– Zwei aktuelle Vorstöße der Europäischen Union (EU) zur Cyberregulierung werden nach Ansicht der Ratingagentur Moody’s die Abwehrfähigkeit der Finanzbranche stärken, ihr aber auch zusätzliche finanzielle und administrative Bürden auferlegen. Im Mai haben sich zum einen der Rat und das Europäische Parlament mit NIS2 auf eine Neuauflage der Richtlinie zur Netz- und Informationssicherheit (EU Network and Information Security Directive, NIS) verständigt, zum anderen haben die Brüsseler Institutionen eine Einigung über die Verordnung zur IT-Sicherheit im Finanzsektor, den Digital Operational Resilience Act (DORA), gefunden.

Die beiden Initiativen, die lange vor dem Ukraine-Krieg auf den Weg gebracht wurden, gewinnen angesichts zunehmender russischer Cyberattacken auf westliche Unternehmen, Banken und Institutionen an Bedeutung. Die neuen EU-Vorschriften zur Cybersicherheit, welche die Anforderungen an Unternehmen verschärften und auf mehr Branchen erweiterten, erhöhten den Schutz vor Cyberbedrohungen und wirkten sich somit positiv auf die Kreditwürdigkeit aus, schreibt Moody’s in einem Bericht.

Allerdings werde sich der finanzielle wie administrative Aufwand für Unternehmen erhöhen, insbesondere für kleinere Unternehmen. „Kleinere Firmen, die bisher von der Cyberregulierung ausgenommen waren, werden einen größeren Teil ihrer Ressourcen für die Einhaltung der Vorschriften aufwenden müssen und haben möglicherweise Schwierigkeiten, qualifizierte Mitarbeiter für die Cybersicherheit einzustellen und zu halten“, gibt Moody’s-Analyst Niclas Boheman zu bedenken. Und damit sei noch nicht Schluss: Da Cyberangriffe immer ausgefeilter würden, sei davon auszugehen, dass Regulierer die Standards in der Cybersicherheit weiter hochschrauben würden, heißt es.

Einer Umfrage der Ratingagentur zufolge nehmen die weltweiten Investitionen in die Cybersicherheit rasch zu. 2019 stiegen die entsprechenden Investitionen demnach um 15%, im Jahr darauf um 17%. Zwischen 2018 und 2020 haben Finanzdienstleister den Anteil ihrer Ausgaben für Cybersicherheit am gesamten IT-Budget im Schnitt von 5% auf 6% aufgestockt (siehe Grafik). Unternehmen fuhren den Anteil in diesem Zeitraum von niedrigen 3% auf 5% hoch. Aktuellere Zahlen und Angaben zur Höhe der Gesamtinvestitionen in IT und Cybersicherheit nennt Moody’s nicht.

Die NIS2-Richtlinie verlangt Unternehmen in mehr Branchen als bisher strengere und über Ländergrenzen hinweg harmonisierte Anforderungen an die Cybersicherheit ab. Fallen bereits unter anderem Banken, Energiefirmen und Verkehrsdienstleister unter den Geltungsbereich von NIS, so kommen in der neuen Richtlinie beispielsweise digitale Dienstleister und die öffentliche Verwaltung hinzu. Auch werden Schwellenwerte abgesenkt, so dass künftig auch kleinere Unternehmen einbezogen werden.

DORA verpflichtet Banken, Versicherer, Börsen, Kryptodienstleister und für die Finanzbranche bedeutende Anbieter wie Cloud-Computing-Dienstleister zu verstärkten Vorkehrungen gegen Cyberattacken. Das Regelwerk harmonisiert Vorgaben für das IT-Risikomanagement und die Überwachung von kritischen IT-Drittdienstleistern und regelt Meldepflichten im Fall von schweren IT-Vorfällen (vgl. BZ vom 2. Februar).