Written by 12:00 Mitglieder

Digital Operational Resilience – der nächste große Schritt

Eine vorläufige Einigung über den Digital Operational Resilience Act (DORA) ist erzielt worden. Die Reaktion darauf wird die Banken in Europa vor eine Reihe von Herausforderungen stellen – und was sollten sie jetzt tun, um sie zu meistern?

Am 10. Mai erzielten der Europäische Rat und das Europäische Parlament eine vorläufige Einigung über den Digital Operational Resilience Act (DORA) und brachten das Gesetz damit einen Schritt näher an die Realität. DORA wird den gesamten Finanzsektor abdecken, einschließlich kritischer Drittanbieter (CTPPs) wie Cloud-Computing- und Software-Anbietern. Sie ist Teil des Digital Finance Package der Europäischen Kommission vom September 2020, zusammen mit einer Digital Finance Strategy, einem Entwurf für eine Verordnung über Märkte für Krypto-Assets (MiCA) und einem Vorschlag über Distributed-Ledger-Technologie.

DORA ist ein Meilenstein in der europäischen Finanzregulierung. Mit ihr wird ein umfassender, kohärenter EU-Rahmen für regulierte Finanzinstitute geschaffen, der die Widerstandsfähigkeit der Informations- und Kommunikationstechnologien (IKT) gegen alle Arten von Störungen und Bedrohungen gewährleistet. Sie ersetzt den derzeitigen Flickenteppich an IKT-bezogenen Vorschriften und anderen Initiativen in der EU. Statt Sicherheitsdisziplinen isoliert zu betrachten, soll ein ganzheitlicher Überwachungs- und Kontrollrahmen geschaffen werden, der das IKT-Risikomanagement, die Meldung von Zwischenfällen, das Kontinuitätsmanagement und das Outsourcing umfasst.

Laut dem Jahresbericht über die Ergebnisse des Fragebogens zu den IT-Risiken des SREP 2020 ist Outsourcing im europäischen Bankensektor weit verbreitet: 60 % der Banken haben ihre Tätigkeiten entweder vollständig oder weitgehend ausgelagert. Hinzu kommt, dass 85 % der Banken irgendeine Form von Cloud-Computing-Diensten nutzen, wobei sich die Ausgaben für die Cloud von 3 % der gesamten IT-Outsourcing-Ausgaben im Jahr 2018 auf 6 % im Jahr 2019 verdoppelt haben. Dies alles zeigt, dass DORA für den europäischen Bankensektor aufgrund der bereits weit verbreiteten Nutzung von CTPP und Cloud Computing ein sehr relevantes Thema ist.

DORA zielt darauf ab, den Risiken zu begegnen, die sich aus der zunehmenden Interkonnektivität, Digitalisierung und Abhängigkeit von Dienstleistungen Dritter ergeben, und zwar durch:

  • Straffung und Verbesserung der bestehenden Vorschriften und Einführung neuer Regeln, wo Lücken bestehen
  • Verbesserung der Abstimmung zwischen Unternehmensstrategien und IKT-Risikomanagement, Stärkung der Risikokontrolle und Gewährleistung, dass Unternehmen Schwachstellen erkennen und ihre Widerstandsfähigkeit bewerten können
  • Harmonisierung und Straffung der Mechanismen zur Meldung von Vorfällen, Verringerung der Kostenbelastung für die Unternehmen und Verbesserung des Einblicks der Aufsichtsbehörden, indem ihnen Zugang zu relevanten Informationen gewährt wird
  • Angemessene Anwendung der Testanforderungen auf der Grundlage der Größe, der Geschäftstätigkeit und des Risikoprofils der Unternehmen
  • Stärkung der Beaufsichtigung und Überwachung von IKT-Operationen Dritter durch die Unternehmen
  • Schärfung des Bewusstseins für IKT-Risiken und Minimierung ihrer Ausbreitung durch Informationsaustausch, der es den Firmen ermöglicht, Erkenntnisse über Cyber-Bedrohungen auszutauschen

DORA könnte die Finanzinstitute vor große Herausforderungen stellen. Erstens wird es schwierig sein, einen einzigen Rahmen auf Unternehmen anzuwenden, die von großen, komplexen Konzernen bis zu kleinen, einfachen Unternehmen reichen. Zweitens werden Softwareanbieter und andere Dienstleister in den Regelungsbereich einbezogen. Drittens wird sie durch weitreichende Durchsetzungsbefugnisse unterstützt.

Insbesondere für Banken erscheint DORA zu einer Zeit, in der viele noch an der Umsetzung der EBA-Leitlinien für Outsourcing-Vereinbarungen arbeiten, was eine zentrale Erwartung der EZB ist, ungeachtet aller anderen Papiere, die sich mit verwandten Themen überschneiden, einschließlich der Basler Grundsätze für die operationelle Widerstandsfähigkeit, der Richtlinie zur Netzinformationssicherheit und anderer nationaler Anforderungen. Es gibt eindeutig Raum für Überschneidungen oder Interaktionen zwischen den verschiedenen Initiativen.

Vor diesem Hintergrund wird die Umsetzung von Teilen der DORA-Gesetzgebung für die Banken eine Herausforderung darstellen, und dazu gehören wahrscheinlich:

  • IKT-Risikomanagement: Bestimmte Elemente der DORA – wie z.B. Artikel 10, der eine detaillierte Aufzeichnung der Aktivitäten vor und während eines IT-Störfalls verlangt, oder Artikel 11, der die Wiederherstellung gesicherter Daten innerhalb einer nicht verbundenen Betriebsumgebung vorschreibt – werden wahrscheinlich kostspielig sein und die Flexibilität einschränken. Sie werden vor allem für kleinere Banken eine Herausforderung darstellen und könnten die Fragmentierung der Technologie vorantreiben, da die meisten Bankkonzerne die IKT im Allgemeinen nicht auf der Basis der einzelnen Unternehmen strukturieren.
  • Fortgeschrittene Testverfahren: Der Fokus auf Resilienztests für Banken wird zunehmen, und bedrohungsgeleitete Penetrationstests funktionierender Systeme werden für mehr Organisationen obligatorisch werden, und es wird möglich sein, mehrere nationale Behörden in die Testverfahren einzubeziehen. Dies könnte die Kosten und den Bedarf an anderen Ressourcen erheblich erhöhen.
  • IKT-Risiko für Dritte: DORA führt eine stärkere Überwachung der CTPPs ein, da Finanzdaten zunehmend aktiv von Dritten gehostet oder passiv verarbeitet werden. Anbieter, die als „kritisch“ eingestuft werden, unterliegen der direkten Aufsicht durch die europäischen Behörden, obwohl die Definition von kritischen Anbietern derzeit unklar ist. Vorgeschriebene Anforderungen wie die Anwendung der neuesten Sicherheitsstandards könnten für kleinere Banken oder solche mit Altsystemen eine Herausforderung darstellen.
  • Triage und Meldung größerer Vorfälle: Die neuen Meldepflichten sind klarer und einheitlicher, aber neue und ortsspezifische Meldepflichten können die Bewältigung eines größeren Vorfalls schwieriger und unsicherer machen. Unklar ist auch, wie die Aufsichtsbehörden die riesigen Mengen an Meldungen von Zwischenfällen bewältigen und die anschließende Ursachenanalyse durchführen werden.

Was können die Banken jetzt tun, um diese Herausforderungen zu meistern? Der Ansicht von KPMG-Experten nach sind die wichtigsten Prioritäten:

  1. Verstehen, dass ein neuer, einheitlicher Ansatz erforderlich ist. Selbst führende Banken werden Änderungen vornehmen müssen, um das neue System einzuhalten und die einheitlicheren Erwartungen der Aufsichtsbehörden in Bezug auf Kontrollen, Risikomanagement, Berichterstattung und Sanierung zu erfüllen. In einigen Fällen wird eine Umgestaltung der Betriebsmodelle erforderlich sein.
  2. Kennen Sie Ihren aktuellen Stand. Die Banken sollten ihre derzeitige Position kennen und sich mit den Anforderungen der DORA vergleichen. Zumindest sollten sie Lücken erkennen und die für die Planung und Umsetzung einer erfolgreichen Umstellung erforderlichen Ressourcen mobilisieren.
  3. Schaffen Sie die richtigen Verantwortlichkeiten und Talente. Die Banken müssen sicherstellen, dass ihre Betriebsmodelle über die erforderlichen Zuständigkeiten und Talente verfügen, um den Übergang von ihrer derzeitigen Position zu dem Endzustand zu schaffen, der erforderlich ist, um die Erwartungen der DORA zu erfüllen.
  4. Seien Sie realistisch, was die möglichen Kosten angeht. Je nach ihrem derzeitigen Status könnten die Banken feststellen, dass die zusätzlichen Anforderungen von DORA in einer Reihe von Sicherheitsdisziplinen erhebliche Investitionen nach sich ziehen und künftige Rentabilitätsziele beeinträchtigen könnten, was bereits ein Hauptaugenmerk der EZB bei der Bewertung ihrer Geschäftsmodelle ist.
  5. Ergreifen Sie die Chance. DORA ist nicht nur eine reine Compliance-Anforderung. Durch die Vereinheitlichung der Regulierung des IKT-Risikomanagements bietet sie den Banken die Möglichkeit, ihre operativen Risikokontrollkapazitäten zu bündeln und ein hohes Maß an operativer Bereitschaft und Widerstandsfähigkeit in der gesamten Organisation zu erreichen.

Zusammenfassend lässt sich sagen, dass DORA eine Reaktion auf das immer komplexere technologische Umfeld ist, in dem Banken tätig sind. Die Notwendigkeit für die Institute, auf Vorfälle vorbereitet zu sein und in der Lage zu sein, auf diese effektiv zu reagieren und sich von ihnen zu erholen, ist größer denn je. DORA stellt sowohl eine Herausforderung als auch eine Chance dar, die Cyber-Resilienz wiederherzustellen.

Text: KPMG
Titelbild: Unsplash

Übersetzung der Redaktion

(Visited 13 times, 1 visits today)
Close