Die EU-Richtlinie DORA hat zum Ziel, Banken und andere Finanzinstitute und damit auch Konten von Millionen Menschen zu schützen, was für Tschechien und auch alle anderen Mitgliedsstaaten verbindlich ist. Die Europäische Union reagiert auf die steigende Anzahl der Cyberangriffe. Sie schreibt daher den Finanzinstituten klare Regeln vor, wie sie sich vor digitalen Risiken zu schützen und eventuell zu verfahren haben, sollten sie tatsächlich von einem Angriff betroffen sein. Eine grundlegende Änderung wird es insbesondere für Lieferketten und für kleinere Finanzinstitute sein, die sich bisher kaum mit der Frage befassen mussten. Was bringt die EU-Richtlinie konkret?
Den Finanzinstituten bleibt eine relative kurze Zeit für die Sicherung des Einklangs mit den Regulierungsanforderungen. Die Frist läuft seit dem 16. Januar 2023, als die DORA-Richtlinie (Digital Operational Resilience Act) in Kraft trat, und dauert zwei Jahre.
Die Richtlinie legt fest, dass alle mit dem Finanzsektor verbundenen Gesellschaften imstande sein müssen, ihre Informations- und Kommunikationssysteme gegen etwaige Angriffe und Drohungen abzusichern und im Falle von Problemen sofort zu reagieren. Diese strengen Standards müssen nicht nur Banken und sonstige Finanzinstitute befolgen, sondern auch Dritte, die für diesen Sektor kritische Dienstleistungen erbringen, die mit Informations- und Kommunikationstechnologien zusammenhängen, wie z.B. Erbringende von Cloud-Dienstleistungen. Die Richtlinie wird also tausende von Firmen betreffen.
Das Ziel der Richtlinie ist es Cyberangriffe zu unterbinden und zu verhindern, dass sie den digitalen Schutz der Finanzinstitute durchbrechen, bzw. die Auswirkungen von erfolgreichen Durchbrüchen zu minimieren. Die Richtlinie reagiert dabei auf die steigenden Risiken in Form der höheren Verbundenheit des Finanzsektors und Anstiegs von Digitalisierung, fokussiert auf die Vereinheitlichung des bisherigen ziemlich heterogenen Kontrollsystems.
Die größten Schwierigkeiten mit der Vorbereitung können insbesondere kleinere Finanzinstitute haben
Bedeutende Bankinstitute waren bereits früher unter der Lupe der Aufsichtsorgane, dank dessen die neue Regelung für sie keine grundlegende Änderung bedeutet. Dagegen erwartet kleine Institute im Finanzsektor in der Regel eine anspruchsvolle Vorbereitung. Der angeordnete Schutz zur Widerstandsfähigkeit vor Hackern wird Neuigkeiten in einem großen Umfang mit sich bringen und für die Sicherung des Einklangs mit der Regelung bleibt denen nicht mehr viel Zeit übrig. Zugleich können sie damit rechnen, dass der Umfang der notwendigen Maßnahmen deren Größe und Umfang der erbrachten Finanzdienstleistungen direkt proportional sein wird.
Alle betroffenen Institute werden durchlaufend eine Reihe von festgelegten Aufgaben erfüllen müssen. Es geht dabei nicht nur um technische Sicherheitsaspekte, im Unterschied zu einigen Übergangsverordnungen konzentriert sich DORA auch auf Betriebsaspekte.
Grundlegend wird die Überprüfung der Widerstandsfähigkeit, Risikoentdeckung und Informationsteilung über Drohungen und Zwischenfälle sein
Namentlich werden die einzelnen Institute gemäß der DORA-Richtlinie ein geeignetes Risikomanagement in dem Sinne einführen müssen, der Schwachstellen identifiziert und alle relevanten Risiken beurteilt, die mit ihren digitalen Betriebssystemen miteinander verbunden sind. Risiken sind durchlaufend auszuwerten, regelmäßig zu prüfen und zu aktualisieren. Neben dem Bestreben nach der Risikoeliminierung sollten die Institute durchlaufend transparent die Risikolage auswerten.
Für den Fall eines Cyberangriffs sollen Institute einen gründlichen Plan des Managements von Zwischenfällen und Reaktionen auf diese haben, und zwar einschließlich eines vorher ausgewerteten Schemas der Kommunikation mit einschlägigen beteiligten Parteien, und Instrumente für die Milderung von Auswirkungen eines Zwischenfalls. Sie sollen sich weiter primär auf den Datenschutz und die Betriebskontinuität konzentrieren. In den ganzen Prozess muss auch die gesamte Lieferkette eingeschaltet sein, worauf DORA im Vergleich zu früheren Richtlinien einen erheblich größeren Wert legt.
Die zweite grundlegende Aufgabe für die Finanzinstitute ist es Zwischenfälle unverzüglich an zuständige Staatsorgane zu melden. Die Information sollte eine Angabe über die Länge des Zwischenfalls, Übersicht über alle betroffenen Organisationen und den geografischen Umfang des Zwischenfalls beinhalten, insbesondere wenn er auf dem Gebiet von mehr als zwei Mitgliedstaaten verlief. Eventuell sollten die Institute angeben, ob der Angriff einen Datenverlust verursachte oder deren Integrität verletzte und wie viele Transaktionen oder welchen Betrag der Zwischenfall betraf. Sie sollten auch ergänzen, ob der Zwischenfall eine Auswirkung auf den Ruf hatte und wie groß seine wirtschaftliche Auswirkung in geschätzten direkten und indirekten Kosten und Verlusten ist.
DORA schreibt ferner den betroffenen Subjekten vor, dass sie regelmäßig die Bestandsfähigkeit ihrer IT-Systeme und Prozesse überprüfen müssen, damit sie wirksam bleiben und potenzielle Probleme identifiziert werden können. Die Einführung wirksamer Sicherheitskontrollen kann für Organisationen eine Herausforderung sein, da sie sicherstellen müssen, dass sie der Größe, Kompliziertheit und dem Risikoprofil der Digitalinfrastruktur sowie den Dienstleistungen entsprechen. Außerdem müssen Organisationen garantieren, dass alle Sicherheitskontrollen regelmäßig überwacht und überprüft werden.
Außerdem setzt DORA eine gegenseitige Zusammenarbeit und Informationsteilen voraus. Sie schreibt vor, dass Finanzinstitute Informationen mit anderen Finanzinstituten und Aufsichtsbehörden in anderen Ländern teilen sollen, was eine Herausforderung aus Sicht des Datenschutzes, Vertraulichkeit und Anforderungen an Vorschriften darstellen kann.
Dabei ist zu erwarten, dass manche Routinetätigkeiten, die mit der Datenüberprüfung, -speicherung und -verarbeitung im Zusammenhang mit Reporting in naher Zukunft mit einer minimalen Einschaltung menschlicher Tätigkeit ausgeübt werden, die durch das maschinelle Lernen und die künstliche Intelligenz ersetzt wird, und zwar auch aus dem Grund, dass Firmen nicht genug Mitarbeiter haben werden, die sich der Auswertung von immer größeren Datenvolumen widmen können.
Mangel an Experten für Cybersicherheit
Es ist auch davon auszugehen, dass ein Mangel an Experten herrschen wird, die für die Implementierung der Richtlinie selbst zuständig wären, genauso wie ein Mangel an Inspektoren für die eingestellten Prozesse. Übrigens Experten sind in Firmen schon jetzt Mangelware.
Insbesondere für kleinere Firmen scheint es unrealistisch zu sein, dass sie es schaffen können ein dauerhaftes vollwertiges Expertenteam für Cybersicherheit zu bilden. Daher ist von einer größeren Einschaltung externer Partner, eventuell von Sicherung einer Cybersicherheitskomponente in Form einer geteilten Dienstleistung auszugehen.
Die Nachfrage nach Cybersicherheitsexperten wird dabei nicht nur infolge der kommenden DORA-Richtlinie steigen, sondern auch weiterer Richtlinien, die Cybersicherheit wie NIS2 betreffen.
Von der Vorlage der NIS2-Richtlinie geht auch das entstehende Cybersicherheitsgesetz aus, dessen Inkrafttreten die tschechische Legislative vorläufig seit der zweiten Hälfte des Jahres 2024 vorsieht, und das tausende von tschechischen Firmen betreffen wird. Im Unterschied zu der DORA-Richtlinie betrifft sie allerdings ausgewählte Schlüsselsubjekte in allen Branchen, während die DORA nur für den Finanzsektor gelten wird. Im Falle der Unklarheit beim Finanzsektor, welche Richtlinie zu befolgen ist, wird stets DORA als eine spezifischere gesetzliche Regelung Vorrang vor der NIS2 haben.
Wer gegen die Vorschrift verstößt, muss mit einer Sanktion rechnen
Die zuständige Staatsbehörde kann im Falle eines Verstoßes gegen die DORA-Richtlinie Verwaltungssanktionen und Abhilfemaßnahmen auferlegen, deren Höhe für Finanzinstitute jedoch noch nicht festgelegt wurde. Jedoch können Behörden kritischen Erbringenden von Informations- und Kommunikationsdienstleistungen eine Strafe bis zu 1 % deren Durchschnittsjahresweltumsatzes für das Vorgeschäftsjahr für die Dauer von maximal sechs Monaten, und zwar täglich bis zur Erreichung des Einklangs mit den Vorschriften auferlegen.
Sowohl Finanzinstitute als auch deren Auftragnehmer sollten sich auf die Regelung bereits jetzt vorbereiten. Die Frist, die sie für die Erfüllung der gesetzlichen Bedingungen haben, ist wirklich nicht allzu lang.