Noch offene Fragen zu Dora

In puncto Digital Operational Resilience Act (Dora) gibt es Unmut bei den betroffenen Branchenverbänden. Obwohl Dora seit dem vergangenen Freitag (17. Januar 2025) angewendet werden muss, seien letzte technische Details zum Stichtag jedoch noch nicht bekannt, kritisierte der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) am vergangenen Donnerstag. Er forderte Klarheit, um den umfassenden Anforderungen gerecht zu werden.

Die Versicherungswirtschaft sieht sich für die neuen EU-Vorgaben zur Cyberabwehr gerüstet, fordert aber zugleich noch mehr Informationen. „Die deutschen Versicherer haben ihre Prozesse binnen kürzester Zeit an die bekannten Vorgaben angepasst. Für eine optimale Umsetzung des Regelwerks sind aber noch einige Fragen zu klären, etwa zur Vertragsgestaltung mit IT-Dienstleistern“, betonte Jörg Asmussen, Hauptgeschäftsführer des (GDV), in der Pressemeldung.

Zum Hintergrund: Ab dem 17. Januar 2025 müssen Finanzunternehmen die neuen Regeln des Digital Operational Resilience Act (Dora) anwenden, um ihre IKT-Systeme besser vor Cyberangriffen und Betriebsstörungen zu schützen. Die im November 2022 verabschiedete EU-Verordnung zur digitalen operationellen Resilienz (Dora), wird ab Januar 2025 für nahezu alle Finanzinstitute verbindlich. Um die Widerstandsfähigkeit vor Cyberangriffen zu gewährleisten, müssen Unternehmen ein IKT-Risikomanagement (IKT steht für Informations- und Kommunikationstechnologien) einführen, Resillienzstrategien entwickeln, Sicherheitsrichtlinien dokumentieren und Notfallpläne vorhalten. Regelmäßige Prüfungen sollen sicherstellen, dass sowohl externe Angriffe als auch interne IT-Probleme effektiv bewältigt werden können.

Drittparteirisiken managen

Ein Kernpunkt der Verordnung ist das Management von Drittparteienrisiken. Finanzunternehmen müssen sowohl interne IKT-Risiken steuern, als auch Gefahren durch Drittanbieter und deren Subunternehmer berücksichtigen. „Für das Vertragsmanagement mit Dienstleistern müssen die noch ausstehenden Vorgaben zur Unterauftragsvergabe zügig finalisiert werden“, so Asmussen.

Auch die Überwachung von sogenannten kritischen IKT-Dienstleistern, die eine besondere Relevanz für den Finanzsektor haben, kann nach Einschätzung des GDV effizienter gestaltet werden. Während in der Vergangenheit die Finanzunternehmen für deren Überwachung verantwortlich waren, sollen künftig auch die europäischen Aufsichtsbehörden Informations-, Kontroll- und Prüfrechte ausüben. „Um die Transparenz zu erhöhen, wäre es sinnvoll, die Ergebnisse der behördlichen Überwachung auch den betroffenen Finanzunternehmen zugänglich zu machen“, betont Asmussen.

Auch Aba kritisiert Lücken

Auch die Arbeitsgemeinschaft für betriebliche Altersversorgung e.V. (Aba) weist in einer Meldung vom vergangenen Freitag auf Lücken bei den technischen Details hin. Sie schreibt: „Aber weiterhin ist das Gesamtbild aller Anforderungen unvollständig. Insbesondere auf Ebene der Level II-Regulierung (technische Regulierungs- und Durchführungsstandards) bestehen noch Lücken.“

Finanzunternehmen in Deutschland warteten demnach weiterhin auf zu befüllende Templates für das Informationsregister, so die Aba. Laut einer Mitteilung der Bafin müssen die Informationsregister 2025 bis spätestens 11. April 2025 erstmals bei der Bafin eingereicht werden. Die Bafin muss die in Deutschland gesammelten Informationsregister bis 30. April 2025 bei den Europäischen Aufsichtsbehörden einreichen. Weitere Informationen zum aktuellen Stand in Bezug auf das Informationsregister und Anzeigepflichten hat die Bafin am 15. Januar 2025 in einer entsprechenden Meldung veröffentlicht.

Verschiedene Rundschreiben außer Kraft getreten

Außerdem hatte die Bafin zuvor bereits auf Details zum Außerkrafttreten bisheriger aufsichtlicher Anforderungen an die IT in einem Informationsschreiben an die die Verbände der beaufsichtigten Finanzunternehmen bekannt gegeben. Demnach trat mit Ablauf des 16. Januar 2025 das VAIT-Rundschreiben (über die Versicherungsaufsichtlichen Anforderungen an die IT) außer Kraft. Gleiches gilt für die Kapitalverwaltungsaufsichtlichen und die Zahlungsdiensteaufsichtlichen Anforderungen (KAIT- und ZAIT-Rundschreiben). Für die Bankenaufsichtlichen Anforderungen (BAIT-Rundschreiben) sieht die Bafin ein stufenweises Außerkrafttreten vor.

Für beaufsichtigte Finanzunternehmen, die nicht unter den Anwendungsbereich der Dora-Verordnung fallen, trifft das Informationsschreiben laut Aba lediglich die Feststellung, dass diese „auch verpflichtet [sind], Maßnahmen zum angemessenen Umgang mit IKT-/ Cyberrisiken im Rahmen der ordnungsgemäßen Geschäftsorganisation zu treffen“.

Schlagworte: Digitalisierung | Dora (Digital Organizational Resilience Act) | Europäische Union | Politik/Regulierung | Risikomanagement

• BVI übt Kritik an Dora-Standards
• Digital Operational Resilience Act wirft viele Fragen auf
• „Es ist technisch alles machbar, aber es kostet Ressourcen“