DORA aus Sicht der IKT-Dienstleister – macht euch auf etwas gefasst!

Der Digital Operational Resilience Act (DORA) treibt die Finanzbranche Die Zusammenarbeit zwischen Finanzinstituten und ihren IKT-Dienstleistern wird sich verändern, vor allem intensiver werden müssen. Es wird dadurch zu signifikanten Mehraufwänden kommen. Warum das so ist, lesen Sie hier.

Was bisher geschah: Am 16.Januar 2023 trat die EU-Richtlinie zur Umsetzung der DORA-Anforderungen in Kraft. Ziel ist, europaweit die Widerstandsfähigkeit der Finanzindustrie und die ihrer kritischen Informations- und Kommunikationstechnologie-Dienstleister (IKT-DL) zu stärken. DORA ist somit ein Bollwerk gegen ansteigende Cyber-Risiken, denn die Attacke auf Banken und ihre IKT-DL nehmen zu.  

Die Fakten (vom Bundesamt für Informationssicherheit (BSI))

• 116 Millionen aktive Schadprogramme.
• Jeden Tag entstehen im Durchschnitt rund 436.000 neue Varianten von diesen Schadprogrammen.
• Die Anzahl der kritischen entdeckten Sicherheitslücken ist 2022 im Vergleich zum Vorjahr um zehn Prozent gestiegen. 50 Prozent dieser Lücken sind als kritisch einzustufen.

Die Auswirkungen: Die Zahl Schäden durch Cybercrime steigt bei Unternehmen in Deutschland. Dass die Lage im Finanzsektor durchaus kritisch ist, unterstreichen verschiedene Cyberangriffe in diesem Jahr auf Institute, beispielsweise auf die Deutsche Leasing. Zudem nehmen Cyberkriminelle verstärkt die IKT-Dienstleister der Finanzbranche ins Visier. Ein prominentes Beispiel ist der Vorfall rund um Kontowechsel24.de in diesem Sommer.

DORA enthält deshalb bewusst Anforderungen, wie sich Finanzinstitute besser vor Cyberangriffen schützen, wenn sie mit IKT-DL zusammenarbeiten. Und das wird wohl für jeden Finanzdienstleister in Deutschland gelten. Umso wichtiger ist, dass sich Banken und ihre Partner gemeinsam die DORA-Passagen über IKT-Dienstleister genau anschauen. Hier ein Überblick:

Wann bin ich ein IKT-Dienstleister im DORA-Sinne?

Ein Dienstleister fällt unter die DORA wenn dieser,

„digitale Dienste und Datendienste erbringt, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren, jedoch unter Ausschluss von Anbietern von Hardwarekomponenten“. DORA, Artikel 3(15)

Potenziell betrifft dies alle Leistungen, bei denen Daten ausgetauscht werden, ein Zugriff auf oder über Schnittstellen bereitgestellt wird und wenn Softwaremodule im Rahmen der Prozesse eines Institutes eingesetzt werden. Wer Leistungen, wie Reinigungsdienste, Catering, Liefer- und Kurierdienste oder Leistungen erbringt, die im Rahmen von Arbeitnehmerüberlassung durchgeführt werden, fallen nicht unter die DORA-Definition.

Die DORA-Definition ist sehr weit gefasst. Leistungen die IKT-Dienstleister für Finanzinstitute in den Kategorien „Fremdbezug IT“ sowie „Auslagerung oder Ausgliederung“ im Sinne der Vorschriften MaRisk/BAIT/VAIT/ZAIT erbringen, sind DORA-Leistungen. Ein wesentlicher Unterschied von DORA zu MaRisk und BAIT ist die unterschiedliche Klassifizierung. MaRisk unterscheidet zwischen einer Auslagerung und einer wesentlichen Auslagerung, DORA spricht von der Unterstützung kritischer und wichtiger Funktionen.

Was bedeutet kritisch oder wichtige Funktion? Wer bestimmt dies?

Eine kritische oder wichtige Funktion ist:

„eine Funktion, deren unterbrochene, eingeschränkte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach anwendbaren Finanzdienstleistungsvorschriften oder seine finanzielle Leistungsfähigkeit oder die Solidität oder Kontinuität seiner Dienstleistungen und Tätigkeiten erheblich beeinträchtigen würde.“ DORA, Artikel 3(17)

Ein Institut stellt die Kritikalität seiner Prozesse, Funktionen und Ressourcen in der Regel im Rahmen einer Business-Impact-Analyse fest (vgl. z.B. BSI-Standard 200-4). Dabei werden auch die von Drittdienstleistern bezogenen Prozesse, Funktionen und Ressourcen bewertet. Dabei wird betrachtet, in welche Form die Dienstleistung zur Kritikalität des zugrundeliegenden Prozesses beiträgt.

Das heißt: Jedes Finanzinstitut bestimmt für sich, ob die von einem bestimmten Dienstleister bezogene Leistung eine kritische oder wichtige Funktion unterstützt. Bietet ein Dienstleister seine Leistung mehreren Instituten an, so können verschiedene Institute zu unterschiedlichen Einschätzungen kommen.

Wieso die Anforderungen an die Dienstleister deutlich zunehmen!

Klingt eigentlich nach einer Erleichterung für die IKT-DL. Die Definition der kritischen und wichtigen Funktionen ist schließlich deutlich enger gefasst als der Wesentlichkeitsansatz der MaRisk AT 9.

Ein Blick ins DORA-Kleingedruckte zeigt allerdings, dass die generellen Anforderungen, die DORA an den Bezug von IKT-Diensten stellt, es ganz schön in sich haben. Das gilt beispielsweise für die Vertragsgestaltung. Sämtliche Dienstleistungsverträge müssen unter anderem eine klare und vollständige Beschreibung aller Funktionen und Dienstleistungen des IKT-DL enthalten, inklusive quantitativer und qualitativer Leistungsziele sowie eine Regelung zur Implementierung und zum Testen von Notfallplänen.

Hinzu kommen weitere Verpflichtungen für IKT-DL im Rahmen der operationalen Resilienz. Das Finanzinstitut muss sicherstellen, dass der Dienstleister über ein effektives Schwachstellen-Management verfügt und regelmäßig an das Finanzinstitut berichterstattet. Kommt es zu IKT-Vorfällen bei dem Dienstleister oder einem seiner Subpartner muss es eine zeitnahe Berichtskette geben. Unterstützt der Dienstleister zudem kritische oder wichtige Funktionen (z.B. im Bereich des Zahlungsverkehrs, im Online-Banking oder bei der Kreditbeantragung und -bearbeitung), kommen weitere Sicherheitstestpflichten dazu. Der IKT-DL muss zum Beispiel nachweisen, dass er Penetration-Tests durchführt.

Damit aber nicht genug mit dem Reporting: Zu den Reports zu Vorfällen kommen Service Delivery Reports, Berichte zur Informationssicherheit, inklusiver der Maßnahmen zur Aufrechterhaltung der Geschäftstätigkeiten sowie der durchgeführten Notfalltests. Zertifizierungen über das eigene Informationssicherheitsmanagement wie die ISO 27001 werden an Bedeutung gewinnen, da nach Artikel 25 (6) ein Finanzinstitut nur einen Vertrag mit Dienstleistern schließen darf, die „hohe, angemessene und aktuelle Standards für Informationssicherheit“ einhalten.

Klar ist: Es gibt mehr Anforderungen an die Finanzinstitute: durch die geänderte Klassifizierung und eine deutlich höhere Anzahl von Dienstleistern, die von diesen Änderungen betroffen sind. Die Finanzinstitute werden und müssen diese Anforderungen an die IKT-DL weitergeben, um nicht selbst Feststellungen im Rahmen von internen und externen Prüfungen zu erhalten.

Was ist jetzt als IKT-Dienstleister zu unternehmen?

Damit sie rechtzeitig verstehen, welche Änderungen auf Sie zukommen, sollten sich die Dienstleister von Finanzinstituten frühzeitig mit der Materie auseinandersetzen. Es gibt bestimmt die eine oder andere Lücke zu schließen, und es lohnt sich, die Kosten für die neuen Anforderungen zu kalkulieren – Ressourcenplanung inklusive. Schließlich sind diese Berechnungen wichtig für die kommenden Verhandlungen mit den Finanzinstituten. Da möchte und sollte jeder Partner gut vorbereitet reingehen. Sopra Steria unterstützt hier mit unserem DORA-Health Check dabei die wesentlichen Handlungsfelder zu identifizieren und begleitetet die Abstimmungen mit Ihren Kunden.

Für Fragen zu den Auswirkungen von DORA auf IKT-Dienstleister stehe ich Ihnen im Rahmen eines kostenfreien Erstgespräches gerne zur Verfügung.