DORA – Deltabetrachtung

Key Facts

• Bisherige BaFin-Aufsichtsobjekte sind gut gerüstet für DORA, neue DORA-Aufsichtsobjekte stehen vor großen Aufgaben
• Neu für BaFin-Aufsichtsobjekte sind 24 Anforderungen aus dem Verordnungstext und für alle DORA-Aufsichtsobjekte 19 RTS  sowie 2 ITS  
• Viele RTS/ITS können vorgezogen werden, Zuwarten auf finale Versionen wird nicht empfohlen
• Anforderungen können im Zeitverlauf mit RTS/ITS gebündelt und vorzeitig aufgelöst werden
• DORA untermauert Pro-Cloud-Entscheidung regulatorisch, denn ein „Aufsichtsschatten“ ist mit DORA endgültig Geschichte

Einleitung

DORA soll zukünftig nationale Regelungen im Bereich der Finanzmarktregulierung in einheitli-ches, harmonisiertes EU-Recht überführen. CORE hat dazu bereits in einem ersten Blog-Post zu DORA Wesen, Inhalt, Auswirkungen und Empfehlungen dargelegt. Der vorliegende Blogpost ist eine Ergänzung des ersten und stellt auf das Delta zur aktuellen Regulierung ab, d.h. das, was für die etablierte Finanzindustrie tatsächlich neu aus DORA heraus ist.
DORA weitet den Geltungsbereich auf ca. 20 Arten von Unternehmen und IKT-Drittanbieter  . Für diejenigen Unternehmen, für die die Regelinhalte wie IKT-Risikomanagement, Meldung von IKT-Vorfällen und Prüfung der digitalen Betriebsstabilität bisher kein Thema waren, ist aus DO-RA heraus alles neu. Für die bereits durch die BaFin beaufsichtigten Unternehmen wie beispielsweise Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsinstitute und E-Geld-Institute, Versicherungsunternehmen, Wertpapierinstitute und Kapitalverwaltungsgesellschaften enthält DORA viele Anteile, welche diese bereits aus anderen regulatorischen Standards (siehe Abbildung 1) erfüllen müssen. 

Abbildung 1: Sonderprüfung in Finanzunternehmen – Rechtsgrundlagen und neues Aufsichtsobjekt IKT-Drittanbieter

Weitere für den genannten Kreis bekannte Regulierungsstandards sind das IT-Sicherheitsgesetz 2.0 mit den zwei zentralen Anforderungen „Mindestsicherheit der technisch-organisatorischen Ausstattung“ und „Meldewesen für schwerwiegende Sicherheitsvorfälle“ (nur für als KRITIS geltende Systeme), das Finanzmarktintegritätsstärkungsgesetz (FISG) mit Best-immungen zur Anzeigepflicht für wesentliche Auslagerungen, die PSD 2 für Zahlungsdienstleis-ter mit den RTS für erhöhte Sicherheitsanforderungen im Online-Zahlungsverkehr und das Geschäftsgeheimnisgesetz (GeschGehG) im Falle von Schadensersatzforderungen aus erfolg-reichen Angriffen. Die gänzlich neuen Anteile werden im Nachgang besprochen.
Die neuen Anforderungen speisen sich aus den zwei Quellen Verordnungstext sowie den RTS und ITS. Auch die RTS und ITS sind Bestandteile der Verordnung, jedoch bilden sie durch ihre spätere Fertigstellung eine Klasse für sich. Mit dem Inkrafttreten der DORA wird zum Jahres-wechsel 2022/23 gerechnet, die RTS/ITS folgen 12 bis 18 Monate später. Die Anwendung der DORA folgt zwei Jahre nach ihrem Inkrafttreten, sodass die Aufsichtsobjekte 6 bis 12 Monate Zeit für die Umsetzung der veröffentlichten RTS/ITS haben werden.

2. Handlungsbedarfe aus Text der Verordnung

In Abbildung 2 sind alle Anforderungen aus DORA zusammengestellt, die neu sind für die bis-her schon durch die BaFin beaufsichtigten Aufsichtsobjekte aus XAIT  und MaX  – kurz: „DORA-Delta“. Im Anhang findet sich eine detaillierte tabellarische Aufstellung des DORA-Deltas.

Abbildung 2: Delta aus DORA-Entwurf vom 23.06.2022

3. Handlungsbedarfe aus RTS/ITS

Abbildung 3 fasst alle aus DORA resultierenden RTS und ITS zusammen. Alle RTS und ITS werden 12 bis 18 Monate nach Inkrafttreten von DORA durch die ESA fertiggestellt, sodass die Aufsichtsobjekte theoretisch erst mit Verfügbarkeit dieser finalen Versionen mit der Umsetzung beginnen können. Aber das Vorziehen verschiedener RTS und ITS ist möglich und notwendig, um insgesamt besser auf die DORA vorbereitet zu sein als es der Wirtschaft zum Beispiel bei der DSGVO gelungen ist. Des Weiteren führt eine zeitliche Streckung aller RTS und ITS über die verfügbaren zwei Jahre zu einer komfortableren Bearbeitungssituation, als wenn mit den Arbeiten erst begonnen wird, wenn diese 21 Vorgaben bereitstehen. In diesem Fall hätten die Unternehmen für 8 RTS/ITS nur 6 Monate Zeit für die Umsetzung.  

Abbildung 3: aus DORA resultierende Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS)

Diejenigen technischen Standards, die Aufsichtsobjekte ohnehin bereits heute im Feld haben müssen, sollten zumindest aktualisiert werden, oder wenn nicht angemessen vorhanden, auf einen gesetzeskonformen Stand gebracht werden. Dazu gehören alle sieben RTS aus Artikel 14, denn mit dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) müssen sich die bisherigen Aufsichtsobjekte der BaFin aus XAIT und MaX ohnehin befassen und alle neuen Aufsichtsobjekte aus DORA müss(t)en das aus Eigeninteresse ebenfalls schon tun. Für alle neuen Bestandteile aus einem RTS heraus, wie zum Beispiel Inhalt und Form des Berichts über die Überprüfung des IKT-Risikomanagementrahmens bietet sich Lobbyarbeit in der Form an, eigene Branchen-, Sektor-, Landesweite oder gar europäisch abgestimmte Entwürfe der ESA zur Verfügung zu stellen, sodass die „Überraschung“ bei der Vorlage der RTS durch die ESA möglichst klein bleibt.
Das gleiche gilt bei den drei RTS aus Artikel 16 rund um Meldungen zu schwerwiegenden IKT-Vorfällen und dem einen RTS und dem einen ITS aus Artikel 18 zu Berichten zu schwerwiegen-den IKT-Vorfällen: erstens müssen sich alle zu Vorfällen verhalten und zweitens sollten der ESA die auszuarbeitenden Kriterien zuvor als abgestimmter Diskussionsvorschlag übermittelt wer-den. In diesem doppelten Sinne – eigene Umsetzung und Lobbyarbeit für einen möglichst europaweit, aber zumindest national harmonisierten Diskussionsvorschlag an die ESA – können auch alle anderen RTS und ITS aus Abbildung 3 gesehen werden.
Auf das RTS aus Artikel 23 Absatz 4 zu Penetrationstests können Aufsichtsobjekte sich bereits jetzt vorbereiten, da die Verordnung das Testregime TIBER-EU favorisiert und dieses ist be-kannt und verstanden. Einzig die Anforderungen an interne Tester könnten Überraschungen aus dem RTS mit sich bringen, sodass außer der Sicherung externer Testkapazitäten bereits heute die internen Testressourcen bis zum RTS weiterhin ihr Tagwerk verrichten.
Ebenso bekannt sind Register mit Verträgen zu Outsourcingunternehmen, sodass hier zum RTS aus Artikel 25 Absatz 10 nur eine Anpassung an das vorgegebene Format erfolgen muss. Die aus Artikel 25 Absatz 11 geforderte Richtlinie zur Nutzung von IKT-Diensten sollte schon heute Bestandteil eine ISMS sein und darf bisherige Aufsichtsobjekte vor keine größere Hürde stellen. Das sollte ebenfalls für die detaillierte Beschreibung aller Funktionen (Artikel 27 Absatz 4) des Outsourcingunternehmens gelten, andernfalls liefe bereits heute einiges falsch in den Verträgen zwischen BaFin-Aufsichtsobjekt und Hyperscaler. Mit dem freiwilligen Antrag des IKT-Drittanbieters zur Aufnahme in die Liste der zu überwachenden IKT-Drittanbieter (Artikel 36 Absatz 1 Buchstabe a) kann sich der Drittanbieter erst nach Erscheinen des entsprechenden RTS bemühen. Das gilt auch für die letzten drei Themenstellungen 19 bis 21 aus Abbildung 3: Adaptation an Gesetzestext ist erst mit Erscheinen der RTS sinnvoll.

4. Handlungsempfehlungen für bisherige Aufsichtsobjekte

In Abbildung 4 sind die RTS/ITS „1“ bis „21“ aus Abbildung 3 den Anforderungen aus dem Ver-ordnungstext der DORA „A“ bis „X“ aus Abbildung 2 thematisch zugeordnet und gemeinsam über die Zeitachse aufgetragen. Die Annahme der Zeitplanung ist ein Inkrafttreten der DORA am 1. Januar 2023. 
Den 21 RTS/ITS sind in Abbildung 4 noch zwei weitere „Fristsachen“ 22 und 23 aus dem Ver-ordnungstext beigefügt. Diese sind zwar keine RTS/ITS, jedoch tragen sie zur weiteren Konkre-tisierung dieser bei:
-    22: Artikel 10 Abs. 9a: Gemeinsame Leitlinien der ESAs für die Schätzung der in Ab-satz 9 genannten aggregierten jährlichen Kosten und Verluste.
-    23: Bericht aus Artikel 19 Abs. 1 i.V.m. Abs. 3: Bericht zur Prüfung einer EU-Plattform für schwerwiegende IKT-Vorfälle

Abbildung 4: Zusammenlegung Verordnungsartikel und RTS/ITS über Zeitachse 

Aus Abbildung 4 wird die Möglichkeit der Zusammenlegung der Anforderungen aus Verordnungstext und RTS/ITS über die Zeitachse kristallin, sodass die Arbeiten zur Konformität mit der DORA gebündelt und somit besser zeitlich wie organisatorisch verteilt werden können. Eine Betrachtung auf Gruppenebene eröffnet Räume der Fokussierung.

Gruppe A, B, D:

• A: Rechtzeitige Befassung mit Philosophie, Systematik und der Antizipation der DORA für eigene Organisation ist erfolgskritisch
• B: ein vollumfängliches ISMS müssen bisherige BaFin-Aufsichtsobjekte ohnehin in Be-trieb haben – Check auf Aktualität empfohlen
• D: Prüfung der Option 2nd Line auszulagern kann im Vorfeld erfolgen

Gruppe C, E, F:

• C: Die Strategie für digitale Resilienz umfasst alle Anforderungen des Artikel 14 DORA und damit 8 RTS – im Rahmen der Aktualisierung des ISMS zu erledigen
• E: Basierend auf eigener Definition Identifikation der IKT-Altsysteme und gemeinsame Abhandlung in Strategie aus C)
• F: Policy für Informationssicherheit ist aus vorhandener IT-Strategie und neuer Strate-gie aus C) abzuleiten

Gruppe I, M, V:

• I: Festlegung der Krisenmanagementfunktion in der operativen Strategie zur Fortfüh-rung des Geschäftsbetriebs
• M: Festlegung Funktion Implementierer der Kommunikationsstrategie in der operativen Strategie zur Fortführung des Geschäftsbetriebs
• V: Ausstiegspläne und deren Erprobung eingebettet in der operativen Strategie zur Fortführung des Geschäftsbetriebs

Gruppe H, K:

• H: Erstellung IKT-Strategie zur Fortführung des Geschäftsbetriebes und deren Über-prüfung entlang der Leitplanken aus RTS 4 und RTS 5
• K: Besondere Pflichten für sekundären Bearbeitungsstandort für Zentralverwahrer und Zentrale Gegenparteien entlang der Leitplanken aus RTS 4 und RTS 5
• Gruppe U, W und X:
• U: Meldung von Outsourcing/-Vorhaben zwar aus FISG bekannt, jedoch werden RTS 16 und RTS 17 neue Anforderungen stellen
• W: Bewertung des IKT-Konzentrationsrisikos insb. Ohne RTS 16 schwer früher zu er-stellen
• X: RTS 17 wird neue Vorgaben für wesentliche Vertragsinhalte aufstellen

Gruppe J, N, O:

• J: sofortige Lobbyarbeit gegen Fristsache 23 empfohlen; mit RTS 12 und RTS 13 so-wie Fristsache 22 werden Inhalt und Format dieser Meldung vorgegeben  
• N: sofortige Lobbyarbeit notwendig; mit RTS 12 und RTS 13 werden Inhalt und Format dieser Meldung vorgegeben
• O: sofortige Lobbyarbeit notwendig; mit RTS 12 und RTS 13 werden Inhalt und Format dieser Meldung vorgegeben

Gruppe P, Q, R, S:

• P: Ausarbeitung des Prüfprogramms muss sofort aufgenommen werden, RTS 14 wird Penetrationstests ausdetaillieren
• Q: Ausarbeitung Vorgehen zur ausreichenden Ausstattung mit externen und wenn vor-gesehen auch internen Testkapazitäten; Ausarbeitung der Testung an Live-Systemen, frühzeitige Sicherung von Testkapazitäten empfohlen
• R: Auswahl und Sicherung der Tester unter Einbezug von RTS 14 – aber Orientierung an TIBER EU bereits jetzt möglich und empfohlen
• S: Entscheidung ob interne Tester noch sinnvoll im Lichte der Anforderungen

Einzel-Deltas:

• G: Anomalienerkennung mit RTS 3 verbinden
• L: Meldung von Lessons Learned bedarf keine vorzeitigen Aktionen
• T: Strategie für Risiken durch IKT-Drittanbieter mit Vorgaben zur Multi-Vendor-Strategie aus RTS 16 zu verbinden; RTS 15 wird das Vertragsregister strukturieren 

Fazit

DORA wird den Aufsichtsrahmen auf ca. 20 Unternehmensarten weiten und damit endlich den Fokus Europas auf die wichtigste Ressource für Wohlstand und Gestaltungsfreiheit in einer überkomplexen Welt richten – die digitale Infrastruktur. Finanzunternehmen und IKT-Drittanbieter bilden dabei den Startpunkt für eine moderne, automatisierte Aufsichtspraxis. Wei-tere wichtige Sektoren werden folgen.
Beide, die bisherigen BaFin-Aufsichtsobjekte als auch die alle neuen DORA-Aufsichtsobjekte können es sich Summa summarum nicht erlauben auf die Fertigstellung der RTS und ITS durch die ESA gegen Ende 2023 und gegen Mitte 2024 zu warten. Wie oben erläutert, bleibt in die-sem Falle den Unternehmen maximal ein Jahr Zeit, für 8 RTS/ITS sogar nur 6 Monate, für die Umsetzung. Zweitens blockieren diese notwendigen aufsichtlichen Arbeiten die Linientätigkeiten für viele Monate ungebührend; eine zeitliche Streckung von 6 Monaten auf bis zu zwei Jahre ist erfolgsversprechender als ein Zuwarten. Vielmehr müssen beide Gruppen bereits jetzt mit den Vorbereitungen auf diese beginnen. Dann haben sie erstens die Chance gesetzeskonform zu bleiben und zweitens können sie auf Basis ihrer Lessons learned aus DORA den ESAs recht-zeitig Diskussionsangebote für einzelne RTS und ITS unterbreiten, um noch Einfluss auf die Ausgestaltung von Details in Governance und Organisation ihrer digitalen Produktionsbasis nehmen zu können.
Abseits der regulatorischen Politiken und des aufsichtlichen „Kleins-Kleins“ stellen sich neue Erkenntnisse und Fragen mit der DORA ein. Zunächst einmal der Gemeinplatz: Banken-Aufsicht ist IT-Aufsicht! Diese Erkenntnis sollte nun überall angekommen sein. Spätestens mit DORA verschwindet der „Aufsichtsschatten“, den die Aufsichtsobjekte in den ersten Jahren des Outsourcings in die Cloud hatten. Im Umkehrschluss bedeutet das aber, dass ein Outsourcing in die Cloud wohl durchdacht und kalkuliert ist, denn der Gang in die Cloud wird nur sinnvoll bei wirklichem Mehrwert, da der „Vorteil“ geringerer Compliance-Anforderungen in der Cloud mit DORA nicht mehr gegeben ist. Wenn ein Unternehmen nun nach den Bedingungen der DORA outsourct, dann ist die Erfolgswahrscheinlichkeit des Outsourcings wegen DORA größer als ohne DORA. Ein Umkehrschluss in Richtung Aufsicht: Wenn die gleiche Aufsicht Finanzunter-nehmen und IKT-Drittanbieter nach gleichen Regeln beaufsichtigt, warum müssen Finanzunter-nehmen diese IKT-Drittanbieter so steuern und überwachen, als ob diese nicht beaufsichtigt wären?