BaFin-Aufsichtsmitteilung mit Umsetzungshinweisen zur DORA
BaFin-Aufsichtsmitteilung mit Umsetzungshinweisen zur DORA
Die BaFin veröffentlichte am 08. Juli 2024 die Aufsichtsmitteilung mit Hinweisen zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement. Die Hinweise richten sich insbesondere an jene von der BaFin beaufsichtigten Unternehmen, die unter die Anwendungsbereiche der BAIT/VAIT fallen und künftig u.a. die Anforderungen an das IKT-Risikomanagement gemäß DORA Art. 5 bis 15 einzuhalten haben. Die Hinweise sollen der Unterstützung von Finanzunternehmen bei der Implementierung von DORA und zur Vorbereitung auf die Anwendung ab 17. Januar 2025 dienen.
Grundlage der Umsetzungshinweise sind die Ergebnisse von sechs Arbeitsgruppen bestehend aus Vertreterinnen und Vertretern der Industrie, der BaFin und der Deutschen Bundesbank. Diese haben im Jahr 2023 die DORA-Anforderungen zum IKT-Risikomanagementrahmen und zum IKT-Drittparteienrisiko inkl. der dazugehörigen RTS-Entwürfe den Anforderungen aus BAIT und VAIT methodisch und inhaltlich gegenübergestellt.
Die Aufsichtsmitteilung enthält außerdem eine umfangreiche Liste an Mindestvertragsinhalten, die gemäß DORA bzw. dem RTS zu kritischen oder wichtigen Funktionen (RTS TPPol) und dem RTS zur Untervergabe von IKT-Dienstleistungen (RTS-E SUB) zwischen Finanzunternehmen und IKT-Drittdienstleister verpflichtend zu vereinbaren sind. Vertragsbestandteile, die vereinbart werden sollten, aber nicht explizit in den Rechtstexten aufgeführt werden, sind nicht Bestandteil dieser Auflistung.
Die Umsetzungshinweise sind in acht Schwerpunkte unterteilt.
Die zentralen Unterschiede zwischen BAIT/VAIT und DORA in diesen Schwerpunkten sind folgende:
1. Governance und Organisation:
DORA macht digitale operationale Resilienz und IKT-Risikomanagement zu einer expliziten Verantwortung des Leitungsorgans. Dieses hat die relevanten Methoden, Prozesse und Policies (z.B. DOR- (Digital-Operational-Resilience) Strategie) zu genehmigen und ist in den umfangreicher auszugestaltenden Kontrollrahmen einzubinden. Um diese Aufgaben wahrnehmen zu können, haben die Mitglieder des Leitungsorgans über entsprechende fachliche Kompetenzen zu verfügen.
2. Informationsrisiko- und Informationssicherheitsmanagement:
DORA erhöht die Anforderungen an die Identifikation, Analyse, Bewertung, Behandlung und Überwachung von IKT- und Resilienz-Risiken. Zum Beispiel führt DORA neue Prüfungs- und Analyseanforderungen zu IKT-Risiken, neuen Technologien, Altsystemen, Vorfällen und Penetrationstests ein und definiert damit verbundene Berichtspflichten. DORA erweitert außerdem deutlich die Schulungspflichten für Mitarbeiterinnen und Mitarbeiter sowie Führungskräfte, inklusive Leitungsorgan.
3. IT-Betrieb:
DORA fokussiert auf Resilienz und damit auf die Sicherstellung der Betriebsstabilität. Dies umfasst die Bestimmung der Kritikalität von IT-Systemen, die Identifikation von Abhängigkeiten und umfassende Change-Impact-Analysen im Rahmen des Änderungsmanagements.4. IKT-Geschäftsfortführungsmanagement:
DORA erhöht die Anforderungen an die Geschäftsfortführungs- und Notfallplanung. Bei der Erstellung von IKT-Reaktions- und Wiederherstellungsplänen sind folgende vier zusätzliche Bedrohungsszenarien zu berücksichtigen: Auswirkungen des Klimawandels, Insider-Angriffe, politische und soziale Instabilität und großflächige Stromausfälle. Darüber hinaus ist eine Krisenmanagementfunktion zu etablieren, welche im Not- bzw. Krisenfall die interne und externe Krisenkommunikation steuert.5. IT-Projektmanagement und Anwendungsentwicklung:
Im Rahmen des IKT-Projektportfoliomanagements fordert DORA eine Analyse der Auswirkungen auf kritische und wichtige Funktionen. Bei der Anwendungsentwicklung stehen sichere Entwicklung und sichere Implementierung im Vordergrund. DORA unterscheidet im Gegensatz zu BAIT/VAIT nicht zwischen wesentlichen und nicht wesentlichen Änderungen; vielmehr gelten die gleichen Prozesse für alle Änderungen.6. IKT-Drittparteienrisikomanagement:
DORA erweitert den IKT-Risikomanagementrahmen um die Risikobetrachtung der Lieferkette. Risiken sind zu identifizieren, zu bewerten und zu behandeln und in den vertraglichen Vereinbarungen mit IKT-Drittdienstleistern angemessen zu berücksichtigen. Zu diesem Zweck werden die verpflichtenden Vertragsanforderungen mit IKT-Drittdienstleistern deutlich ausgeweitet und Unterauftragsvergaben strenger reguliert. Außerdem werden die Anforderungen an Due Diligence und Risikoanalysen verstärkt. Die Anforderungen an Ausstiegsstrategien/-pläne für IKT-Dienstleistung zur Unterstützung kritischer oder wichtiger Funktionen sind ebenfalls deutlich höher.7. Operative Informationssicherheit:
DORA erhöht den Detaillierungsgrad der Anforderungen im Bereich der operativen Informationssicherheit stark, zum Beispiel hinsichtlich Netzwerksegmentierung, Firewall-Management, Datenverschlüsselung und kryptographischem Schlüsselmanagement.8. Identitäts- und Rechtemanagement:
In DORA ähneln die Anforderungen den bekannten der BAIT/VAIT und erfordern daher voraussichtlich keine großen Anpassungsaufwände. Neu hinzu kommt neben den bestehenden „need-to-know“ und „least priviledge“ Prinzipien das „need-to-use“ Prinzip, welches sich im Sparsamkeitsgrundsatz der BAIT/VAIT widerspiegelt.Insgesamt sind die DORA-Anforderungen im Gegensatz zu der prinzipienbasierten BAIT/VAIT deutlich spezifischer und damit ggfs. umfangreicher. Die Vorgaben aus der BAIT/VAIT sind in DORA im Wesentlichen im „regulären IKT-Risikomanagementrahmen“, den „Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos“ (Art. 28 - 30) sowie den einschlägigen Level 2-Rechtstextentwürfen (RTS & ITS) in DORA abgebildet.
In Ergänzung der nationalen Umsetzung der DORA durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) prüft die BaFin, die aufsichtlichen Anforderungen an die IT (BAIT/VAIT) aufzuheben. Finanzunternehmen, die nicht unter den Anwendungsbereich von DORA fallen, werden trotzdem weiterhin Maßnahmen zum angemessenen Umgang mit IT-/Cyberrisiken im Rahmen der ordnungsgemäßen Geschäftsorganisation zu treffen haben.
Unsere erfahrenen Expertinnen und Experten bei BDO unterstützen unsere Kundinnen und Kunden seit Jahren dabei, die BAIT/VAIT- und nun DORA-Anforderungen wirksam und effizient umzusetzen. Sehr gerne helfen wir auch Ihnen, die vielseitigen Herausforderungen von heute und morgen gemeinsam zu meistern - sprechen Sie uns an!