Die DORA gilt – die Umsetzung in Behörden und Unternehmen dauert an

Die EU-Verordnung DORA (Digital Operational Resilience Act in the Financial Sector) gilt seit heute, dem 17. Januar 2025 als in der gesamten EU unmittelbar geltendes Recht. Damit kommt eine zweijährige Umsetzungsfrist zu ihrem Ende, nachdem die DORA bereits Anfang 2023 im Amtsblatt der EU veröffentlicht wurde.

Angesichts der umfassenden Digitalisierung und der steigenden Cyber-Bedrohungen ist die Widerstandsfähigkeit digitaler Systeme im Finanzwesen wichtiger denn je. Hier schafft die DORA einen EU-weit einheitlichen Rahmen zur Stärkung der operationellen Resilienz und zur Schaffung eines effektiven Managements von Cybersicherheits- und IT-Risiken in der Finanzindustrie, nachdem dies in den EU-Staaten bislang unterschiedlich geregelt war.

Der Kreis der betroffenen Unternehmen

Artikel 2 Abs. 1 und 2 DORA listet die Unternehmen auf, welche in den Anwendungsbereich der DORA fallen und definiert sie als „Finanzunternehmen“. Hierunter fallen zum Beispiel Kredit- und Zahlungsinstitute, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, aber auch Einrichtungen der betrieblichen Altersversorgung, Handelsplätze und Ratingagenturen – kurz: praktisch die gesamte Finanzindustrie.

Die DORA geht aber noch darüber hinaus. Es ist ein zentraler Aspekt der DORA, dass sie auch Unternehmen in die Pflicht nimmt, die nicht selbst Finanzdienstleistungen erbringen, die aber die Institute im Bereich der Informations- und Kommunikationstechnologien unterstützen (sog. „IKT-Drittdienstleister“, vgl. Art. 3 Nr. 19 DORA). Damit gilt die Verordnung für ein breites Spektrum von Drittdienstleistern, sodass insbesondere auch Cloud-Service-Provider, Softwareanbieter, Datenanalysedienste und Rechenzentren miteingeschlossen sind.

Einem besonders strikten Überwachungsregime sind solche IKT-Drittdienstleister unterworfen, die von der DORA als „kritisch“ eingestuft werden. Die Einstufung als „kritischer IKT-Dienstleister“ erfolgt nach festgelegten, objektiven Kriterien, welche sowohl an den Dienstleistenden als auch an den Empfänger anknüpfen. Entscheidungsrelevant sind sowohl die Substituierbarkeit des Drittdienstleisters als auch die Abhängigkeit der Leistungsempfänger von dem Drittdienstleister. Ein gutes Beispiel eines kritischen IKT-Dienstleisters, das die BaFin auf ihrer Website anführt, ist das US-Unternehmen „CrowdStrike“, das Informationssicherheits- und Cybersicherheitstechnologie für zahlreiche sicherheitsrelevante Bereiche wie Notfalleinrichtungen, Krankenhäuser, Flughäfen und auch die Finanzindustrie anbietet. Ein fehlerhaftes Update im Sommer 2024 sorgte für weltweite IT-Ausfälle. Es kam nicht nur zu zahlreichen Flugausfällen, sondern auch zu einem Ausfall von Zahlungssystemen und Bankautomaten. Die BaFin hat angekündigt, in der zweiten Jahreshälfte 2025 eine erste Liste kritischer IKT-Dienstleister zu veröffentlichen.

Bei alledem erkennt die DORA an, dass sie einen erheblichen administrativen Aufwand für die Unternehmen mit sich bringt und ist daher von dem Grundsatz der Verhältnismäßigkeit (Art. 4 DORA) geprägt, wonach bei Anwendung der DORA der Größe und dem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität der Dienstleistungen des Unternehmens Rechnung zu tragen ist. Zudem gelten verschiedene Ausnahmen, z.B. für Kleinstunternehmen (Art. 3 Nr. 60 DORA) und für die sog. kleinen und nicht verflochtenen Wertpapierfirmen wie z.B. Vermögensverwalter oder Anlagevermittler (Art. 16 Abs. 1 DORA).

Identifizierung von IKT-Dienstleistungen: Umsetzung von Digitalisierungsprojekten in mehrpoligen Vertragsverhältnissen

Häufig werden Dienstleistungen im IKT-Bereich im Rahmen mehrpoliger Beziehungen erbracht, die neben dem Erbringer einer IKT-Dienstleistung im engeren Sinne (z.B. dem technischen Dienstleister) und dem Bezieher (z.B. einem Finanzunternehmen) verschiedene weitere Akteure involvieren können. Praxisrelevant dürfte u.a. die Konstellation sein, dass ein Projekt-Manager in einer primär kommerziell ausgerichteten Rolle die Umsetzung komplexer Digitalisierungsprojekte zentral für eine Vielzahl von Beteiligten (z.B. eine Mehrzahl an Finanzunternehmen) steuert.

Die angemessene Sicherstellung der DORA-Compliance dürfte nicht erfordern, in derartigen Konstellationen jedes Vertragsverhältnis als unter die DORA-Vorgaben fallend anzusehen. Zwar ist der Wortlaut der maßgeblichen Bestimmungen, die aufführen, welche Dienstleistungen als IKT-Dienstleistungen gelten (vgl. die von den europäischen Aufsichtsbehörden EBA, EIOPA und ESMA erstellte Übersicht über die Arten von IKT-Dienstleistungen in Anhang III des hier einsehbaren Reports), denkbar weit gefasst: grundsätzlich jede Leistung im Zusammenhang im Bereich IKT könnte demnach bereits als IKT-Dienstleistung im Sinne der DORA anzusehen sein. Jedoch eröffnet der Sinn und Zweck der einschlägigen DORA-Bestimmungen auch Spielräume, sachgerecht zu differenzieren: im Fokus steht die „dauerhafte Bereitstellung“ von „digitalen Diensten und Datendiensten“ „über IKT-Systeme“ (Art. 3 Nr. 21 DORA). Aus dieser Perspektive sprechen gute Gründe dafür, Unternehmen, die in einer vor allem rationalisierenden, kommerziell ausgerichteten und aus technischer Sicht IKT-fernen Rolle an Projekten mit IKT-Bezug mitwirken, nicht als DORA-Verpflichtete einzustufen. Insbesondere dürfte dies gelten, wenn (1) der Projekt-Manager / Konzentrator selbst über seine Systeme mit den maßgeblichen Daten zu keinem Zeitpunkt in Kontakt kommt, und (2) das Vertragsverhältnis zwischen dem digitale Dienste bzw. Datendienste erbringenden technischen Dienstleister und dem Finanzunternehmen bereits unter den Anwendungsbereich der DORA fällt und den diesbezüglichen Vorgaben genügt – häufig wird dies im Rahmen von Auslagerungsvereinbarungen bereits gewährleistet sein.

Im Einzelfall kann eine umfassende Analyse der konkreten Konstruktion aufeinander Bezug nehmender vertraglicher Beziehungen und der jeweiligen Rollen der Beteiligten Möglichkeiten eröffnen, die Anwendbarkeit der DORA im Einzelfall angemessen zu definieren, und den Aufwand der DORA-Compliance z.B. im Zusammenhang mit Digitalisierungsprojekten nicht ausufern zu lassen.

Wichtige Präzisierungen in letzter Minute

Kurz vor dem DORA-Start hat die BaFin in einer Aufsichtmitteilung geklärt, wie ab dem 17. Januar das Verhältnis zwischen DORA einerseits und den bisherigen sektorspezifischen BaFin-Rundschreiben über IT-Anforderungen zu sehen ist. Dazu gehören die kapitalverwaltungsaufsichtlichen Anforderungen an die IT („KAIT“), die versicherungsaufsichtlichen Anforderungen an die IT („VAIT“) und die zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten („ZAIT“). Hier möchte die BaFin eine Doppelregulierung vermeiden. Diese Rundschreiben treten daher mit dem heutigen Tag außer Kraft. An ihre Stelle tritt die DORA nebst ihren delegierten Verordnungen.

Die BaFin weist in ihrer Aufsichtsmitteilung aber darauf hin, dass dies für beaufsichtigte Finanzunternehmen, die nicht in den Anwendungsbereich der DORA fallen, nicht dazu führen darf, dass diese fortan keinerlei Maßnahmen zum angemessenen Umgang mit IKT- und Cyberrisiken treffen. Diese sind weiterhin verpflichtet, geeignete Maßnahmen im Rahmen ihrer ordnungsgemäßen Geschäftsorganisation zu treffen.

Auch in Bezug auf die Bankaufsichtlichen Anforderungen an die IT („BAIT“) kommt es zu Änderungen. Diese werden durch BaFin schrittweise aufgehoben.

In einem ersten Schritt werden die Finanzunternehmen, die in den Anwendungsbereich der DORA fallen, ab heute aus dem Anwenderkreis der BAIT ausgenommen. Des Weiteren wird Kapitel 11 der BAIT „Management der Beziehungen mit Zahlungsdienstnutzern“ ersatzlos aufgehoben. Diese BAIT-Änderungen treten heute in Kraft.

Für Unternehmen, bisher dem Anwendungsbereich der BAIT, allerdings nicht der DORA unterfallen, bestehen die Anforderungen der BAIT fort. Dies dürfte z.B. inländische Niederlassungen von Banken aus einem Drittstaat betreffen, denn diese fallen gemäß dem Wortlaut von Art. 2 DORA nicht in deren Anwendungsbereich, wohl aber gemäß § 53 KWG unter die BaFin-Aufsicht, so dass für diese weiterhin die neuen BAIT gelten.

Die BaFin geht davon aus, dass Unternehmen, die bisher die BAIT umgesetzt haben, grundsätzlich auch für die DORA gut aufgestellt sind. Allerdings bringt die DORA nach Ansicht der BaFin eine gewisse Akzentverschiebung mit sich. So sagt der Leiter der Gruppe IT-Aufsicht der BaFin, Jens Obermöller, in einem heutigen Interview auf der BaFin-Website: „Es liegt der Fokus von DORA nicht primär auf der Prävention von Vorfällen. Im Mittelpunkt steht die Frage, ob die Unternehmen für den Akutfall vorbereitet sind. Es geht um Resilienz. Das ist eine neue Perspektive.“

Das Amt des Informationssicherheitsbeauftragten (ISB) unter der DORA

Die BaFin hat in ihrer Aufsichtsmitteilung einige Details offengelassen. Ein Beispiel ist die Frage, inwiefern das Amt des Informationssicherheitsbeauftragten („ISB“) mit Anwendungsbeginn der DORA fortbesteht. Die BAIT enthalten in Tz. 4.4 ff. einige Eckpunkte zu diesem Amt. Danach unterstützt der ISB die Geschäftsleitung bei der Festlegung und Anpassung der Informationssicherheitsrichtlinien und der Notfallkonzepte, überwacht deren Einhaltung, untersucht Informationssicherheitsvorfälle und berichtet diesbezüglich an die Geschäftsleitung. Die Funktion des ISB muss organisatorisch und prozessual unabhängig ausgestaltet sein, um mögliche Interessenskonflikte zu vermeiden (BAIT Tz. 4.5). Der ISB berichtet direkt an die Geschäftsleitung durch regelmäßige, mindestens vierteljährliche Statusberichte über die Informationssicherheit (Tz. 4.10). Dabei umfasst diese Funktion die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten. Die DORA enthält dagegen nur rudimentäre Regelungen. Es heißt in Art. 6 (4) DORA lediglich, dass es eine „IKT-Risikokontrollfunktion“ geben muss und dass diese ein angemessenes Maß an Unabhängigkeit haben muss, um Interessenkonflikte zu vermeiden.

Man darf annehmen, dass die BaFin das Aufgabenprofil des ISB unter der DORA wie bisher unter der BAIT beschrieben verstehen wird, mit dem einzigen Unterschied, dass sich der „DORA-ISB“ inhaltlich an der DORA auszurichten hat.

Outsourcing: Doppelmeldungen von IKT-Drittdienstleistern sollen verhindert werden

Der deutsche Gesetzgeber hat im Jahr 2021 mit Wirkung zum 01.01.2022 durch das Finanzmarktintegritätsstärkungsgesetz (FISG) eine deutliche Intensivierung der Prüfung von wesentlichen Auslagerungen (§ 25b KWG, § 40 WpIG) durch die BaFin angeordnet, indem Absicht und Vollzug wesentlicher Auslagerungen anzeigepflichtig wurden. Die BaFin hat eigens hierfür ein Meldeportal eingerichtet. Die Institute mussten in den vergangenen Jahren ihr Meldewesen darauf einstellen.

Zugleich sind nunmehr gemäß Art. 28 Absatz 3 DORA Informationsregister über IKT-Drittdienstleister zu erstellen und jährlich bei der BaFin einzureichen, erstmalig bis zum 11.04.2025 mit dem Stand des 31.03.2025.

Da die Nutzung eines IKT-Drittdienstleisters in vielen Fällen zugleich eine wesentliche Auslagerung darstellt, führt dies zu einer Doppelmeldung – ein unnötiger bürokratischer Aufwand, zumal beide Meldepflichten denselben Zweck verfolgen, nämlich der Behörde Datenmaterial an die Hand zu geben, um Konzentrationsrisiken auf dem Markt erkennen zu können. Die Aufsicht möchte anhand der Registerdaten die Auswirkungen von IT-Vorfällen bei Dienstleistern besser abschätzen können, auch um potenziell betroffene Unternehmen frühzeitig identifizieren und warnen zu können.

Die BaFin hat erkannt, dass es hier zu Doppelmeldungen kommt. In einem jüngst am 15.01.2025 erschienenen Beitrag auf der BaFin-Website wird angekündigt, dass das bisherige BaFin-Meldeportal dementsprechend angepasst werden soll. Finanzunternehmen, die doppelt Anzeigenpflichten erfüllen müssten, sollen dann vorrangig die Auslagerung über das BaFin-Meldeportal anzeigen und im neu eingerichteten „DORA-Feld“ einen Haken setzen, mit dem sie erklären, dass sie beide Anzeigepflichten erfüllen. Die Details sind noch nicht bekannt. Jedenfalls dürfte ein doppelter administrativer Aufwand für die Finanzinstitute (Meldung sowohl im Rahmen des BaFin-Meldeportals als auch über das DORA Informationsregister) hierdurch nicht vermieden werden.

Die BaFin konzediert allerdings auf ihrer Website ausdrücklich, dass das Informationsregister und die weiteren Anzeigepflichten des Art. 28 DORA Herausforderungen mit sich bringen. Die BaFin schreibt, sie sei sich dessen bewusst und werde die Unternehmen weiterhin mit Informationen und Hilfestellungen unterstützen. Dies mag ein Fingerzeig sein, dass für Revisoren und Jahresabschlussprüfer bei den Compliance-Prüfungen der kommenden ein bis zwei Jahre eine gewisse Nachsicht bei Anpassungsschwierigkeiten der Finanzinstitute angebracht ist.

Weitere Artikel