Von Tobias Fischer, Frankfurt

Europas Finanzbranche steht mit dem Digital Operational Resilience Act (Dora) ein Mammut-Regulierungswerk ins Haus. Die geplante Verordnung wird den Großteil der Finanzunternehmen in der Europäischen Union zu bestimmten Vorkehrungen gegen IT-Störungen und Cyberattacken und zur Aufrechterhaltung des Betriebs verpflichten, einheitliche Regeln für IT-Risikomanagement und die Überwachung kritischer IT-Drittdienstleister wie Cloud-Computing-Anbieter schaffen sowie Meldepflichten für schwerwiegende IT-Vorfälle ausweiten und straffen.

Der Trilog zu Dora, also Verhandlungen zwischen Europäischer Kommission, Rat der EU und Europäischem Parlament, hat dieser Tage begonnen. Ihre im Detail noch unterschiedlichen Vorstellungen werden sie nach Einschätzung von Beobachtern voraussichtlich im Verlauf des Jahres in Einklang und die Gespräche somit zum Abschluss gebracht haben. Bis Ende 2024 dürfte Dora schließlich finalisiert sein und Gültigkeit erlangen.

Noch kann sich der Anwendungsbereich in den Trilog-Verhandlungen leicht ändern, doch ist klar, dass die Definition von Finanzbranche weit ausgelegt ist. Die Verordnung erfasst laut Dora-Entwurf der EU-Kommission an die 22000 Gesellschaften. Allein in Deutschland könnte es anderen, groben Schätzungen zufolge auf gut und gerne 3000 hinauslaufen: etwa 1500 Kreditinstitute, circa 600 Erst- und Rückversicherer, 600 Wertpapierfirmen, 100 Zahlungsdienstleister, E-Geld-Institute und Kryptoverwahrer. Zudem nennt der im September 2020 als Teil eines Pakets zur Digitalisierung des Finanzsektors veröffentlichte Kommissionsvorschlag etwa zentrale Gegenparteien, Handelsplätze, im Finanzsektor tätige IT-Drittanbieter, Ratingagenturen und von einer Mindestgröße an auch Versicherungsvermittler und Einrichtungen der betrieblichen Altersvorsorge.

Dora bezweckt zum einen die Harmonisierung der Anforderungen ans IT-Risikomanagement. IT-Prüfungen der Bundesbank über zehn Jahre zeigen, dass sich – wie bei Auslagerungen – Finanzunternehmen gerade damit schwertun (siehe Grafik). Zum anderen erweitert Dora den Kreis der Verpflichteten, harmonisiert und strafft die Meldepflichten bei IT-Vorfällen. Sind bisher in Deutschland beispielsweise Versicherer noch ausgenommen, so haben alle von Dora erfassten Finanzunternehmen schwerwiegende IT-Pannen sowie Cyberangriffe zu melden.

Aktuell doppeln sich mitunter Meldungen. Erfasst die EZB ab bestimmten Schwellwerten nur Angriffe auf bedeutende Institute, so müssen die unter Aufsicht der BaFin stehenden weniger bedeutenden Akteure Attacken und Pannen melden. Das gilt auch für das Bundesamt für Sicherheit in der Informationstechnik (BSI), das wiederum für die Überwachung von Betreibern kritischer Infrastruktur zuständig ist, zu denen wichtige Finanzdienstleister zählen.

Die EZB will sich aus ihrem Cyber Incident Reporting zurückziehen, wenn Dora greift, ist zu vernehmen. Die BaFin schaffe die Voraussetzungen dafür, künftig als zentrale nationale Meldestelle für IT-Vorfälle zu fungieren, die Berichte weiterverteilt. Die Gruppe IT-Aufsicht wurde jedenfalls vor einiger Zeit um ein Referat vor allem für Incident Reporting erweitert. Um zu prüfen, wie es um die digitale Betriebsstabilität bestellt ist, verpflichtet Dora als bedeutend eingeordnete Finanzunternehmen zu erweiterten Pene­trationstests. Bekannt sind derlei Verfahren, in denen Hackerangriffe simuliert werden, auf freiwilliger Basis seit 2018 als Threat Intelligence-Based Ethical Red Teaming (Tiber-EU).

Für den Finanzsektor kritische IT-Dienst­leister werden künftig von den europäischen Aufsichtsbehörden EBA, EIOPA und ESMA überwacht. Diese erhalten Prüf- und Informationsrechte – auch im Rechenzentrum vor Ort – und können Strafen verhängen. Das ermöglicht hierzulande bereits das Gesetz zur Stärkung der Finanzmarktintegrität (FISG). Es ermächtigt die BaFin seit Jahresanfang, Auslagerungsunternehmen direkt unter die Lupe zu nehmen. Diese sollen für die Überwachung auch zur Kasse gebeten, nicht aber auslagernde Institute, heißt es.

Weil Dora insbesondere auch bestehende Regulierungen harmonisiert, unter anderem Leitlinien von EBA, EIOPA und ESMA, die zum guten Teil schon in deutsches Recht umgesetzt worden sind, seien die Finanzunternehmen hierzulande hinsichtlich der neuen Regulierung schon gut aufgestellt, heißt es aus Finanzkreisen. Die deutsche Aufsicht hat demnach Dora deutlich mitgestaltet.

Clemens Koch wiederum, Leiter des Bereichs Financials Services und Mitglied der Geschäftsführung bei PwC, wertet die Anpassungen in der Regulierung und die weite Auslegung des Geltungsbereichs als positiv, „um einheitliche Vorgaben zu schaffen und die Robustheit des Finanzdienstleistungssektors sowie das Vertrauen in deren Dienstleistungen bei fortschreitender Digitalisierung zu erhöhen“.

Burkhard Eckes, EMEA Banking Capital Markets Leader bei PwC, schätzt darüber hinaus insbesondere die spezielle Betrachtung der bisher nicht direkt einer Regulierung unterliegenden Drittanbieter „als weiteren bedeutenden Schritt zur Stärkung der Resilience entlang der gesamten Lieferkette“.