Direkt zum Inhalt wechseln

Am 14. Dezember 2022 hat der Europäische Gesetzgeber ein Gesetzespaket zur digitalen operationalen Resilienz im Finanzsektor verabschiedet. Wer als Finanzunternehmen im Europäischen Binnenmarkt aktiv ist, den treffen nun spezifische Pflichten zur Sicherung seiner digitalen Systeme. Aber auch Dienstleister solcher digitalen Systeme werden davon berührt. Ab dem 17. Januar 2025 sind die Vorgaben einzuhalten.

Inhalt und Relevanz

Digitale Operationale Resilienz im Finanzsektor ist schon seit längerem Thema der Debatten. Gemeint ist damit vor allem die Sicherheit von Systemen der Informations- und Kommunikationstechnologie (IKT), die Finanzunternehmen einsetzen, um ihre Finanzdienstleistungen anbieten zu können. Solche IKT-System sorgen zwar dafür, dass Schlüsselsektoren der Volkswirtschaft, wie der Finanzsektor, am Laufen gehalten werden und verbessern das Funktionieren des Binnenmarktes. Zeitgleich führt die zunehmende Digitalisierung und Vernetzung zu einem IKT-Klumpenrisiko, was den Finanzsektor anfälliger für Cyberdrohungen und IKT-Störungen macht.

Die EU hat die inhärenten Gefahren, die mit einer Störung oder gar einem Zusammenbruch solcher Dienste einhergehen, erkannt und mit einem Gesetzespaket, bestehend aus einer Verordnung und einer Richtlinie, reagiert. Gemeinsam werden diese als Digital Operational Resilience Act oder «DORA» bezeichnet. Im DORA werden somit vor allem IT-Sicherheitsthemen behandelt in allen ihren Ausformungen.

Hintergrund und Ziel

Die gesetzlichen Regelungen von DORA kommen nicht aus dem luftleeren Raum, vielmehr sind sie eingebettet in eine weitergehende digitale Gesetze-Agenda (neben bspw. der NIS2-Richtlinie (EU) 2022/2555), in eine bereits bestehende Rechtsgrundlagen und in einen internationalen Kontext (z.B. G7 Fundamental Elements of Cybersecurity for the Financial Sector), sowie gefördert durch lauterwerdende behördliche Stimmen für eine sektorspezifische Regulierung (z.B.  ).

Die Gruppe der 7 grössten demokratischen Volkswirtschaften (G7) hat bereits 2016 in den obengenannten Fundamental Elements Leitlinien für eine effektive Digital- und Cyberstrategie von Finanzunternehmen vorgelegt. So hat z.B. ein Kreditinstitut eine Cybersecuritystrategie und Governance (klare interne Rollenzuweisung und Zuständigkeiten mit eigenen Verantwortungsbereichen) festzulegen, Risikobewertungen vorzunehmen, Monitoring, Response und System-Wiederherstellung sicherzustellen sowie Informationsaustausch zu ermöglichen und die Aktualität der Cybersicherheitsmassnahmen zu gewährleisten.

Die Verordnung erkennt in ihrem Erwägungsgrund 2 ausdrücklich die immer weiter zunehmende Relevanz von IKT-Systemen im Finanzsektor an und bezieht sich dabei auf den Bericht des ESRB von 2020, der in der stetig engmaschigeren Vernetzung und Abhängigkeit im Finanzsektor einen Herd für Cyberrisiken sieht. Gerade im monetären Bereich kann so eine Art Flächenbrand entstehen. Um potentielle Risiken für die Wettbewerbsfähigkeit zu mitigieren und das Funktionieren des Binnenmarkts stets gewährleisten zu können, soll der DORA die Stabilität von IKT-Systemen im Finanzsektor sicherstellen. Hierbei orientiert sich das Gesetzesvorhaben eng an den bereits vorab durch die G7 erarbeiteten Anforderungen.

Geltungsbereich

Der DORA wird für «Finanzunternehmen» und «IKT-Drittdienstleister» in der EU gelten. Unter Finanzunternehmen sollen alle Unternehmen des Art. 2 Abs. 1 der Verordnung fallen, die keine IKT-Drittdienstleister sind. Dies beinhaltet unter anderem Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Ratingagenturen, aber auch betriebliche Altersversorgungen oder Versicherungsunternehmen. Es handelt sich folglich um eine extensive Liste, die den Finanzsektor möglichst lückenlos erfassen soll.

Besonders an der Verordnung ist allerdings, dass auch IKT-Unternehmen nunmehr unter die Verordnung fallen, soweit diese Dienstleistungen spezifisch für Finanzunternehmen erbringen. Dieser Begriff ist weit zu verstehen und soll quasi jeden Dienst, egal ob software- oder hardwaregestützt, miteinbeziehen, ausser «herkömmliche analoge Telefondienste» (Art. 3 Nr. 21 der Verordnung). Die Ausnahme macht deutlich, dass alles, was eine analoge Telefonanlage hinausgeht, bereits als eine IKT-Dienstleistung zu behandeln ist. Darunter kann also bereits ein Pool-Laptop, Serverinfrastrukturen, SaaS-Dienste, aber auch E-Mail-Provider oder Cloud-Hoster fallen.

Die Pflichten des DORA sind auch grundsätzlich für alle der genannten Unternehmen verbindlich – unabhängig von ihrer Grösse. Ausnahmen finden sich zwar an einigen Stellen, allerdings meist nur für Kleinstunternehmen. Hierbei handelt es sich um Unternehmen, die nicht einmal die Schwellen eines Kleinunternehmens erreichen. Sie dürfen nicht mehr als 9 Personen beschäftigen und nicht mehr als 2 Mio. EUR Jahresumsatz erzielen (Art. 3 Nr. 60 bzw. 63 der Verordnung).

Gegenstand: Resilienz

An präsenter Stelle in Art. 1 stellt die Verordnung klar, worum es bei digitaler operationaler Resilienz geht: Informationsaustausch, Meldepflichten, Risikomanagement und Risikoermittlung sowie vertragsrechtliche Aspekte. Konkretisiert werden diese Pflichten der Finanzunternehmen sodann in den nachfolgenden Kapiteln der Verordnung.

So fordern beispielsweise Art. 5 und 6 der Verordnung die Einrichtung eines „IKT-Risikomanagementsrahmens“. Dieser soll eine umfangreiche Governance-Strategie beinhalten, um so wirksam und umsichtig die IKT-Risiken zu überwachen. Auch ist Incident Management Sache der obersten Managementebene und beinhaltet die Pflicht einen Chief Digital Resilience Officer einzurichten. Wichtig ist hierbei dessen Unabhängigkeit, bei der sich ein Vergleich zum Datenschutzberater aufdrängt. Art. 7 der Verordnung verpflichtet sodann, dass die eingesetzten IKT-Systeme zuverlässig, aktuell und technologisch resilient sind. Art. 8 der Verordnung wiederum verpflichtet zur Risikoidentifizierung. So sind interne Risikofaktoren zu dokumentieren, Risikoquellen ausfindig zu machen und zu bewerten, kritische Systeme zu erfassen sowie Verbindungen zu Drittdienstleistern (insbesondere ausserhalb des Finanzsektors) klar zu benennen.

Art. 9 bis 14 der Verordnung befassen sich sodann mit dem Fall der Fälle, dem Incident: Chronologisch werden Präventionsmassnahmen, die Erkennung eines Vorfalls, die Response auf einen solchen Vorfall und die Systemwiederherstellung behandelt. Aber auch nach Abschluss des Incident ist der Vorfall intern aufzuarbeiten und mögliche Learnings sind zusammenzutragen. Das gesetzlich vorgesehene Verfahren findet sein Ende erst in der Kommunikation nach aussen und der Information von externen, potentiell betroffenen Stakeholdern.

Ein eigenes Kapitel III der Verordnung erläutert die Behandlung von IKT-bezogenen Vorfällen. Für Unternehmen am wichtigsten dürfte hier die Meldepflicht schwerwiegender IKT-bezogener Vorfälle nach Art. 19 der Verordnung sein, die durch eine freiwillige Meldung erheblicher Cyberbedrohungen ergänzt wird. Ob es bei der Freiwilligkeit dieser Meldung bleibt, wird sich in Zukunft noch entscheiden und unterliegt einer Überprüfung der Kommission im Jahre 2028. Ein Template für die Meldungen soll von den Aufsichtsbehörden gemeinsam mit der Europäischen Agentur für Cybersicherheit (ENISA) und der Europäischen Zentralbank (EZB) entwickelt werden.

Die Pflichten der Verordnung zum Bereithalten von internen Richtlinien, Strategien und Zuständigkeiten, werden sodann ergänzt durch umfassende Testerfordernisse (Art. 24 ff. der Verordnung). Alle kritischen und wichtigen Funktionen eines Finanzunternehmens sind hierbei alle drei Jahre zu testen. Darin eingeschlossen sind auch und gerade das Testen von Produkten von IKT-Drittdienstleistern. Diese Tests sind von unabhängigen und qualifizierten Prüfern vorzunehmen und werden sodann von der zuständigen Behörde bescheinigt.

Auch auf Unternehmen, die Informations- und Kommunikationstechnologien anbieten, kommen einige Neuerungen zu. Zwar gelten die Pflichten der Verordnung im Wesentlichen nicht unmittelbar für die IKT-Dienstleister, allerdings sieht Kapitel V der Verordnung Normen vor, die die Finanzunternehmen binden. Finanzunternehmen müssen nunmehr bereits in ihren IKT-vertraglichen Beziehungen gewisse Anforderungen erfüllen. So müssen zum Beispiel die vertraglichen Vereinbarungen mit IKT-Dienstleister in einem Informationsregister dokumentiert, potentielle IKT-Dienstleister sorgfältig geprüft und Ausstiegstrategien eingerichtet werden (Art. 28 der Verordnung). In Art. 30 der Verordnung werden sodann wesentliche Vertragsbestimmungen, die mit IKT-Dienstleistern vereinbart werden müssen, statuiert. Die Haftung der Finanzdienstleister kann aber nicht per Vereinbarung abgewälzt werden. Um am Markt aber weiterhin bestehen zu können, müssen IKT-Unternehmen unter anderem angemessene Informationssicherheitsstandards erfüllen, die Rechtskonformität ihrer Dienstleistungen und die Systemkontinuität nach Vertragskündigung sicherstellen als auch IKT-Risikoanalysen durchführen und Auditmöglichkeiten gewährleisten.

Auswirkungen von DORA auf die Schweiz

Der DORA legt Finanzunternehmen in der EU die oben aufgeführten und noch weitere Pflichten auf. Der DORA wird sich aber voraussichtlich sowohl auf IKT-Dienstleister als auch auf Finanzunternehmen in der Schweiz auswirken. So sind auch Schweizer IKT-Dienstleister (oder Subunternehmer) indirekt von DORA betroffen, wenn sie beabsichtigen, ihre Dienstleistungen für Finanzunternehmen in der EU zu erbringen. Auch werden Schweizer Unternehmen, die Teil eines Finanzkonzernes in der EU sind, ebenfalls betroffen sein. Jedoch müssen auch Schweizer Finanzunternehmen möglicherweise Verpflichtungen aus DORA beachten, wenn sie mit anderen Finanzunternehmen in der EU oder deren Kunden Beziehungen pflegen.

Quellen