heise PlusAbo
Anzeige

DORA-Richtlinie: Was jetzt auf IT-Dienstleister der Banken zukommt

Die DORA-Richtlinie erhöht nicht nur die Sicherheitsanforderungen für Banken und Finanzfirmen – auch ihre IT-Dienstleister sind gefordert. Ein Überblick.

vorlesen Druckansicht 10 Kommentare lesen

(Bild: Tero Vesalainen/Shutterstock.com)

Lesezeit: 11 Min.
iX Magazin
Von
  • Christian Friedrich
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Seit dem 17. Januar gilt der Digital Operational Resilience Act, kurz DORA, der europäischen Finanzunternehmen, Banken, Versicherungen oder Wertpapierfirmen Vorgaben für ihre Sicherheitsmaßnahmen macht. Doch die Vorgaben beschränken sich nicht allein auf die Firmen selbst, auch ihre Dienstleister aus der Informations- und Kommunikationstechnologie (IKT) können betroffen sein. Denn die Dienstleister sollen ein vergleichbares Niveau der digitalen operationellen Resilienz einhalten, sodass die Funktionsfähigkeit der Finanzunternehmen durchgängig sichergestellt werden kann. Dies kann zu erheblichen Auswirkungen auf IKT-Dienstleister von Finanzunternehmen führen, die bisher oftmals als IT-Fremdbezüge nur im eingeschränkten Rahmen von den Vorgaben betroffen waren.

Lesen Sie auch

Wer ist IKT-Dienstleister fĂĽr Finanzunternehmen?

Gemäß DORA-Begriffsbestimmung (siehe EU-Verordnung 2022/2554, Art. 3) ist ein IKT-Dienstleister ein Unternehmen, das "digitale Dienste und Datendienste, die über IKT-Systeme … dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen …" verstanden.

Demnach fallen nahezu alle Dienstleistungen für Finanzunternehmen, die die regelmäßige digitale Verarbeitung von Informationen im Zusammenhang mit Hard- und Software beinhalten, darunter.

Welche Anforderungen muss ein IKT-Dienstleister umsetzen?

Der Umfang der tatsächlichen Anforderungen an die einzelnen IKT-Dienstleister liegt in der Verantwortung der jeweiligen beauftragenden Finanzunternehmen. Mit jedem identifizierten IKT-Dienstleister müssen die Finanzunternehmen Verträge mit von der DORA vorgegebenen Inhalten sicherstellen. Dies beinhaltet übergreifende Themen wie etwa Vorgaben zu

  • Unterauftragsvergabe,
  • Standort der Dienstleistungserbringung,
  • Umgang mit IKT-Vorfällen,
  • KĂĽndigungsrechte,
  • Schulungen der Beschäftigten der IKT-Dienstleister,
  • Berichterstattung,
  • Ăśberwachung,
  • PrĂĽfrechte,
  • GeschäftsfortfĂĽhrungsmanagement und
  • Informationssicherheit.

Der genaue Umfang der Forderungen kann je nach erbrachter Dienstleistung und damit verbundenem Risiko variieren. Hier ist insbesondere der Schutzbedarf der vom Dienstleister verarbeiteten Informationen und die Kategorisierung, ob die Dienstleistung "kritische oder wichtige Funktionen" betrifft, ausschlaggebend.

Der Schutzbedarf ist die vom Finanzunternehmen ermittelte Schutzbedürftigkeit der Informationen in Bezug auf die Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. Je höher die Schutzbedürftigkeit, desto höher ist der potenzielle Schaden für das Finanzunternehmen und desto umfangreicher sind die zu treffenden Sicherheitsmaßnahmen.

Die Entscheidung, ob eine Dienstleistung "kritische oder wichtige Funktionen" betrifft, muss jedes Finanzunternehmen ebenfalls für sich entscheiden. Alle Finanzunternehmen müssen ihre kritischen und wichtigen Funktionen und Prozesse sowie alle IKT-Assets und IKT-Dienstleistungen identifizieren, die für die Funktionalität, Erbringung oder Umsetzung dieser Funktionen und Prozesse wichtig sind und deren Resilienz in besonderem Maße sicherstellen.

Welche Anforderungen werden voraussichtlich für den größten Aufwand sorgen?

Insbesondere die Anforderungen an die Geschäftsfortführung und die Informationssicherheit der IKT-Dienstleister werden einen erheblichen Umfang haben. Die genauen Inhalte, die ein Finanzunternehmen von seinen IKT-Dienstleistern fordern soll, sind nicht einheitlich definiert, aber laut EU-Verordnung 2022/2554, Art. 28 (5) dürfen Verträge nur mit IKT-Dienstleistern geschlossen werden, "die angemessene Standards für Informationssicherheit einhalten". Daher ist im Bereich der Informationssicherheit davon auszugehen, dass die Vorgaben der etablierten Standards wie ISO 27001 und der IT-Grundschutz sowie im Bereich der Geschäftsfortführung die Standards ISO 22301 und BSI-Standard 200-4 etabliert werden sollten. Je nach Risikoeinschätzung der Bank kann auch eine Zertifizierung gefordert werden.

Ferner beinhaltet die DORA Vorgaben für spezifische operative IT-Sicherheitsthemen, wie zum Beispiel automatisiertes Schwachstellenmanagement, Penetrationstests und automatisierte Überwachung von Sicherheitsereignissen, die zum Teil über die Vorgaben der Standards hinausgehen. Es ist davon auszugehen, dass die Finanzunternehmen von deren IKT-Dienstleistern ein vergleichbares Niveau einfordern und auch hierzu vertragliche Vorgaben machen werden. Einen Überblick über die von der DORA geforderten Regularien kann bei den "Dokumentationsanforderungen an Finanzunternehmen gemäß DORA" von der BaFin gefunden werden.

Welche Standards sind fĂĽr einen IKT-Dienstleister sinnvoll?

Sofern man als IKT-Dienstleister eines Finanzunternehmens bisher noch keine Standards für die Informationssicherheit oder die Geschäftsfortführung umsetzt, empfiehlt sich in den meisten Fällen eine Ausrichtung an den internationalen ISO-Standards. Mit der ISO 27001 in der Informationssicherheit und der ISO 22301 für die Geschäftsfortführung können vergleichsweise schnell wirksame Managementsysteme etabliert werden, die sich in Umfang und Aufbau gut an die Bedürfnisse der jeweiligen Organisation anpassen lassen. Zudem enthalten diese Standards bereits grundlegende Sicherheitsvorgaben, die auf die Informationssicherheit der IKT-Dienstleister einzahlen und zum Teil die Anforderungen der Finanzunternehmen abdecken können.

Falls natĂĽrlich das beauftragende Finanzunternehmen auf einen anderen Standard wie zum Beispiel IT-Grundschutz aufsetzt, kann es hier empfehlenswert sein, gleich diesen anzustreben. Hier sollte eine frĂĽhzeitige Abstimmung zwischen Finanzunternehmen und IKT-Dienstleistern stattfinden.

Durch die Umsetzung von Standards wird eine solide Basis gelegt, so dass hier im Falle von aktuellen oder zukünftigen Vertragsverhandlungen bereits möglichst viele Vorgaben als umgesetzt dokumentiert werden können. Damit kann das IKT-Risiko für das Finanzunternehmen gesenkt werden und im Vergleich zu anderen IKT-Dienstleistern kann hier ein Verhandlungsvorteil bestehen. Zudem hilft die Etablierung entsprechender Standards bei einer belastbaren Planung der weiteren Umsetzung von Maßnahmen oder sogar einer Zertifizierung, so dass der IKT-Dienstleister dem Finanzunternehmen hier eine Perspektive für die weitere Entwicklung aufzeigen kann.

Welche weiteren Anforderungen können für Aufwände sorgen?

Die IKT-Dienstleister müssen sicherstellen, dass deren eigene Sub-Dienstleister auch vergleichbare Vorgaben erfüllen. Falls ein IKT-Dienstleister eines Finanzunternehmens viele Sub-Dienstleister hat, muss dieser zusätzlichen Aufwand für die Steuerung dieser Dienstleister einplanen. Hier kann es sinnvoll sein, umgehend alle Sub-Dienstleister zu identifizieren, die für die Erbringung der IKT-Dienstleistung für die Finanzunternehmen notwendig sind. Für alle Sub-Dienstleister sollte dann geklärt werden, ob diese die Standards für die Informationssicherheit oder Geschäftsfortführung einhalten können. Falls dies nicht der Fall ist, sollte möglichst frühzeitig geklärt werden, ob die Umsetzung mit dem Sub-Dienstleister vereinbart werden kann oder ob gegebenenfalls ein neuer Dienstleister beauftragt werden muss.

Es ist zudem zu erwarten, dass die Finanzunternehmen stärker die tatsächliche Umsetzung der Anforderungen überprüfen werden. Hier muss mit erhöhten Aufwänden für die Erstellung von Nachweisen oder sogar Audits gerechnet werden.

Was passiert, wenn die Anforderungen nicht umgesetzt werden können?

Nicht umsetzbare Vertragsbestandteile führen in der Regel nicht automatisch zu einer Beendigung des Vertrages mit dem Finanzunternehmen. Es kann zwar je nach Finanzunternehmen KO-Kriterien geben, die gesetzlich vorgeschrieben oder von besonderen Interesse sind, aber selbst wenn solche Anforderungen nicht umgesetzt werden können, muss in jedem Einzelfall entschieden werden, ob eine Beendigung mit dem IKT-Dienstleister möglich oder notwendig ist.

Videos by heise

Die nicht umgesetzten Vertragsbestandteile sind IKT-Risiken für die Finanzunternehmen und diese können entscheiden, ob sie die Risiken akzeptieren wollen. Aufgrund der Vielzahl an neuen Forderungen für die vielen Dienstleister rechnen die Finanzunternehmen wahrscheinlich auch damit, dass zumindest für eine gewisse Zeit umfangreichere Risikoakzeptanzen anfallen werden. Die Bereitschaft eines Finanzunternehmens zur Akzeptanz und die Dauer der Akzeptanz hängt hauptsächlich von dessen Risikoappetit, der Höhe der IKT-Risiken und der Konkurrenzsituation bei den Dienstleistern ab. Eine Risikoakzeptanz darf immer nur für einen gewissen Zeitraum gelten und muss dann erneuert werden.

Die Finanzaufsicht, in Deutschland etwa die BaFin, fordert die Finanzunternehmen auf, die IKT-Risiken aktiv zu steuern und möglichst zu beseitigen. Es muss daher jedem IKT-Dienstleister bewusst sein, dass eine dauerhafte Akzeptanz der Risiken bei den Finanzunternehmen nicht empfehlenswert ist. Die DORA fordert, dass Finanzunternehmen ein besonderes Kündigungsrecht vereinbaren, wenn zum Beispiel "nachweisliche Schwächen des IKT-Drittdienstleisters in Bezug auf sein allgemeines IKT-Risikomanagement und insbesondere bei der Art und Weise, in der er die Verfügbarkeit, Authentizität, Sicherheit und Vertraulichkeit von Daten gewährleistet" auftreten (siehe EU-Verordnung 2022/2554, Art. 28 (7c)).

Welche zusätzlichen Vorgaben gelten für "kritische IKT-Dienstleister"?

Kritische IKT-Dienstleister sind Dienstleister, die in der Regel für eine Vielzahl von Finanzunternehmen tätig sind und deren Beeinträchtigung "systemische Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen" (siehe EU-Verordnung 2022/2554, Art. 31) haben. Dies sind insbesondere zentrale Zahlungsdienstleister, Dienstleister für das Meldewesen oder Cloud-Anbieter (Hyperscaler).

Diese kritischen IKT-Dienstleister werden durch die Aufsicht bestimmt und direkt beaufsichtigt. Die Namen der kritischen IKT-Dienstleister werden durch diese Aufsichtsbehörden veröffentlicht. Sie haben gegenüber den kritischen IKT-Dienstleistern zwangsgeldbewährte Informations-, Kontroll- und Prüfrechte und können unter anderem prüfen, ob diese die Vorgaben der DORA an das IKT-Risikomanagement einhalten, die auch für die Finanzunternehmen selbst gelten. Falls die kritischen IKT-Dienstleister die Vorgaben nicht umsetzen, können die Aufsichtsbehörden Empfehlungen aussprechen, die sie umsetzen sollten. Falls sie diese Empfehlungen nicht umsetzen, können die nationalen Aufsichtsbehörden die Finanzunternehmen auffordern, die entsprechenden kritischen IKT-Dienstleistungen zeitweise nicht zu nutzen oder sogar zu kündigen. Weitere Informationen dazu finden sich bei der BaFin.

Kann es in Zukunft noch weitere Vorgaben im Zusammenhang mit DORA geben?

Es kann davon ausgegangen werden, dass sich die Anforderungen an die IKT-Dienstleister in den nächsten Jahren weiterentwickeln und die Finanzunternehmen diese vertraglich vereinbaren möchten. Die einzelnen Finanzunternehmen sammeln gerade die ersten Erfahrungen mit den Sicherheitsvorgaben, und es bleibt abzuwarten, welche Erwartungshaltung die Aufsicht an die zu vereinbarenden Vorgaben hat. Sobald sich hier Mindestvorgaben in der Branche etablieren oder sich die Finanzunternehmen nach Prüfungen der Aufsicht zu Nachbesserungen gezwungen sehen, kann hier mit zusätzlichen Anforderungen gerechnet werden.

Zudem werden noch einige weitere Regulierungsstandards veröffentlicht. So sind zum Beispiel Regulierungsstandards zum "Threat-Led Penetration Testing" und zu Subdienstleistern vorgesehen, die weiteren Vorgaben und Aufwände mit sich bringen können. Als IKT-Dienstleister ist es daher empfehlenswert, die Sicherstellung etwaiger zusätzlicher Vorgaben nicht generell zuzusichern. Stattdessen sollte immer die Möglichkeit zur Nachverhandlung der neuen Vorgaben und der damit entstehenden Aufwände vorhanden sein.

Welche weiteren Auswirkungen werden diese Vorgaben auf die Wirtschaft haben?

Es ist davon auszugehen, dass die Finanzunternehmen in Zukunft spezialisierte Dienstleister bevorzugen, die angemessene Standards in Bezug auf die DORA etabliert haben und bei denen ein risikoarmer Betrieb der IKT-Dienstleistungen sichergestellt werden kann. Für die IKT-Dienstleister, die die Vorgaben nicht umsetzen können, kann deshalb Druck entstehen, die dadurch bestehenden Risiken durch niedrigere Preise aufzuwiegen.

Die Finanzbranche ist als stark regulierter Bereich Vorreiter bei der Etablierung von solchen Standards. Mit NIS2 existieren zum Beispiel vergleichbare Vorgaben auch fĂĽr andere Branchen im Umfeld der kritischen Infrastrukturen. Von daher ist zu erwarten, dass mittelfristig auch in weiteren Bereichen die Anforderungen aus das Niveau von DORA steigen werden.

(axk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten