Verordnung der Kommission über digitale Betriebssicherheit (Digital Operational Resilience Act) in Kraft getreten – Implementierung binnen 24 Monaten erforderlich

Nach entsprechender Einigung auf europäischer Ebene wurde nunmehr die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act – „DORA“) im Amtsblatt der Europäischen Union veröffentlicht, die am 17.01.2023 in Kraft tritt. Da es sich um eine Rechtsverordnung handelt, braucht das dortige Regelwerk nicht in nationales Recht transformiert werden, sondern gilt unmittelbar. Soweit es hier zahlreicher weiterer nachrangiger Reglungswerke der europäischen Aufsichtsbehörden bedarf, bevor DORA „komplett“ ist, bleibt den Adressaten bzw. Verpflichteten des neuen Rechts ein Umsetzungszeitraum von 24 Monaten (bis zu 17.01.2025), um sich auf die Geltung von DORA vorzubereiten und entsprechende Maßnahmen im Bereich des Risikomanagements in die Geschäftsorganisation zu implementieren. Zielgruppe des neuen Regelwerks sind (vorbehaltlich einiger weniger Ausnahmen für Kleinstunternehmen) verschiedenste Finanzunternehmen (namentlich Kredit-, Finanzdienstleistungs- und Wertpapierinstitute, Investmentgesellschaften, Handelsplätze und Versicherungsunternehmen) sowie Dienstleistungsanbieter von Informations- und Kommunikationstechnik (IKT).

Abgrenzung zu anderen Rechtsmaterien beachten
In Bezug auf den genannten Adressatenkreis normiert DORA einen spezifischen Regulierungsrahmen zum Risikomanagement von Cyber- und IT-Risiken im Finanz- und Versicherungssektor. Das neue Regelwerk tritt damit neben bereits bestehende Rechtsmaterien bzw. verdrängt und überlagert diese. Diese weiteren Regelwerke, die – weniger spezifisch – angelegt sind und die generelle Netzwerk- und Informationssicherheit zahlreicher Branchen zum Gegenstand haben, betreffen insbesondere das hiesige Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sowie die nachrangige Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIG (KRITIS-Verordnung). Über die unterschiedlichen Anwendungsbereiche – BSIG/KRITIS einerseits, DORA andererseits – hinaus, ist die gemeinschaftsrechtliche „Rechtstechnik“ auch eine andere: der unmittelbar rechtlichen Geltung von DORA in den Mitgliedstaaten steht im Bereich BSIG/KRITIS eine Pflicht zur mitgliedstaatliche Umsetzung entsprechender europäischer Richtlinien gegenüber, die den nationalen Gesetzgebern insgesamt einen größeren Rechtsetzungsspielraum verschafft. „Tendenz“ ist, dass die europäische Gesetzgebung künftig vermehrt mit Rechtsverordnungen und weniger mit (umsetzungspflichtigen) Richtlinien „arbeitet“. 

Daneben gibt es auch noch weitere europäische und hiesige Rechtsvorschriften, die den Bereich IKT-Regulierung ergänzen – namentlich im Bereich des Kapitaladäquanzregimes (CRR/CRD nebst Kreditwesengesetz), im Bereich des Wertpapierfirmenregimes (IFR/IFD nebst Wertpapierinstitutsgesetz) und last but not least nach Maßgabe entsprechender Guidelines der europäischen Aufsichtsbehörden und einschlägiger Rundschreiben der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin). Wesentliche Bedeutung kommt dabei der im Zuge von DORA erforderlichen Anpassung bzw. künftigen Ausgestaltung der von der BaFin erlassenen Mindestanforderungen für das Risikomanagement der Institute (MaRisk) und der Anforderungen an die IT von Banken (BAIT) zu. Wie hier der bisherige Rechtsrahmen künftig mit den Anforderungen von DORA in Einklang gebracht werden soll, bleibt einstweilen abzuwarten. Unbedingt geboten erscheint jedoch, dass die nach Maßgabe von DORA „spezifisch“ verpflichteten Marktteilnehmer (also Finanzdienstleister i.w.S. und IKT-Anbieter) zukünftig keine „doppelte Regulierung“ erfahren – sei es nach Maßgabe verschiedener Regelwerke, sei es wegen verschiedener behördlicher Aufsichtszuständigkeiten.

Risikostrukturen anpassen – Verantwortlichkeiten sicherstellen
Materiell soll mit DORA den wachsenden Cyberrisiken begegnet werden, mit denen die Marktteilnehmer am Finanzplatz konfrontiert sind. DORA bildet mithin einen Kernbereich im Rahmen der Strategie einer europaweiten Digitalisierungsinitiative. Umfangreiche Regelungen des Gesetzeswerkes betreffen daher die Anforderungen an das IKT-Risikomanagement der Unternehmen, die Meldung IKT-bezogener Vorfälle sowie die Überwachung von Risiken, denen sog. IKT-Drittanbieter ausgesetzt sind bzw. die von diesen ausgehen können. Hierfür sollen die betreffenden Unternehmen interne Governance-Strukturen aufbauen und über einen Kontrollrahmen verfügen, der eine wirksame und umsichtige Steuerung aller IKT-Risiken gewährleistet. Ziel ist es, potentielle Bedrohungen frühzeitig zu identifizieren, Erkenntnisse zu gewinnen und eine kontinuierliche Verbesserung des IT-Risikomanagements sicherzustellen. Unabdingbar in diesem Zusammenhang sind überdies eine regelmäßige Überprüfung der Abwehrbereitschaft, die Aufdeckung von Schwachstellen, Mängeln oder Lücken sowie die umgehende Umsetzung etwaiger Korrekturen. Solche Präventions-, Erkennungs-, Reaktions- und Wiederherstellungsmaßnahmen („Stresstests“) zur Prüfung der Betriebsstabilität müssen zudem entsprechend dokumentiert werden. Bei alledem gilt das Prinzip eines sog. risikobasierten Ansatzes, wonach die Vorgaben des Gesetzes von den betreffenden Unternehmen unter Berücksichtigung der Größe, Natur, des Umfangs und der Komplexität ihres Geschäfts und dessen Risikoprofils zu implementieren sind. Steuerung, Überwachung und Verantwortlichkeiten im Rahmen des IKT-Risikomanagementrahmens obliegt dabei zuvorderst den Leitungsorganen der betreffenden Unternehmen. Diesen obliegt insbesondere auch die Aufgabe, eine gewisse „Verzahnung“ der Geschäftsstrategie des Unternehmens mit der Steuerung des IKT-Risikomanagements herbeizuführen.

Einen besonderen Fokus legt DORA dabei auf die Regulierung sog. IKT-Drittanbieter bzw. auf Risiken, die sich im Zusammenhang mit der Auslagerung digitaler Funktionen auf solche Unternehmen ergeben. Drittanbieter offerieren beispielsweise die Bereitstellung von Speicherkapazitäten, Rechnerleistungen, Softwareapplikationen und Cloud-Lösungen. Solche Auslagerungen stellen einen besonders sensiblen Bereich dar und begründen besondere aufsichtsrechtliche Erfordernisse und unternehmensinterne Verantwortlichkeiten bis hin zu entsprechenden Vorgaben zur Vertragsgestaltung in Fällen der Einbeziehung von IKT-Drittanbietern.

Praxistipp
Die im Anwendungsbereich von DORA erfassten Unternehmen sollten trotz des zweijährigen „Vorlaufzeitraums“ zügig damit beginnen, ihre bestehenden IT-Risikosysteme auf einen etwaigen Aus- bzw. Umbau zu überprüfen oder gar neue Strukturen in den Bereichen Governance, Compliance und Risikomanagement zu implementieren, um den künftigen DORA-Anforderungen zu genügen. Besonderheiten ergeben sich hier überdies für Unternehmen, die schon jetzt auf der Grundlage von BSIG/KRITIS reguliert werden und künftig in den Anwendungsbereich von DORA gehören – hier gilt es im Rahmen einer Anpassung bisherigen Systeme mögliche Synergien zu nutzen und die Umsetzung so effizient wie möglich zu gestalten. Nicht zuletzt dürften die von DORA erfassten Unternehmen ohnehin ein intrinsisches Interesse daran haben, ihre digitale Betriebsstabilität mittels stressresistenter IKT-Systeme zu schützen und eine resiliente Geschäfts- und Organisationsstruktur zur Abwehr von Cyberangriffe zu unterhalten; schließlich führen entsprechende Betriebsstörungen unweigerlich zu erheblichen Umsatzeinbußen und damit einhergehend vielfach auch immensen Reputationsschäden. Auch der Umstand, dass die exponentiell weiter voranschreitende Digitalisierung zukünftig Hackerangriffe größeren Umfangs im Bereich des Finanzmarktgeschehens befürchten lässt, unterstreicht die Bedeutung eines einheitlichen EU-weiten Regulierungsrahmens zur Stärkung der digitalen Betriebsstabilität betreffender Marktteilnehmer sowie deren ureigenes Interesse an „robusten Organisationsstrukturen“ im eigenen Unternehmen und im Zusammenwirken mit vertraglich verbundenen IT-Dienstleistern.