Versicherungsvermittler und Versicherungsberater

Cyber-Abwehrpflichten für Finanzunternehmen und IKT-Dienstleister

Seit Januar 2023 ist die Verordnung über digitale Betriebssicherheit im Finanzsektor (DORA) in Kraft getreten.

1. Was ist das Ziel von DORA?
2. Ab wann gilt DORA?
3. Wer ist von DORA betroffen?
4. Wer ist von DORA ausgenommen?
5. Was regelt DORA im Detail?
6. Welche Pflichten gehen mit dem Ablauf der Umsetzungsfrist für die betroffenen Unternehmen einher?
7. Welche Vorbereitungen können bereits vor Ablauf der Umsetzungsfrist von betroffenen Unternehmen getroffen werden?

Die DORA-Verordnung (kurz für Digital Operational Resilience Act) vereinheitlicht und reguliert Cybersicherheit, ITK-Risiken und digitale Resilienz im europäischen Finanzsektor, um den Finanzmarkt zu stärken.

Betroffene Finanzunternehmen und IKT-Drittdienstleister müssen neue Cyber-Abwehrpflichten und ITK-Anforderungen umsetzen. Bis zum 17. Januar 2025 haben die betroffenen Unternehmen Zeit, die gesetzlichen Vorgaben zu erfüllen.

1. Was ist das Ziel von DORA?

Die DORA-Verordnung ist eine europäische Verordnung, die das Ziel verfolgt, eine einheitliche Regulierung für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den europäischen Finanzmärkten herzustellen. Mit der DORA-Verordnung wurde auf den starken Anstieg von Cybervorfällen im Finanzsektor durch rechtlich verbindlich Regelung reagiert. Hierfür führt sie einen einheitlichen, kohärenten Aufsichtsansatzes für alle relevanten europäischen Sektoren ein.

2. Ab wann gilt DORA?

Die zweijährige Umsetzungsfrist läuft am 17. Januar 2025 aus. Ab diesem Zeitpunkt gelten für die erfassten Finanzunternehmen und IKT-Dienstleister umfassende Cyberabwehr-Pflichten. 

3. Wer ist von DORA betroffen?

Die DORA-Verordnung gilt für alle Banken und Kreditinstitute, Versicherungs- und Rückversicherungsunternehmen, Investmentfirmen, Zentralverwahrer, Dienstleister für Krypto-Assets, Zahlungsdienstleister und elektronische Zahlungsanbieter, Kreditratingunternehmen, Kapitalverwaltungsunternehmen, Dienstleister im Bereich des Crowdfunding, Entwickler von Banking-Apps, Hersteller von Geldautomaten und zudem weitere Unternehmen wie Transaktions- und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste (siehe Art. 2 DORA).

Für Versicherungs- und Rückversicherungsvermittler gilt DORA ab 250 Beschäftigten und einem Jahresumsatz von über 50 Mio. EUR und/oder einer Jahresbilanzsumme von über 43 Mio. EUR verpflichtend.

4. Wer ist von DORA ausgenommen?

DORA gilt nicht für Versicherungsvermittler und Rückversicherungsvermittler, in Tätigkeit als Kleinstbetrieb, kleine oder mittlere Unternehmen, die weniger als zehn Mitarbeiter haben oder keine zehn Millionen Euro Bilanzsumme erreichen. Ebenso für einzelne Unternehmensgruppen wie Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung.

5. Was regelt DORA im Detail?

In den folgenden Bereichen stärkt DORA schwerpunktmäßig den europäische Finanzsektor durch seine Regelungen:

IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16 DORA)

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23 DORA)

Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27 DORA)

Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA)

Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44 DORA)

Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49 DORA)

6. Welche Pflichten gehen mit dem Ablauf der Umsetzungsfrist für die betroffenen Unternehmen einher?

Die von DORA erfassten Finanzunternehmen und IKT-Dienstleister haben folgende Pflichten:

Regelmäßige Risikokontrolle

Die Pflicht zur regelmäßige Risikokontrolle umfasst:

Eine mindestens einmal jährliche Evaluierung der Abwehrbereitschaft gegen Cyberrisiken durch Überprüfung kritischer ITK-Systeme durch Schwachstellenbewertungen, Penetrationstests, Netzsicherheitsbewertungen, Open-Source-Analysen, Überprüfungen der physischen Sicherheit, Scans von Softwareprodukten, sofern möglich Quellcodeüberprüfungen, Kompatibilitäts- und Leistungstests sowie End-to-End-Tests auf Einfallstore für Cyberangriffe.
Bitte beachten: Die Überprüfungen sollen in der Regel durch spezialisierte externe Dienstleister erfolgen. Interne Tests können nur im Ausnahmefall und bei Einhaltung spezifische Bedingungen erfolgen, wenn sie durch die Aufsichtsbehörde zugelassen wurden.

(siehe Kapitel II DORA)

Umfangreiche Meldepflichten

Die Pflicht zur umfangreichen Meldung umfasst:

Die Einrichtung eines Managementprozesses zur Überwachung und Protokollierung von ITK-Sicherheitsvorfällen.

Zudem müssen schwerwiegender ITK-Vorfälle an die Finanzaufsichtsbehörden gemeldet werden.

Freiwillige können zudem Meldung erkannter Cyberbedrohungen an die Aufsicht gemeldet werden.

(siehe Kapitel III DORA)

Verzeichnis über ITK-Verträge

Die Pflicht eines Verzeichnisses über ITK-Verträge umfasst:

Die Führung eines Verzeichnisses aller ITK-Verträge mit Dritten und bei Verlangen der Aufsichtsbehörden die Vorlage bei diesen.

Zudem müssen die ITK-Dienstleister vor Vertragsabschluss sorgfältig geprüft werden.

(siehe Kapitel II DORA)

7. Welche Vorbereitungen können bereits vor Ablauf der Umsetzungsfrist von betroffenen Unternehmen getroffen werden?

Sofern eine Betroffenheit von DORA vorliegt, kann bereits jetzt ein IKT-Risikomanagementsystem aufgebaut werden, die digitale Resilienz getestet werden und ein IKT-Drittparteirisikomanagement eingeführt werden. Die Überprüfung soll im Regelfall durch spezialisierte externe Dienstleister vorgenommen werden, so dass es sich anbietet, bereits jetzt in Kontakt mit entsprechenden Dienstleistern zu treten.

Rechtsgrundlagen
DORA-Verordnung (Verordnung (EU) 2022/2554)