Die von der EU-Kommission vorgeschlagenen Maßnahmen zum Kampf gegen Cyberangriffe im Finanzwesen stoßen bei Experten auf ein geteiltes Echo. In einer Analyse des Centrum für Europäische Politik (Cep) werden die Pläne, die sich aktuell im Abstimmungsprozess der EU-Gesetzgeber befinden, als „weder verhältnismäßig noch zielgerichtet“ bezeichnet. Zwar räumt auch der Freiburger Thinktank ein, dass die Schaffung eines EU-Aufsichtsrahmens für kritische Drittanbieter von Informations- und Kommunikationstechnik die digitale Betriebsstabilität von Finanzunternehmen stärken könnte. Als „bedenklich“ stuft das Cep allerdings unter anderem die beabsichtigte Aufteilung der Aufsicht auf die EU-Behörden EBA, ESMA und EIOPA ein. Die Anbieter von Informations- und Kommunikationstechnik, etwa Cloud-Anbieter, könnten mit widersprüchlichen Aufsichtsansätzen konfrontiert werden, heißt es in der noch unveröffentlichten Analyse, die der Börsen-Zeitung vorliegt.

Die EU-Kommission hatte die sogenannte DORA-Verordnung (Digital Operational Resilience Act) 2020 vorgeschlagen, um dem europäischen Finanzsektor und dessen systemrelevanten Finanzinstituten wie Banken, Versicherungen oder Handelsplätzen mehr Stabilität und Sicherheit vor Cyberangriffen zu geben. Unter anderem soll auch eine Meldepflicht von Cybervorfällen eingeführt werden.

Eine solche Pflicht würde auch nach Meinung des Cep einen erheblichen externen Nutzen bringen. Grundsätzlich wird es in der Studie auch als „sachgerecht“ bezeichnet, dass Brüssel das zunehmende Problem von Cyberangriffen angeht.