05.11.2020: Die Abwehr von Cyberangriffen erfordert strengere Regeln für IT-Dienstleister und Finanzinstitute.

Keyboard mit Kette und Schloss

Im Finanzsektor spielen die Technologieunternehmen sowohl als Anbieter für Finanzdienstleistungen als auch als IT-Anbieter für die Kreditinstitute ein immer wichtigere Rolle. Daneben steigen die Abhängigkeit des Finanzsektors von Software und digitalen Prozessen und dementsprechend die Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT). Da Kreditinstitute über eine Fülle an wichtigen Personen- und Finanzdaten verfügen, sind sie in der Vergangenheit mehr zur Zielscheibe von Cyberangriffen geworden. Damit diese Risiken abgemildert werden können, müssen alle Teilnehmer am Finanzsystem entsprechende Vorkehrungen treffen. Aus diesem Grund hat die EU-Kommission am 24. September 2020 im Rahmen ihres „Digital Finance Packages“ einen Rechtsakt zur digitalen Betriebsstabilität (Digital Operational Resilience Act – DORA) vorgeschlagen. Ziel des Legislativvorschlags ist es, die Widerstandfähigkeit der Kreditinstitute gegen IKT-Risiken und Cyberattacken zu stärken.

Paket zur Digitalisierung des Finanzsektors

Neben dem Legislativvorschlag zur Stärkung der Betriebsstabilität digitaler Systeme umfasst das „Digital Finance Package“ der EU-Kommission zwei Strategien und zwei weitere Gesetzesinitiativen:

Mit diesem Paket verfolgt die EU-Kommission das ambitionierte Ziel, die Wettbewerbsfähigkeit und die verantwortungsbewussten Innovationen im europäischen Finanzsektor zu fördern, so dass Europa hier weltweit Maßstäbe setzen kann. In Zukunft soll den Verbrauchern eine größere Auswahl an Finanzdienstleistungen und Zahlungsmöglichkeiten zur Verfügung stehen. Zugleich soll der Verbraucher noch besser geschützt und die Finanzstabilität gesichert werden, in dem potenzielle Risiken in den Bereichen Anlegerschutz, Geldwäsche und Cyberkriminalität eingedämmt werden.

DORA – Cyberangriffe abblocken und Aufsicht der IKT-Drittanbieter optimieren

Der folgende Beitrag wird sich hauptsächlich auf den Legislativvorschlag zur digitalen Betriebsstabilität fokussieren. Mit diesem Vorschlag werden die zurzeit in der EU herrschenden Vorschriften zu IKT-Risiken im Finanzsektor zum ersten Mal in einem Rechtsakt zusammengefasst. Damit soll Klarheit bei den Anforderungen geschaffen werden, die regulatorische Komplexität reduziert werden sowie die finanziellen und administrativen Belastungen, die sich aus den unterschiedlichen Reglungen in der EU ergeben, gesenkt werden. 

Die EU-Kommission definiert digitale Betriebsstabilität als die Fähigkeit der Institute, jede Art von Störungen und Bedrohungen, die von Informations- und Kommunikationstechnologien ausgehen, standzuhalten. Alle Unternehmen im Finanzsektor werden zukünftig verpflichtet, strengere Standards einzuhalten, um die unmittelbaren Auswirkungen und die weitere Ausbreitung von IKT-bezogenen Vorfällen zu begrenzen. Die konkreten Maßnahmen sind:

  • Ausbau eines speziellen IKT-Risikomanagements: Die Kreditinstitute sind dazu verpflichtet,
    • belastbare IKT-Systeme und -Werkzeuge, die das IKT-Risiko senken, einzurichten,
    • alle Quellen von IKT-Risiken regelmäßig zu überprüfen,
    • Schutz- und Präventionsmaßnahmen durchzuführen,
    • anormale Aktivitäten sofort zu erkennen sowie
    • Richtlinien zur Geschäftskontinuität und Notfallpläne einzuführen.
  • Meldung größerer IKT-bezogener Vorfälle: Die Institute müssen einen Prozess zur Überwachung, Klassifizierung und Meldung größerer IKT-bezogener Vorfälle einrichten.

  • Prüfung der digitalen Betriebsstabilität: Es muss regelmäßig getestet werden, ob das Institut in der Lage ist, Schwächen, Mängel und Lücken identifizieren und Probleme zu beheben. Dazu sollen verschiedene Prüfwerkzeuge eingesetzt werden.

  • Management von IKT-Drittrisiken: Relevante vertragliche Aspekte werden vereinheitlicht, um sicherzustellen, dass die Institute das IKT-Fremdrisiko überwachen. Zudem sollen kritische IKT-Drittanbieter aufsichtlich überwacht werden.

  • Informationsaustausch: Die Kreditinstitute erhalten die Möglichkeit, Informationen und Erkenntnisse über Cyber-Bedrohungen untereinander auszutauschen.

Die Konsultation des Legislativvorschlags wird am 1. Dezember 2020 enden. Die Deutsche Kreditwirtschaft hat in ihrer Stellungnahme eine erste Einschätzung zu DORA vorgenommen. Sie begrüßt die Harmonisierung verschiedener europäischer Regelungen, befürchtet jedoch eine Überregulierung für die Institute. Sie ist der Meinung, dass die im Legislativvorschlag enthaltenen Regelungen sowie die angedachten technischen Regulierungsstandards (RTS) der Europäischen Aufsichtsbehörden (ESAs) über den von der EU-Kommission angestrebten Harmonisierungsansatz hinausgehen. Im Folgenden werden wir die Hauptkritikpunkte der DK aufzeigen:

  • Viele Ausnahmen gelten nur für „Microenterprises“, unter deren Definition Kreditinstitute nicht fallen, so dass das Proportionalitätsprinzip aus Sicht der DK nicht ausreichend angewendet wird.

  • Nach Meinung der DK sind einzelne neue Regelungen im Vorschlag teilweise inkonsistent zu bestehenden aufsichtsrechtlichen Vorgaben.

  • Die Vereinheitlichung des Meldewesens zu Sicherheitsvorfällen bewertet die DK positiv. Sie legt nahe, dass bei der Einführung von Erheblichkeitsschwellen für die Meldung von Vorfällen starre Schwellwerte zu vermeiden sind.

  • Ferner befürwortet sie die Errichtung eines neuen Aufsichtsrahmens für kritische IKT-Drittanbieter. Jedoch gibt sie zu bedenken, dass eine Inanspruchnahme dieser Dienstleistungen durch verschärfte Vorgaben nicht erschwert werden solle.

  • Die angedachten „Threat led penetration Tests“ (TLPT) sind nach Ansicht der DK ein effektiver Cybersecurity-Schutz, sollten aber abhängig von Bedeutung der IKT-Systeme eingesetzt werden. Zudem befürwortet sie, dass die TLPT alle 3 Jahre wiederholt werden sollen. Lediglich beim Testing der relevanten IKT-Dienstleistungen sollte die Verantwortlichkeit nicht bei den Kreditinstituten liegen.

  • Um ein erhöhtes Risiko zu vermeiden, dass Unberechtigte sich Zugang zu den Dokumentationen von Schwachstellen sowie der Maßnahmenpläne verschaffen, solle laut DK auf eine zentrale Sammlung dieser Informationen bei der Aufsicht oder bei Dritten verzichtet werden.

  • Bei der Auslagerung von IKT-Dienstleistungen sollte auf eine verpflichtende Multi-Vendor-Strategie verzichtet werden, weil diese nicht notwendig sei, um Konzentrationsrisiken zu verringern, und weil sie die Gefahr birgt, dass insbesondere kleine Unternehmen, nicht in der Lage sein könnten, IKT-Dienstleistungen in Anspruch zu nehmen. Die DK schlägt vor, sich auf die Standardisierung von Schnittstellen zwischen Dienstleistern zu fokussieren, um den Instituten einen Wechsel zu erleichtern.

Schließlich wünscht sich die DK eine Verlängerung der Umsetzungsfrist von 12 auf 36 Monate nach dem Inkrafttreten.

Nicht nur Kreditinstitute, sondern insbesondere IT-Dienstleister müssen sich auf strengere Regeln einstellen, wenn diese ihre Dienstleistungen für Finanzunternehmen erbringen. Wir unterstützen Sie bei der Umsetzung der neuen Anforderungen, insbesondere im IKT-Risikomanagement, beim Outsourcing von IKT-Dienstleistungen und beim Meldewesen.

 

Quellen: EU-Kommission, Deutsche Kreditwirtschaft


 

Ansprechpartner

Davor Jurak
Geschäftsführer

Kontakt


 

Zurück