FOTO: Archiv DORA – schöner Name, viel Arbeit DORA (Digital Operational Resilience Act) normiert hohe Anforderungen an die IT-Landschaften, Prozesse und Dokumentation von Finanzunternehmen, die Regeln gelten bereits ab 17. Jänner 2025. DORA hat zum Ziel, dass sich Finanzunternehmen „digital operational resilienter“ aufstellen, sprich: Die Unternehmen sollen die Abwehrkräfte ihrer IKT-Systeme („IKT“ steht für „Informations- und Kommunikationstechnologie“) stärken, gerade auch zum Schutz vor Cyberangriffen. Adressaten der Normen sind mehr oder minder alle Arten von Finanzinstituten, wie etwa Kredit- und Zahlungsinstitute, Verwaltungsgesellschaften, Versicherungsunternehmen, Wertpapierfirmen und Alternative Investmentfonds- Manager, bis zu einem gewissen Grad aber auch die sog. „IKT-Drittdienstleister“ selbst. Für die Überwachung wird die Finanzmarktaufsichtsbehörde (FMA) zuständig sein. DORA – wesentliche Themen Die folgende Darstellung zeigt grundsätzliche Anforderungen des DORA-Regimes im Überblick: IKT-Risikomanagement: Unternehmen müssen ein wirksames Risikomanagement in Bezug auf IKTRisiken (Serverausfall, Cyberangriff etc.) implementieren. Dieses umfasst unter anderem das Führen von Inventarlisten zur eingesetzten Hard- und Software samt Bewertung deren Wichtigkeit für die Funktionsfähigkeit des Unternehmens, Maßnahmen zur frühzeitigen Erkennung von IT-bezogenen Vorfällen, Bedrohungen und Schwachstellen sowie Maßnahmen zur raschen Reaktion und (Daten-/System-)Wiederherstellung im Falle des Auftretens von Problemen. IKT-Vorfälle und Cyberbedrohungen: Vorfälle und Bedrohungen sind gemäß den zuvor vom Unternehmen zu definierenden Prozessen handzuhaben, zu bewerten und zumindest im Falle von schwerwiegenden Vorfällen verpflichtend an die FMA zu melden. Tests: Quasi als „Präventivmaßnahme“ haben Finanzunternehmen Programme für Resilienztests einzurichten, die – je nach Art und Größe des Unternehmens – von Schwachstellen-Scans über Gap-Analysen bis hin zu umfassenden Penetrationstests (Threat Led Penetration Tests – TLPT) reichen müssen. IKT-Drittparteienrisiko: Die Finanzunternehmen haben ihr IKT-Drittparteienrisiko zu verwalten, also das Risiko, das im Zusammenhang mit den von Drittanbietern erbrachten IKT-Dienstleistungen gegeben ist. Die Unternehmen haben diesbezüglich Informationsregister samt den Diensten der Drittdienstleister zu führen, Bewertungen dieser Dienstleister vorzunehmen (Due Diligence) und in die Verträge bestimmte, sie schützende Klauseln aufzunehmen. Gerade letzter Punkt wird in der Praxis noch spannend, zumal es keine von staatlicher bzw. behördlicher Seite vorgegebenen oder empfohlenen Standardvertragsklauseln gibt – und voraussichtlich auch nicht geben wird. Überwachung kritischer IKT-Drittdienstleister: DORA schafft schließlich einen Überwachungsrahmen zur laufenden Überwachung von kritischen IKTDrittdienstleistern (man denke etwa an die weltweit, und damit naturgemäß auch in der EU, dominanten Anbieter ganz grundsätzlicher IT-Dienstleistungen). Damit will die EU gerade auch auf die Konzentration der Abhängigkeiten von solchen IKT-Drittdienstleistern reagieren. Die gute Nachricht DORA hat einen weitreichenden Verhältnismäßigkeitsgrundsatz normiert und bietet verschiedene Erleichterungen, gerade für kleinere und bestimmte simplere Formen von Unternehmen. Dass IT-bezogene Risiken, allem voran das Risiko von Cyberangriffen, real und hoch sind, das wird man wohl nicht bestreiten können. Insofern ist auch die Grundausrichtung des Regimes absolut berechtigt. Abzuwarten wird allerdings sein, ob die mit der Umsetzung des Regimes für die Unternehmen einhergehenden Kosten in einem sinnvollen Verhältnis zum erzielten Nutzen stehen werden – und tatsächlich die gewünschte Stärkung der digitalen Abwehrkräfte eintritt. www.kapitalmarktconsult.at GASTBEITRAG . Günther Ritzinger, Kapitalmarkt Consult KCU GmbH Mag. Günther Ritzinger, Gründer und Partner der Kapitalmarkt Consult KCU GmbH Zur Person Günther Ritzinger sammelte seine berufliche Erfahrung unter anderem als leitender Mitarbeiter der Finanzmarktaufsicht (FMA) sowie bei Banken und Wertpapierfirmen in den Bereichen Recht, Compliance, interne Revision und Risikomanagement. 2010 gründete er die Beratungsfirma KCU. Ausgabe Nr. 6/2024 – GELD-MAGAZIN . 17
RkJQdWJsaXNoZXIy MzgxOTU=