Am 11. Mai 2022 hat die Europäische Union (EU) eine vorläufige Einigung über den neuen Digital Operational Resilience Act (DORA) erzielt. Trotz der Formulierung ist an DORA nichts „Vorläufiges“. Tatsächlich ist eine der weltweit weitreichendsten Cybersicherheitsvorschriften für Finanzdienstleistungen und ihre Lieferketten größtenteils beschlossene Sache.
Bis zur formellen Verabschiedung, die irgendwann im Oktober dieses Jahres erwartet wird, müssen nur noch eine Handvoll technischer Änderungen und die Übersetzung in die 24 Amtssprachen der EU-Mitgliedstaaten vorgenommen werden.
DORA ist die Antwort der EU auf die ständig zunehmende Zahl von Cyberangriffen gegen Finanzinstitute. Ziel ist es, die Sicherheit von EU-Finanzunternehmen wie Banken, Versicherungsgesellschaften, Wertpapierfirmen usw. zu stärken, indem Anforderungen an die Widerstandsfähigkeit gestellt und die Lieferkette reguliert werden. Aber wie ich in einem bemerkt habe früheren PostDie Grundsätze von DORA gehen weit über die EU und ihren Finanzsektor hinaus.
Die einheitlichen Anforderungen von DORA an die Sicherheit von Netzwerk- und Informationssystemen umfassen nicht nur Unternehmen im Finanzsektor, sondern auch wichtige Drittanbieter, die Informations- und Kommunikationstechnologie-bezogene Dienstleistungen für den Finanzsektor bereitstellen, wie etwa Cloud-Plattformen und Datenanalysen.
Tatsächlich erstreckt sich die Reichweite von DORA auf praktisch jedes Unternehmen, das Dienstleistungen im Bereich Informations- und Kommunikationstechnologie (IKT) anbietet, die als entscheidend für die Lieferkette des europäischen Finanzsektors gelten – unabhängig davon, ob dieses Unternehmen oder diese Dienstleistung ihren Sitz innerhalb der EU hat oder nicht. Tatsächlich gelten unter DORA sowohl die Komplexität der Lieferkette als auch die mangelnde Präsenz in der EU als Risikofaktoren.
Neue regulatorische Perspektiven fordern
DORA ist insofern einzigartig, als es einer Vielzahl globaler Unternehmen ein neues und anderes Maß an regulatorischer Kontrolle bietet. DORAs Anforderungen Mandat – und nicht nur darauf hindeuten –, dass die Bestimmungen eingehalten werden. Ebenso wichtig ist, dass die Auswirkungen dieser neuen Ebene der regulatorischen Kontrolle je nach Standpunkt des Unternehmens unterschiedlich sind.
Finanzinstitute, die an ein regulatorisches Umfeld gewöhnt sind, das in erster Linie auf die Bewertung finanzieller Risiken und Stabilität ausgerichtet ist, müssen nun das potenzielle Risiko, das von ihren IKT-Aktivitäten ausgeht, genauso ernst nehmen. Finanzinstitute sind es gewohnt, Risiken in Form von Kapitalanforderungen zu berücksichtigen. DORA verfolgt einen anderen Ansatz, indem es spezifische Verhaltens- und Leistungsanforderungen vorschreibt. Aus Sicht der Finanzinstitute hat diese Risikoerhöhung Auswirkungen auf zahlreiche Aspekte ihres Geschäfts, etwa auf die Art und Weise, wie sie Technologie nutzen und wie sie ihr Geschäft durch den Übergang zu neuen Technologien wie Cloud Computing verändern. Dazu gehören allgemeine Risikomanagementstrategien und -fähigkeiten, die Sicherheit der Lieferkette sowie die Personalausstattung und Richtlinien der Organisation zur Gewährleistung einer ordnungsgemäßen IKT-Risikobewertung und -Compliance.
DORA verändert auch die regulatorische Perspektive von IKT-Organisationen. Bisher wurden sie hauptsächlich in datenbezogenen Fragen wie Datenschutz und Meldung von Datenschutzverletzungen reguliert, basierend auf Bedenken hinsichtlich personenbezogener Daten und politischen Zielen wie der digitalen Souveränität. Da fallen mir bahnbrechende Regeln wie die Datenschutz-Grundverordnung (DSGVO) in Europa und der neuere California Consumer Privacy Act (CCPA) in den USA ein.
IKT-Organisationen haben möglicherweise auch andere regulatorische Verpflichtungen zur Sicherheit oder wurden als kritische Infrastruktur eingestuft, je nachdem, wo sie sich befinden, z. B. im Rahmen der Richtlinie zur Netzwerk- und Informationssicherheit (NIS) in Europa die Cybersecurity Act 2018 in Singapur, oder sektorspezifische Gesetzgebung für spezialisierte Branchen wie die Telekommunikation in den Vereinigten Staaten.
Wenn IKT-Unternehmen nun Finanzinstitute in der EU bedienen, unterliegen sie höchstwahrscheinlich auch der DORA. Zusätzlich zu ihren vorherigen Regulierungsrahmen werden diejenigen IKT-Anbieter, die als Anbieter kritischer Dienste eingestuft sind, plötzlich auf eine Art und Weise durch DORA reguliert, die den Eindruck erweckt, als würden sie es werden Erweiterungen der EU-Finanzinstitute, die sie bedienen. Unabhängig davon, wie man es betrachtet, ist das eine dramatische Veränderung – sowohl für Finanzinstitute als auch für IKT-Anbieter.
Aber das ist nicht alles. DORA verändert die Perspektive für die regulatorische Einrichtung der EU. Regulierungsbehörden, die Experten für die Compliance von Finanzinstituten sind, müssen ihren Wirkungsbereich nun auf IKT-Anbieter ausweiten, die kritische Dienste anbieten, wie etwa Cloud-Anbieter, Datenanalysedienste und andere nichtfinanzielle Unternehmen. In Ländern mit komplexen Regulierungsstrukturen besteht auch die Notwendigkeit, mit anderen Stellen zusammenzuarbeiten, die mit der Regulierung dieser zusätzlichen Arten von Nichtfinanzindustrien beauftragt sind.
Den Herausforderungen begegnen
DORA verlangt von EU-Finanzinstituten, ihre eigene Cybersicherheits- und Risikomanagementreife zu bewerten. Das Verständnis und die Steuerung der Risikoleistung ihrer Lieferkette werden dabei von zentraler Bedeutung sein.
Im Allgemeinen beherrschen Finanzinstitute Stresstests zur Bestimmung der Sicherheit und Finanzstabilität. Es ist eine andere Herausforderung, diese Art von Tests auf andere Organisationen auszudehnen. Für den EU-Finanzsektor stellt die Frage, wie Lieferanten, Risikomanagement und operative Fähigkeiten in einer immer komplexeren und ausgedehnteren Lieferkette verwaltet werden sollen, das größte Rätsel dar.
Beispielsweise könnte ein Finanzinstitut seinen Hauptsitz in Europa haben, aber alle seine Supportaktivitäten an Unternehmen mit Sitz in Indien ausgelagert haben. Bei diesen Unterstützungsdiensten handelt es sich technisch gesehen möglicherweise nicht um Finanzinstitute. DORA verlangt jedoch, dass das Finanzinstitut beurteilt, ob der Anbieter für seinen Betrieb von entscheidender Bedeutung ist, und die entsprechenden DORA-Anforderungen auf diese Beziehung anwendet.
Für Unternehmen, die nicht in der EU ansässig sind, geht es vor allem um die Frage der Zuständigkeit und des Marktzugangs. Nicht betroffen sind Finanzinstitute oder IKT-Anbieter, die außerhalb der EU tätig sind. Wenn es sich bei dem Unternehmen jedoch um ein Finanzinstitut oder einen IKT-Dienstleister handelt, der den EU-Finanzsektor in irgendeiner Weise bedient, unterliegt es höchstwahrscheinlich direkt oder indirekt der DORA.
Countdown bis 2024
Sofern sich am endgültigen Text nichts ändert, tritt DORA 24 Monate nach seiner offiziellen Verabschiedung in Kraft. Realistisch gesehen dürfte dies gegen Ende des Jahres 2024 der Fall sein. Die gute Nachricht ist, dass Unternehmen dann genügend Zeit haben, sich auf die Einhaltung der Vorschriften vorzubereiten. Am wichtigsten ist, dass es nicht zu lang ist, um in einen typischen Unternehmensbudgetzyklus einbezogen zu werden.
Aber bevor Ihnen diese Frist einfällt, beginnen Sie mit der Vorbereitung jetzt an. Hier sind fünf wichtige Schritte:
- Nutzen Sie die Zeit bis 2024 sinnvoll.
- Verstehen Sie, wo Sie sind. Suchen, finden und identifizieren Sie Ihre Compliance-Lücken.
- Bestimmen Sie, was Sie zur Behebung Ihrer Lücken benötigen.
- Informieren Sie sich und holen Sie sich die Zustimmung der Geschäftsleitung.
- Budget für die 24 Monate.
Die Uhr tickt.
