MEINUNG24. Oktober 2023

DORA-Verordnung: Wie Banken Synergien in der Cybersicherheit und Resilienz heben

In einer immer stärker digitalisierten Welt wird die Sicherheit und Widerstandsfähigkeit des Finanzsektors zunehmend zur Priorität. Die EU hat reagiert und den Digital Operational Resilience Act (DORA) ins Leben gerufen, eine Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Cybersicherheit von Finanzunternehmen zu stärken. Doch was genau verbirgt sich hinter DORA und wie wird sie den Finanzsektor beeinflussen? Hendrik Fundermann, COO für den Geschäftsbereich Financial & Professional Services bei der d.velop AG, bringt Licht ins Dunkel. In einem exklusiven Interview mit dem IT-Finanzmagazin geht er auf die Details der DORA-Verordnung ein und erklärt, warum sie so entscheidend ist.

Zunächst einmal: Was verbirgt sich hinter der DORA-Verordnung und wie wirkt sie sich auf den Finanzsektor aus?

Hendrik Fundermann: Beim Digital Operational Resilience Act (DORA) handelt es sich um eine Verordnung der EU, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit (Resilienz) von Unternehmen im Finanzsektor zu stärken und das Vertrauen der Verbraucher und Investoren in die Finanzmärkte zu wahren. Da sie als EU-Verordnung formuliert wurde, ist sie unmittelbar gültig und muss nicht erst noch in nationales Recht überführt werden. DORA schafft ein kohärentes europäisches Regelwerk für die digitale Betriebsfähigkeit sowie Cybersicherheit im Finanzsektor und setzt strenge Anforderungen an die Institute, um sicherzustellen, dass sie gut vorbereitet sind, um auf digitale Störungen und Sicherheitsvorfälle zu reagieren.

Unternehmen im Finanzsektor sollten sich daher intensiv mit den Anforderungen der DORA-Verordnung auseinandersetzen und sicherstellen, dass sie diese erfüllen. Es gilt jedoch zu berücksichtigen, dass vor allem auch die deutsche Aufsicht mit den BAIT, VAIT etc. in Verbindung mit den MaRisk und dem KGW bereits diverse Rahmenwerke geschaffen hat, auf die sehr gut aufgebaut werden kann. Sprich, deutsche Institute starten meines Erachtens aus einer vergleichsweise komfortablen Situation. Ausruhen darauf sollten sie sich dennoch nicht. Vielmehr gilt es, diese ordentliche Ausgangslage sowie die verbleibende Zeit zu nutzen, um die eigene Systemlandschaft entsprechend auf- und auszubauen.

Aus welchen Beweggründen und mit welchem Ziel ist die DORA-Verordnung entstanden?

Hinter DORA steht der Präventionsgedanke, auf den die europäische Bankenaufsicht besonderen Wert legt und die Verordnung wurde entwickelt, um auf die zunehmenden Herausforderungen im Zusammenhang mit Cybersicherheit und der digitalen Widerstandsfähigkeit im Finanzsektor zu reagieren. Folgende Hauptgründe ausschlaggebend: Zum einen geht es dabei um zunehmende digitale Bedrohungen. Denn der Finanzsektor ist ein attraktives Ziel für Cyberkriminelle aufgrund der großen Mengen an finanziellen Daten und Transaktionen, die er verwaltet. Die Bedrohungen im Zusammenhang mit Cyberangriffen und digitalen Störungen haben in den letzten Jahren erheblich zugenommen. Hinzu kommen systemische Risiken.

Ein schwerwiegender Cybersicherheitsvorfall in einem Finanzunternehmen kann schließlich nicht nur das betroffene Unternehmen, sondern auch das gesamte Finanzsystem destabilisieren.”

Hendrik Fundermann, d.velop

Dann ist da noch die Harmonisierung und Standardisierung. Denn DORA zielt darauf ab, ein kohärentes europäisches Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor zu schaffen. Dies soll sicherstellen, dass Finanzunternehmen in der gesamten EU ähnlichen Anforderungen genügen und so die regulatorische Fragmentierung reduzieren. Außerdem geht es um die Verbesserung der Vorbereitung und Reaktion. So soll DORA Finanzunternehmen dazu anhalten, besser auf digitale Störungen und Sicherheitsvorfälle vorbereitet zu sein und effektiv auf diese reagieren zu können.

Nicht vergessen werden darf zuletzt das Thema Vertrauenswürdigkeit und Verbraucherschutz, da der Finanzsektor eine entscheidende Rolle im Leben der Menschen und Unternehmen spielt und für die Aufbewahrung von Ersparnissen, Investitionen und Zahlungsverkehr verantwortlich ist. Die Gewährleistung der Sicherheit und Vertrauenswürdigkeit des Finanzsektors ist von grundlegender Bedeutung, um das Vertrauen der Verbraucher und Investoren aufrechtzuerhalten.

Wer muss sich nun konkret mit der Regulatorik auseinandersetzen?

Mbruxelle / Bigstock

Grundsätzlich zielt die Verordnung auf das europäische Finanzsystem ab, sodass wir gerade für den deutschen Markt annehmen dürfen, dass sich vor allem alle von der BaFin regulierten Unternehmen mit DORA auseinandersetzen müssen. Dazu gehören zunächst einmal alle Arten und Ausprägungen an Banken und Versicherungsgesellschaften. Hinzu kommen Wertpapierfirmen, also jene Unternehmen, die im Handel mit Wertpapieren und anderen Finanzinstrumenten tätig sind, wie beispielsweise Broker. Außerdem sind da die Zahlungsdienstleister, darunter auch E-Geld-Institute und nicht zuletzt auch Kreditinstitute und Finanzdienstleister im Sinne der BaFin-Regulierung.

Zudem wird DORA zukünftig auch IKT-Unternehmen und auch deren Funktionen nach ihrer Kritikalität einstufen. Die Aufsichtsbehörden behalten sich also das Recht vor, systemrelevante Anbieter (sog. kritische IKT-Dienstleister) und Anbieter von als kritisch/wichtig eingestuften Funktionen unmittelbar in den Fokus zu rücken und einer direkten Aufsicht durch die Aufsichtsbehörden zu unterziehen. Zusätzlich wird ein zentrales Melderegister für Vorfälle bzw. Anbieter implementiert. Dies bedeutet, dass meines Erachtens auch alle IKT-Dienstleister, die den Financial-Service-Markt in Europa adressieren, sich der DORA-Verordnung und ihrer Auswirkung auf die eigenen Systeme bewusst sein sollten.

Bis wann ist DORA umzusetzen und wie genau geht das?

Wie bei derartigen Verordnungen üblich, gibt es auch bei DORA eine Timeline, die es den betroffenen Instituten ermöglicht, die nötigen Schritte zur Einhaltung umzusetzen. So ist die Verordnung zwar bereits zum 17.01.2023 in Kraft getreten, allerdings findet ihre tatsächliche Anwendung erst zum 17.01.2025 statt. Ich rate jedoch allen betroffenen Unternehmen, sich mit der Thematik auseinanderzusetzen, um die verbleibenden Monate für entsprechende Anpassungen/Ergänzungen in Vertragswerken, der Systemlandschaft etc. zu nutzen.

Hendrik Fundermann, d.velop AG
d-velop

Hendrik Fundermann ist COO für den Geschäftsbereich Financial & Professional Services bei der d.velop AG. Als Master of Science (Banking & Finance) blickt er auf über 15 Jahre Berufserfahrung im Bankwesen zurück, davon mehr als zehn Jahre im Bereich Corporate Banking und Structured Finance.

Ein weiteres Thema, das den Finanzsektor aktuell umtreibt, ist NIS2. Lassen sich die beiden Dinge in einem Rutsch umsetzen oder hier zumindest Synergien heben?

Es bestehen Synergien bei der Umsetzung von DORA und NIS2, insbesondere in Bezug auf die Cybersicherheit und digitale Resilienz. Denn obwohl es sich um separate Gesetzgebungen handelt, verfolgen sie in Teilen gemeinsame Ziele. Beide fordern Unternehmen auf, robuste Sicherheitsmaßnahmen zu implementieren, Risikoanalysen durchzuführen und sicherheitsrelevante Vorfälle zu melden.

Die Unterschiede liegen hauptsächlich im Anwendungsbereich: DORA ist speziell auf den Finanzsektor ausgerichtet, während NIS2 eine breitere Palette von Sektoren abdeckt. “

Hendrik Fundermann, d.velop

Unternehmen sollten daher sicherstellen, dass sie die spezifischen Anforderungen jeder Gesetzgebung verstehen und entsprechende Maßnahmen zur Einhaltung ergreifen.

Was können IT-Dienstleister wie d.velop dazu beitragen? Und können Sie jeder Bank oder Versicherung helfen oder setzt dies bestimmte Systemumgebungen voraus?

In erster Linie ist es unsere Aufgabe, für die DORA-Readiness unserer eigenen Produkte und Lösungen zu sorgen, sodass unsere Kunden mit Blick auf die notwendige Prüfung der eigenen Systemlandschaft die d.velop Systeme mit ruhigem Gewissen betrachten können. Das sieht bereits heute, nach ersten Konsultationen unabhängiger Experten, schon sehr gut aus und entspricht somit unserem Selbstverständnis als europäischer Softwarehersteller mit einem den höchsten regulatorischen Ansprüchen entsprechenden Produktportfolio. So setzt z.B. mit der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) der oberste Regulator der deutschen Finanzindustrie unternehmensweit auf Lösungen aus dem Hause d.velop.

Ist das DORA-Thema denn da für Sie ein Türöffner bei Banken und Versicherungen – und sorgt das dafür, dass Banken ihre IT-Strategie in regulatorischer Hinsicht auf den Prüfstand stellen?

Natürlich erhoffen wir uns, über regulatorische Vorgaben wie DORA den einen oder anderen Neukunden zu gewinnen. So sehen wir Regulatorik nicht als Problem, sondern als Chance. Sie schützt gerade die von uns in den Fokus genommen hochregulierten Märkte, wie die öffentliche Verwaltung, das Gesundheitswesen und die Finanzmärkte vor zu viel teils kritischem Wildwuchs in der Softwarelandschaft. Dass all unsere Lösungen bereits heute schon auch als der Regulatorik entsprechende SaaS-Lösung zur Verfügung stehen, kommt uns aktuell zusätzlich zugute. Wenn unsere Kunden sich also wegen DORA schon mit der Systemlandschaft auseinandersetzen müssen, so tendieren sie in großen Teilen dazu, bei der Gelegenheit teils jahrzehntealte monolithische Strukturen aufzubrechen und in skalierbare zukunftsgerichtete Cloudanwendungen zu überführen. Genau da kommen wir mit unserem Angebot und unserem Beratungsansatz ins Spiel.

Herzlichen Dank für das Gespräch! tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert