MarketplaceCommunityDEENDEENProdukteCore ServicesRoadmapRelease NotesLeistungsbeschreibungZertifikate und TestatePrivate CloudManaged ServicesVorteileSicherheit/DSGVONachhaltigkeitOpenStackMarktführerPreisePreismodelleComputing & ContainerSpeicherNetzwerkDatenbank & AnalyseSicherheitManagement & ApplikationPreisrechnerLösungenBranchenGesundheitswesenÖffentlicher SektorWissenschaft & ForschungAutomotiveMedienunternehmenEinzelhandelAnwendungsfälleKünstliche IntelligenzHigh Performance ComputingBig Data & AnalyticsInternet of ThingsDisaster RecoveryData StorageKomplettlösungenCloud-Lösungen TelekomCloud-Lösungen PartnerSwiss Open Telekom CloudReferenzkundenPartnerCIRCLE PartnerTECH PartnerPartner werdenAcademyTrainings & ZertifizierungenEssentials TrainingFundamentals TrainingPractitioner Online-TrainingArchitect TrainingZertifizierungenCommunityCommunity BlogsCommunity EventsBibliothekStudien und WhitepaperWebinareBusiness NavigatorMarketplaceSupportExperten-SupportKI-ChatbotShared ResponsibilityRichtlinien für Sicherheitstests (Penetrationstests)Open Telekom Cloud AppTools zur SelbsthilfeErste SchritteTutorialStatus DashboardFAQTechnische DokumentationNewsBlogMessen & EventsFachartikelPresseanfragenMarketplaceCommunity

0800 3304477 24 Stunden am Tag, 7 Tage die Woche

E-Mail schreiben

Jetzt starten und 250 € Startguthaben sichern
ProdukteCore ServicesPrivate CloudManaged ServicesVorteilePreisePreismodellePreisrechnerLösungenBranchenAnwendungsfälleKomplettlösungenSwiss Open Telekom CloudReferenzkundenPartnerCIRCLE PartnerTECH PartnerPartner werdenAcademyTrainings & ZertifizierungenCommunityBibliothekBusiness NavigatorMarketplaceSupportExperten-SupportTools zur SelbsthilfeTechnische DokumentationNewsBlogMessen & EventsFachartikelPresseanfragen
  • 0800 330447724 Stunden am Tag, 7 Tage die Woche
  • E-Mail schreiben
Jetzt starten und 250 € Startguthaben sichern

Die Finanzbranche auf dem Weg in das DORA-Zeitalter

von Redaktion
Illustrration mit Weltkugel und Sternen mit dem Schriftzug DORA - Digital Operational Resilience Act
DORA - Digital Operational Resilience Act
 

In diesem Artikel lesen Sie,

  • was hinter DORA steckt,
  • wer davon betroffen ist und
  • wie Sie als Finanzunternehmen darauf reagieren sollten.


Der 14. Dezember 2022 war DORA-Day. An diesem Tag verabschiedeten das Europäische Parlament und der Rat die Verordnung (EU) 2022/2554 über die „digitale operationale Resilienz im Finanzsektor“ (DORA). Wie üblich gaben die EU-Gremien den betroffenen Unternehmen eine Übergangsfrist zur Umsetzung: Obwohl DORA formal seit 17. Januar 2023 in Kraft ist, wird sie erst am 17. Januar 2025 angewendet. Mit anderen Worten: Anfang 2025 müssen Finanzunternehmen DORA-compliant sein. Und nicht nur sie: DORA hat auch Bedeutung für die IKT-Dienstleister der Finanzunternehmen, d.h. auch beispielsweise Cloud-Provider, die Services an Finanzunternehmen liefern.

Warum DORA?

DORA ist Teil eines größeren Pakets, nämlich des Digital Finance Package. Mit dieser Initiative will die EU-Kommission die Wettbewerbsfähigkeit des europäischen Finanzsektors unterstützen. So sollen u.a. Innovationen, aber auch Sicherheit und Widerstandsfähigkeit (Resilienz) gefördert werden.

1. Stärkung von Resilienz und IT-Sicherheit
Immer mehr Finanzunternehmen sind inmitten einer digitalen Transformation – digitale Services müssen aber auch dann verfügbar bleiben, wenn technische Probleme auftreten und sie müssen verstärkt Cyberangriffen trotzen. Finanzdienstleister müssen daher – in Abhängigkeit der Kritikalität der angebotenen Services – angemessene Vorsichtsmaßnahmen treffen. In Business-Sprache: Sie müssen ein entsprechendes IT-Risikomanagement betreiben. Artikel 5 der DORA-Verordnung formuliert es so: „Finanzunternehmen verfügen über einen internen Governance- und Kontrollrahmen, der im Einklang mit Artikel 6 Absatz 4 ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen“.

2. Transparenz über IKT-Drittdienstleister
Weil diese digitalen Lösungen häufig in Zusammenarbeit mit IKT-Anbietern erbracht werden, adressiert DORA auch ganz gezielt diese Dienstleistungspartner bzw. die Geschäftsbeziehungen der Finanzunternehmen mit diesen Partnern. Das umfasst natürlich auch Cloud-Provider. Das Finanzunternehmen muss bestimmte Rahmenbedingungen vom Cloud-Dienstleister einfordern können; die konkrete Ausgestaltung dieser Anforderungen liegt aber in den Händen des Finanzunternehmens.

Generell wird das Management von IKT-Dienstleistungen oder so genannten Auslagerungen durch u.a. Artikel 28 von DORA geregelt: „Finanzunternehmen managen das IKT-Drittparteienrisiko als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1 … Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, bleiben jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach dieser Verordnung und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich.“ In Artikel 28 wird beispielsweise auch klar formuliert, dass Finanzunternehmen nur vertragliche Vereinbarungen mit IKT-Drittdienstleistern schließen dürfen, die angemessene Standards für Informationssicherheit einhalten. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, müssen die Finanzunternehmen vor Vertragsschluss sogar angemessen berücksichtigen, ob die IKT-Drittdienstleister die „aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit anwenden“.

3. EU-weite Vereinheitlichung der Regulatorik des Finanzsektors
Neben den Anforderungen an IT-Sicherheit und das Risikomanagement der IKT-Partner adressiert DORA – im Vorübergehen – noch einen dritten Punkt. Dazu muss man wissen: Bislang waren in Europa die Regelungen zur Bewertung der Cyberrisiken im Finanzsektor, ebenso wie für das IT-Risikomanagement insgesamt sehr unterschiedlich. Jedes Land hat individuelle nationale Regelungen, z.B. allein schon für Banken: In Deutschland waren dies bislang insbesondere das IT-Sicherheitsgesetz und die BAIT (Bankaufsichtliche Anforderungen an die IT), in Frankreich u.a. die Anforderungen der ANSSI und der RGS (Référentiel Général de Sécurité), in Spanien, Italien und den Niederlanden geben Banca d'Italia, Comisión Nacional del Mercado de Valores und De Nederlandsche Bank spezifische Regeln vor. Mit der Einführung von DORA soll das nun vereinheitlicht werden: Ganz konkret beabsichtigt die BaFin in Deutschland mit dem Inkrafttreten von DORA im Januar 2025 u.a. die BAIT aufzuheben.

Die Harmonisierung hat darüber hinaus einen zweiten Aspekt. DORA erfasst nun alle Sektoren der Finanzdienstleistung. Denn neben Banken und Versicherungen gibt es noch eine Reihe anderer Unternehmen in diesem Umfeld: Mit DORA werden z.B. auch Anbieter von Krypto-Dienstleistungen, E-Geld-Institute oder Ratingagenturen in die Regulatorik integriert; auch in dieser Hinsicht entstehen durch DORA europaweit einheitliche Maßstäbe. 

Die Ziele von DORA auf einen Blick:

  • Stärkung der Resilienz (Widerstandsfähigkeit) von Finanzunternehmen
  • EU-weite Vereinheitlichung des IT-Risikomanagements für den gesamten Finanzsektor
  • Transparenz über IKT-Drittdienstleister
 

Nicht alles neu, aber wichtiger Impuls für Finance

In Deutschland überwacht die BaFin als Aufsichtsbehörde nicht nur die Finanzunternehmen, sondern behält sich auch vor, die IKT-Dienstleister zu prüfen. Das erlaubte auch schon das Finanzmarktintegritätsstärkungsgesetz (FISG) von 2021. DORA führt diese Praxis nun fort.

Viele Finanzdienstleister sind bereits gut für DORA aufgestellt – immerhin sind die Ansprüche der Verordnung nicht komplett neu, sondern spiegeln viele existierende Regelungen wider. Letzten Endes dienen die Regularien den Unternehmen und stellen sicher, dass deren Geschäftstätigkeit nicht durch Schwächen im IT-Sicherheitsmanagement beeinträchtigt wird.

Ein DORA-Zertifikat oder ein DORA-Audit für IKT-Dienstleister existiert momentan noch nicht. Der Grund dafür: Noch sind die konkreten Aspekte einer solchen Überprüfung nicht festgelegt. Zudem ist absehbar, dass die BaFin ein Blacklist-Verfahren nutzen wird. Also: IKT-Dienstleister werden nicht zertifiziert (Whitelisting) auf ihre DORA-Unterstützungsfähigkeit, sondern sie werden disqualifiziert, wenn sie bestimmte Ansprüche nicht erfüllen. „Damit wir schon im Vorfeld einer offiziellen Regelung die Weichen entsprechend stellen können, stehen wir in einem kontinuierlichen Austausch mit der BaFin und verfolgen die Entwicklungen mit“, erläutert Edgar Bernhard aus dem Compliance Team von T-Systems.

Open Telekom Cloud erfüllt bereits zum großen Teil DORA-Anforderungen

Einer der Knackpunkte wird auch darin liegen, dass der BaFin in bestimmten Fällen der Zugang zu den Räumlichkeiten eines Cloud-Providers (auch die Rechenzentren) und seiner Subdienstleister gewährt werden muss.

Die Open Telekom Cloud hat diese Anforderung bereits in ihrem Financial Addendum abgebildet. Das Financial Addendum gibt Nutzern der Open Telekom Cloud Transparenz über Dienstleister, die an der Cloud-Services-Bereitstellung beteiligt sind. Der Aufwand für das Finanzunternehmen, das die Auslagerung überwachen und steuern muss, kann dadurch erheblich reduziert werden.

Etabliert sind bei der Open Telekom Cloud darüber hinaus grundsätzlich viele weitere Themen, die von DORA adressiert werden: z.B. IKT-Risikomanagement, Management des IKT-Drittparteirisikos, Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) und Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen. Die Open Telekom Cloud kann Finanzunternehmen entsprechend unterstützen.

Weitere Informationen zu DORA bieten die Seiten der BaFin.  
Der Originaltext der Verordnung wird auf den Seiten der EU vorgehalten.


Diese Inhalte könnten Sie auch interessieren
 

Flagge mit Silhouette Europas, Europa-Logo und Aufschrift "NIS2"

Sind Sie „kritisch“? Dann müssen Sie auf NIS2 reagieren

Am 18. Oktober ist das Inkrafttreten einer weiteren europäischen Compliance-Richtline geplant: NIS2 für Netzwerk- und Informationssicherheit „Cyberresilienz“. 

 
Illustration zu Cloud für Health – BSI C5:2020 ist der Maßstab

Cloud für die Gesundheitsbranche – BSI C5:2020 ist der Maßstab

Mit dem Digital-Gesetz wird die Nutzung der Cloud für die Gesundheitsbranche möglich. 

 
Campus der Creditreform in Neuss

BaFin-Compliance mit der Cloud

Wer im Finanz-Umfeld eine Cloud einsetzt, muss als Auftraggeber auch Prüfungs- und Kontrollpflichten beim Cloud-Provider durchsetzen können. Creditreform und die Open Telekom Cloud haben mit dem Financial Addendum dafür die Weichen gestellt.

Die Open Telekom Cloud Community

Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

Jetzt entdecken  

Kostenfreie Experten-Hotline

Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

 0800 3304477 (aus Deutschland)

 +800 33044770 (aus dem Ausland)

 24 Stunden am Tag, 7 Tage die Woche

E-Mail schreiben

Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

E-Mail schreiben 

AIssistant Cloudia

Unsere KI-gestützte Suche hilft bei Ihrem Cloud-Anliegen.