DORA legt technische Anforderungen für Finanzunternehmen und IKT-Anbieter in vier Bereichen fest:
- IKT-Risikomanagement und -Governance
- Reaktion auf Vorfälle und Berichterstellung
- Testen der digitalen operationellen Resilienz
- Risikomanagement anderer Anbieter
Ein Informationsaustausch ist erwünscht, aber nicht Pflicht.
Die Anforderungen werden proportional durchgesetzt, d. h. für kleinere Unternehmen wird nicht der gleiche Maßstab angelegt wie für große Finanzinstitute. Während die RTS und ITS für jede Domain noch ausgearbeitet werden, gibt die bestehende DORA-Gesetzgebung Aufschluss über die allgemeinen Anforderungen.
IKT-Risikomanagement und -Governance
DORA überträgt dem Leitungsorgan eines Unternehmens die Verantwortung für das IKT-Management. Von Vorstandsmitgliedern, Führungskräften und anderen leitenden Angestellten wird erwartet, dass sie angemessene Risikomanagementstrategien festlegen, aktiv an deren Umsetzung mitwirken und ihre Kenntnisse über das IKT-Risikopanorama auf dem neuesten Stand halten. Führungskräfte können auch persönlich für die Nichteinhaltung von Vorschriften durch ein Unternehmen zur Verantwortung gezogen werden.
Von den betroffenen Unternehmen wird erwartet, dass sie umfassende Frameworks für das IKT-Risikomanagement entwickeln. Unternehmen müssen ihre IKT-Systeme zuordnen, kritische Assets und Funktionen identifizieren und klassifizieren sowie Abhängigkeiten zwischen Assets, Systemen, Prozessen und Anbietern dokumentieren. Unternehmen müssen kontinuierliche Risikobewertungen ihrer IKT-Systeme durchführen, Cyberbedrohungen dokumentieren und klassifizieren sowie ihre Maßnahmen zur Minderung identifizierter Risiken dokumentieren.
Im Rahmen des Risikobewertungsprozesses müssen Unternehmen Analysen zum Einfluss auf die Geschäftsabläufe durchführen, um zu beurteilen, wie sich bestimmte Szenarien und schwerwiegende Störungen auf das Geschäft auswirken könnten. Unternehmen müssen die Ergebnisse dieser Analysen als Grundlage für das Festlegen von Risikotoleranzniveaus und die Gestaltung ihrer IKT-Infrastruktur nutzen. Die Akteure müssen auch geeignete Cybersecurity-Schutzmaßnahmen implementieren, wie etwa Richtlinien für Identitäts- und Zugriffsmanagement und Patch-Management, zusammen mit technischen Kontrollen wie erweiterten Erkennungs- und Reaktionssystemen, Security Information and Event Management (SIEM) sowie Security Orchestration, Automation and Response (SOAR).
Unternehmen müssen zudem Geschäftskontinuitäts- und Notfallwiederherstellungspläne für verschiedene Cyberrisikoszenarien wie Ausfälle von IKT-Services, Naturkatastrophen und Cyberangriffe erstellen. Diese Pläne müssen Maßnahmen zur Daten-Backup und Wiederherstellung, Systemwiederherstellungsprozesse sowie Pläne für die Kommunikation mit betroffenen Kunden, Partnern und Behörden umfassen.
RTS, die die erforderlichen Elemente des Risikomanagement-Frameworks eines Unternehmens spezifizieren, sind in Kürze verfügbar. Experten gehen davon aus, dass sie den bestehenden EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement ähneln werden.
Reaktion auf Vorfälle und Berichterstellung
Die betroffenen Unternehmen müssen Systeme zur Überwachung, Verwaltung, Protokollierung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen einrichten. Je nach Schwere des Vorfalls müssen Unternehmen ihn möglicherweise sowohl den Aufsichtsbehörden als auch den betroffenen Kunden und Partnern melden. Unternehmen müssen drei verschiedene Arten von Berichten für kritische Vorfälle einreichen: einen ersten Bericht zur Benachrichtigung der Behörden, einen Zwischenbericht über den Fortschritt bei der Lösung des Vorfalls und einen Abschlussbericht, in dem die Ursachen des Vorfalls analysiert werden.
Die Vorschriften darüber, wie Vorfälle zu klassifizieren sind, welche Vorfälle gemeldet werden müssen und welche Meldefristen gelten, werden demnächst festgelegt. Die ESAs prüfen zudem Möglichkeiten zur Optimierung der Berichterstattung durch die Einrichtung eines zentralen Hubs und gemeinsamer Berichtsvorlagen.
Testen der digitalen operationellen Resilienz
Unternehmen müssen ihre IKT-Systeme regelmäßig testen, um die Stärke ihrer Schutzmaßnahmen zu bewerten und Sicherheitslücken zu identifizieren. Die Ergebnisse dieser Tests und Pläne zur Behebung etwaiger festgestellter Schwachstellen werden den zuständigen Behörden gemeldet und von diesen validiert.
Unternehmen müssen einmal im Jahr grundlegende Tests wie Anfälligkeitsbewertungen und szenariobasierte Tests durchführen. Finanzunternehmen, bei denen davon ausgegangen wird, dass sie eine entscheidende Rolle im Finanzsystem spielen, müssen sich zudem alle drei Jahre Threat-Led Penetration Tests (TLPT) unterziehen. Auch die kritischen IKT-Anbieter des Unternehmens müssen an diesen Penetrationstests teilnehmen. Technische Standards für die Durchführung von TLPTs werden noch ausgearbeitet, werden aber wahrscheinlich mit dem TIBER-EU-Framework für auf Threat-Intelligence basierendes ethisches Red-Teaming übereinstimmen.
Risikomanagement anderer Anbieter
Ein einzigartiger Aspekt von DORA besteht darin, dass es nicht nur für Finanzunternehmen gilt, sondern auch für IKT-Anbieter mit Kunden im Finanzsektor.
Von Finanzunternehmen wird erwartet, dass sie eine aktive Rolle beim Management von IKT-Drittanbieterrisiken übernehmen. Bei der Auslagerung kritischer und wichtiger Funktionen müssen Finanzinstitute spezielle vertragliche Vereinbarungen aushandeln, die unter anderem Ausstiegsstrategien, Prüfungen und Leistungsziele für Zugänglichkeit, Integrität und Sicherheit betreffen. Unternehmen dürfen keine Verträge mit IKT-Anbietern, die diese Anforderungen nicht erfüllen können, abschließen. Die zuständigen Behörden sind befugt, Verträge, die nicht den Vorschriften entsprechen, auszusetzen oder zu kündigen. Die Europäische Kommission prüft derzeit die Möglichkeit, standardisierte Vertragsklauseln zu entwerfen, mit denen Unternehmen und IKT-Anbieter sicherstellen können, dass ihre Vereinbarungen DORA-konform sind.
Finanzinstitute müssen auch ihre IKT-Abhängigkeiten von Drittanbietern abbilden und sicherstellen, dass sich ihre kritischen und wichtigen Funktionen nicht zu stark auf einen einzelnen Anbieter oder eine kleine Gruppe von Anbietern konzentrieren.
Kritische IKT-Drittanbieter unterliegen der direkten Aufsicht der zuständigen ESAs. Die Europäische Kommission arbeitet die Kriterien zur Bestimmung der kritischen Anbieter noch aus. Kritischen Anbietern wird eine der ESAs als führende Aufsichtsstelle zugewiesen. Neben der Durchsetzung der DORA-Anforderungen für kritische Anbieter können führende Aufsichtsstellen Anbietern verbieten, Verträge mit Finanzunternehmen oder anderen IKT-Anbieter, die nicht DORA-konform sind, abzuschließen.
Informationsaustausch
Finanzunternehmen müssen Prozesse einrichten, um aus internen und externen IKT-bezogenen Vorfällen zu lernen. Zu diesem Zweck ermutigt DORA Unternehmen, sich an einem freiwilligen Austausch von Threat-Intelligence zu beteiligen. Alle Informationen, die auf diese Weise weitergegeben werden, müssen nach wie vor den einschlägigen Richtlinien entsprechend geschützt werden – personenbezogene Daten zum Beispiel unterliegen weiterhin den Bestimmungen der Datenschutz-Grundverordnung (DSGVO).