team-Übungen.
- Kryptografie-Standards einhalten: Implementieren Sie strenge Kryptographie-Richtlinien mit Schwerpunkt auf Schlüsselmanagement und Technologie-Updates.
- Inventarverwaltung: Halten Sie Ihr Inventar auf dem neuesten Stand, insbesondere im Hinblick auf Open-Source-Komponenten.
- Authentifizierung erzwingen: Führen Sie eine Zwei-Faktor-Authentifizierung ein und führen Sie Risikobewertungen für ältere IKT-Systeme durch.
- Vertragliche Verpflichtungen:
- Detaillierte SLAs: Stellen Sie sicher, dass die Verträge umfassende SLAs enthalten, die alle DORA-Anforderungen abdecken.
- Reaktionspläne für Zwischenfälle: Definieren und vereinbaren Sie in den Verträgen klare Reaktions- und Geschäftskontinuitätspläne für Zwischenfälle.
- Regelmäßige Tests: Nehmen Sie Bestimmungen für regelmäßige Tests und Aktualisierungen dieser Pläne auf.
- Schulung und Sensibilisierung:
- Schulungen durchführen: Regelmäßige Schulung der Mitarbeiter und des Managements in Bezug auf die Einhaltung der DORA-Vorschriften und Sicherstellung, dass sie mit den Anforderungen und Best Practices vertraut sind.
- Kontinuierliches Lernen: Aktualisieren Sie die Schulungsprogramme, wenn sich die DORA-Richtlinien weiterentwickeln.
- Datensicherung und -wiederherstellung:
- Trennung der Systeme: Physische und logische Trennung von Backup-Systemen in unterschiedlichen Umgebungen.
- Regelmäßige Tests: Stellen Sie sicher, dass die Backup-Systeme regelmäßig getestet werden und den DORA-Standards für Ausfallsicherheit entsprechen.
- Dokumentation und Berichterstattung:
- Dokumentationspflege: Führen Sie gründliche Aufzeichnungen über alle IKT-Prozesse, Tests, Vorfälle und Compliance-Maßnahmen.
- Regelmäßige Aktualisierung: Aktualisieren Sie die Dokumentation regelmäßig, um die strengen Berichtsanforderungen von DORA zu erfüllen.
DORA FAQ:
- Was ist DORA und für wen ist es relevant?
- DORA, oder Digital Operational Resilience Act, ist eine EU-Verordnung zur Verbesserung der digitalen Widerstandsfähigkeit von Finanzinstituten. Sie gilt für ein breites Spektrum von Finanzunternehmen, darunter Banken, Wertpapierfirmen, Versicherungsunternehmen und Zahlungsinstitute. Sie gilt auch für Nicht-EU- Unternehmen, die IKT-Dienstleistungen für in der EU ansässige Finanzinstitute erbringen, und stellt strenge Anforderungen an das IKT-Risikomanagement, die Meldung von Vorfällen und das Risikomanagement Dritter.
- Welches sind die wichtigsten Anforderungen an das IKT-Risikomanagement gemäß DORA?
Gemäß DORA müssen Finanzinstitute ein umfassendes IKT-Risikomanagement einführen. Dies beinhaltet
- Regelmäßige Bewertung und Dokumentation der IKT-bezogenen Geschäftsfunktionen und Vermögenswerte.
- Entwicklung und Pflege einer Software-Stückliste (SBOM).
- Durchführung regelmäßiger Schwachstellenanalysen und Netzwerksicherheitsbewertungen.
- Implementierung robuster IKT-Risikomanagementpraktiken, um eine kontinuierliche betriebliche Belastbarkeit zu gewährleisten.
- Wie sollten Unternehmen die Meldung vonn Vorfällen unter DORA handhaben?
- DORA schreibt einen strukturierten Meldeprozess für größere IKT-bezogene Vorfälle vor, der Folgendes vorsieht
- Erstmeldung: innerhalb von 4 Stunden nach Einstufung des Vorfalls als „schwerwiegend“ oder spätestens 24 Stunden nach Bekanntwerden des Vorfalls.
- Zwischenbericht: Vorlage innerhalb von 72 Stunden nach der ersten Meldung mit erforderlichenfalls Aktualisierungen.
- Abschlussbericht: Einreichung innerhalb von 1 Monat nach dem letzten Zwischenbericht mit einer Zusammenfassung des Vorfalls und der ergriffenen Abhilfemaßnahmen.
- Was sind die Verantwortlichkeiten von IKT-Dienstleistungen im Rahmen von DORA?
Drittanbieter von IKT-Dienstleistungen, insbesondere solche, die als kritisch eingestuft werden, müssen
- Verträge aktualisieren, um detaillierte Service Level Agreements (SLAs) aufzunehmen, die den DORA-Anforderungen entsprechen.
- Notfallpläne implementieren und regelmäßig testen. sicherstellen, dass Unterauftragnehmer die Notfall- und Geschäftskontinuitätspläne von DORA einhalten.
- Bereiten Sie sich auf eine direkte Überwachung durch die Finanzbehörden vor, wenn Sie als kritischer Lieferant eingestuft werden.
- Welche technischen Anforderungen müssen IT-Abteilungen im Rahmen von DORA erfüllen?
IT-Abteilungen müssen unter DORA eine Reihe von technischen Anforderungen erfüllen:
- Wöchentliche Schwachstellen-Scans für kritische Funktionen.
- Regelmäßige bedrohungsbasierte Penetrationstests (TLPT) mit Red-Team-Übungen.
- Strenge Verschlüsselungsrichtlinien, einschließlich Schlüsselverwaltung und Aktualisierung der Verschlüsselungstechnologien.
- Umfassende Inventarlisten, insbesondere zur Verfolgung von Open-Source-Komponenten.
- Durchsetzung der Zwei-Faktor-Authentifizierung und gründliche Risikobewertungen für Legacy-Systeme.
Weitere Blogs von Frau Wittmann finden Sie hier.