I. Hintergrund
DORA kommt und soll für eine Harmonisierung der Sicherheit von Informations- und Kommunikationstechnologie (IKT), insbesondere mit Blick auf die zunehmenden Cyberrisiken im gesamten EU-Finanzsektor sorgen. Am 27.12.2022 wurde die DORA-Verordnung1 im Amtsblatt der EU veröffentlicht, anwendbar ist sie ab dem 17.01.2025. Parallel dazu wurde auch eine begleitende DORA-Richtlinie2 veröffentlicht, die bis 17.01.2025 national umzusetzen ist. Derzeit richtet sich in Deutschland der Blick auf einen für Herbst 2023 erwarteten Referentenentwurf für ein Umsetzungsgesetz. Unmittelbar drängt sich den Rechtsanwendern zudem die Frage nach dem Verhältnis zur sog. KRITIS-Verordnung3 und zu BaFin-Regelwerken wie BAIT4, VAIT5, KAIT6 und ZAIT7 auf.
II. Inhalt der DORA-Verordnung
Neben 106 Erwägungsgründen enthält die DORA-Verordnung neun Kapitel mit insgesamt 64 Artikeln.
- •
Kapitel I (Art. 1-4) enthält allgemeine Bestimmungen. Art. 1 legt den sachlichen Gegenstandsbereich fest. Dieser betrifft nicht nur das interne Risikomanagement, die Testanforderungen und das Meldewesen in Bezug auf IKT, sondern auch Anforderungen an vertragliche Vereinbarungen zwischen IKT-Drittdienstleistern und Finanzunternehmen, den Überwachungsrahmen für kritische IKT-Drittdienstleister bei der Erbringung von Dienstleistungen für Finanzunternehmen sowie die Behördenzusammenarbeit. Art. 2 regelt den personellen Geltungsbereich. Letztlich sind im dortigen Absatz 1 – bis auf wenige ausdrückliche Ausnahmen in Absatz 3 (wie etwa mit Blick auf Solvency II-Versicherer und kleine EbAVs) und national mögliche Ausnahmen auf Basis von Absatz 4 (die KfW) – nahezu alle Finanzunternehmen (insbesondere Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Zentralverwahrer, Handelsplätze, Versicherungsunternehmen, EbAVs, Ratingagenturen und IKT-Drittdienstleister) erfasst. Art. 3 enthält die Begriffsbestimmungen. Am wichtigsten ist dabei Art. 3 Nr. 1 mit der Begriffsbestimmung der digitalen operationalen Resilienz. Art. 4 beinhaltet den Grundsatz der Verhältnismäßigkeit bei der Anwendung insbesondere der Kapitel II bis V (im Versicherungsrecht auch als Proportionalität bekannt).
- •
Kapitel II (Art. 5-16) dreht sich um das IKT-Risikomanagement. Art. 5 definiert den internen Governance- und Kontrollrahmen, wobei das jeweilige Leitungsorgan verantwortlich ist. Nach Art. 6 muss jedes Finanzunternehmen einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen aufweisen. Art. 7 behandelt Details zu den jeweiligen IKT-Systemen, -Protokollen und -Tools. Art. 8 regelt die Identifizierung aller IKT-Risiken, Art. 9 die Schutz- und Präventionsmaßnahmen. In Art. 10 geht es um die Erkennungsmechanismen in Bezug auf anormale Aktivitäten. Art. 11 fordert Leitlinien der Reaktion und Wiederherstellung. Nach Art. 12 müssen eine Richtlinie und ein Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung erstellt werden. In den Art. 13-15 geht es um Kapazitäten für Datensammlung und Auswertungen, um Kommunikationspläne und um die Erstellung von RTS durch die ESAs im materiellen Regelungsbereich von Kapitel II. Art. 16 beinhaltet für bestimmte kleinere Finanzunternehmen eine Bereichsausnahme im Hinblick auf Kapitel II. Gleichwohl unterliegen diese dann einem näher definierten vereinfachten IKT-Risikomanagementrahmen.
- •
Kapitel III (Art. 17-23) beinhaltet die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle. Art. 17 regelt die Prozesse für die Behandlung (Ermittlungsverfahren Dokumentation, Zuständigkeiten), Art. 18 die Einstufung von IKT-bezogenen Vorfällen nach Schwere und Art. 19 die Pflicht zur Meldung von schweren Vorfällen und die freiwillige Meldung erheblicher Cyberbedrohungen. Die Meldungen gehen an die ESAs, die EZB und die national zuständigen Behörden (in Deutschland an die BaFin und das BSI). Nach Art. 20 sollen die ESAs für einheitliche Meldungen RTS erarbeiten. Nach Art. 21 soll über eine einheitliche EU-Plattform eine Zentralisierung der Berichterstattung über schwerwiegende IKT-bezogene Vorfälle erfolgen. Art. 22 ordnet den nationalen Aufsichtsbehörden eine Funktion als zentrale Anlauf- und Rückmeldestelle für die Finanzunternehmen zu. Durch Art. 23 wird der Anwendungsbereich von Kapitel III auf zahlungsbezogene Betriebs- oder Sicherheitsvorfälle in bestimmten Finanzunternehmen ausgedehnt.
- •
Kapitel IV (Art. 24-27) behandelt das Testen der digitalen operationalen Resilienz. Art. 24 regelt die allgemeinen Anforderungen für das Testen der digitalen operationalen Resilienz (solide & umfassend). Nach Art. 25-26 erfolgt eine Abstufung der Testanforderungen und ggf. erweiterter Tests je nach Art oder Größe der Finanzunternehmen. Die Testanforderungen ergeben sich aus Art. 27.
- •
Kapitel V (Art. 28-44) regelt die Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos (Auslagerungssachverhalte). In den allgemeinen Prinzipien gemäß Art. 28 geht es um die Letztverantwortlichkeit für die Erfüllung aller Verpflichtungen bei der vertraglich organisierten Auslagerung von IKT-Dienstleistungen. Nach Art. 29 müssen die Auslagerungsrisiken ermittelt und bewertet werden. Die Pflichtbestimmungen für Auslagerungsverträge finden sich in Art. 30. In den Art. 31-44 ist der umfassende Überwachungsrahmen seitens der Aufsichtsbehörden samt den Vorgaben für durchzuführende Folgemaßnahmen, für Überwachungsgebühren und für die internationale Zusammenarbeit niedergelegt.
- •
Kapitel VI (Art. 45) erfasst etwaige Vereinbarungen über den Austausch von Informationen. Dies zielt auf einen Informationsaustausch der Finanzunternehmen untereinander zum Zweck der Stärkung der digitalen operationalen Resilienz ab.
- •
Kapitel VII (Art. 46-56) erfasst die zuständigen Behörden. Vermittels der in Art. 46 genannten Verordnungen und Richtlinien geht es in Deutschland fast immer um die BaFin. In den Art. 47-49 ist die Zusammenarbeit und Kommunikation der nationalen und supranationalen Behörden und Stellen angelegt. Die Art. 50-52 regeln sämtliche Befugnisse zur Durchsetzung der DORA-Verordnung sowie Sanktionen und Abhilfemaßnahmen. Art. 53 legt Mitteilungspflichten der Mitgliedstaaten in Bezug auf Umsetzungsakte mit Blick auf Kapitel VII fest. In Art. 54 geht es um die öffentliche Bekanntmachung von verwaltungsrechtlichen Sanktionen, in Art. 55 um das Verhältnis von DORA-Informationen zu existenten Berufsgeheimnissen. Art. 56 beinhaltet den Datenschutz im DORA-Umfeld.
- •
Kapitel VIII (Art. 57) regelt delegierte Rechtsakte. Der EU-Kommission wird insoweit die Befugnis zum Erlass delegierter Rechtsakte im DORA-Kontext übertragen.
- •
Kapitel IX (Art. 58-64) beinhaltet Übergangs- und Schlussbestimmungen. Nach Art. 58 findet im Januar 2028 eine Evaluation statt. Die Art. 59-63 bewirken eine Änderung der dort genannten EU-Verordnungen. Art. 64 regelt Inkrafttreten und Anwendung.
III. Stellungnahme und Auswirkungen für die Praxis
Die Themen IT-Sicherheit und Cyberrisiken gewinnen weiter an Bedeutung. Dies liegt auch daran, dass Bank- und Versicherungsgeschäfte zunehmend digitaler werden. Dies kann schon im Alltag erblickt werden: Mittlerweile zahlen im Supermarkt neun von zehn Kunden nicht mehr mit Bargeld, sondern mit einer Karte, dem Smartphone oder einem Ring mit Kontodaten. Überweisungen in Papierform sind ferner zur Seltenheit geworden. Da Bankgeschäfte mittlerweile weit überwiegend online getätigt werden, werden immer mehr Filialen von Banken und Sparkassen geschlossen. Auch Versicherungs- wie auch Wertpapiergeschäfte finden mittlerweile überwiegend online statt. Doch die digitalen Finanzgeschäfte bergen auch Schattenseiten. Schon für den Energiekrise-Winter 2022 arbeiteten die Finanzbehörden an einem Notfallplan im Fall von Stromausfällen, da ohne Strom letztlich auch keine digitalen Finanzgeschäfte mehr möglich sind. Dies gilt letztlich gleichermaßen, wenn Cyberangriffe flächendeckend Finanzunternehmen lahmlegen, wofür die Bedrohung seit Beginn des Ukraine-Krieges enorm gestiegen ist.8 Da dies nicht nur Deutschland betrifft, verwundert ein einheitliches Vorgehen der EU mit der (allerdings schon länger avisierten) DORA-Verordnung nicht. So stammt der entsprechende Verordnungsvorschlag bereits aus dem September 2020.
Inhaltlich ist zu bemängeln, dass der personelle Anwendungsbereich nicht deutlich genug geregelt wurde. Beispielsweise gibt es gewisse Dopplungen bei den in Art. 2 Abs. 3 und Art. 16 aufgezählten Bereichsausnahmen. Auch besteht etwa bezogen auf die deutsche Versicherungslandschaft eine Unsicherheit, wer genau als EbAV gilt und wer nicht. Zu denken ist dabei etwa an deutsche Zusatzversorgungskassen. Zudem gilt es – wieder einmal – Kritik am mangelnden Verständnis auf EU-Ebene für die praktische Umsetzung bei den nationalen Finanzunternehmen zu üben. Da Art. 2 Abs. 4 kaum wirklich nationale Ausnahmen von der DORA-Verordnung zulässt, werden kleine und große Finanzunternehmen im Ergebnis über einen Kamm geschert. Es macht allerdings einen deutlichen Unterschied, ob umfangreiche neue Prozesse und Dokumentationspflichten eine kleine Sparkasse oder Versicherung oder aber ein großes DAX-Unternehmen aus dem Banken- oder Versicherungsbereich treffen. Denn letztlich bindet zusätzliche Regulatorik wieder Personal und verursacht neue Kosten, was von kleineren Finanzunternehmen kaum mehr zu stemmen ist. Auch wird im IT-Bereich der Fachkräftemangel zusehends zum Problem und kleinere Finanzunternehmen können den Wettstreit um dementsprechende Experten kaum mehr gewinnen. Nicht umsonst gibt es schon jetzt deutliche Mängel bei der Anwendung etwa der VAIT.9
Positiv ist allerdings zu sehen, dass die Anforderungen an IT-Auslagerungen nunmehr wesentlich genauer geregelt sind als etwa in den BAIT/VAIT. Die Auslagerungsthematik, die im gesamten Finanzsektor ein enorm wichtiges Thema ist, bildet nun auch den Nukleus der DORA-Verordnung.10
IV. Ausblick
Zur Herausforderung wird es für deutsche Finanzunternehmen in den nächsten beiden Jahren wohl werden, das Verhältnis der Prozesse und Pflichten der DORA-Verordnung einerseits zu den schon vorhandenen Prozessen und Pflichten nach den genannten deutschen Vorschriften zu klären.11 Hört man in den Markt hinein, sind die allermeisten Finanzunternehmen schon jetzt DORA-compliant, da einerseits die deutschen Vorgaben wie die unlängst novellierten BAIT bereits weitestgehend den DORA-Maßstab einhalten12, und andererseits viele Finanzunternehmen bereits kreative Maßnahmen eingeführt haben, um vollständige Systemausfälle (auch infolge von Cyberangriffen) jederzeit verhindern zu können (bspw. Durch IT-Systemverbünde mit Ausweichkapazitäten, permanenten Back-Ups mit externem Storage etc.).
