Von Dr. Marc Surminski
Die digitale Resilienz der Finanzwirtschaft steht seit einiger Zeit ganz oben auf der Agenda der europäischen Politik. Aufgeschreckt durch das enorme Bedrohungspotential etwa durch Cyberattacken, rollen mit DORA und NIS 2 aktuell gleich zwei europäische Regulierungsinitiativen auf Versicherer und Banken zu. Wurde die Branche in Sachen digitaler Sicherheit jahrelang eher an der langen Leine gelassen, herrschen nun hektische Regulierungsaktivitäten vor. Oder positiv im Sinne des europäischen Gesetzgebers formuliert: Es gibt jetzt umfassende gesetzliche Regelwerke, die auf EU-Ebene die Risiken der Digitalisierung für die Finanzbranche in den Fokus nehmen und zu einem modernen, sicheren und widerstandsfähigen digitalen europäischen Finanzmarkt beitragen sollen.
Während es sich bei NIS2 (Network and Information Security 2) um eine europäische Richtlinie handelt, die Cybersecurity-Anforderungen für viele Bereiche der Grundversorgung und lebenswichtigen Infrastrukturen der EU harmonisieren soll, hat DORA einen anderen Ansatz. Der „Digital Operational Resiliance Act“ ist eine Verordnung, also ein direkt gültiges, europäisches Gesetz. Es tritt Mitte Januar 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft. Steht bei NIS2 eher das Risikomanagement im Vordergrund, konzentriert sich DORA auf die Betriebsstabilität im Finanzsektor.
Mit „digitaler operationaler Resilienz“ ist die Widerstandsfähigkeit von Unternehmen gegen betriebliche Störungen auf der IT-Ebene gemeint. Dabei geht es um Cybersecurity und externe Angriffe, aber darüber hinaus auch um andere, nicht böswillig verursachte schwerwiegende IT-Probleme.
Die Anforderungen aus DORA, die spätestens zum Jahreswechsel 2024/2025 von den Unternehmen umgesetzt sein müssen, stellen die Versicherer vor große organisatorische Herausforderungen. Was kommt konkret auf sie zu? DORA verlangt, dass die IT-Strategie künftig detailliert beschrieben werden muss – etwa Personaleinsatz, Budget und Aufbau. Unternehmen müssen außerdem eine Richtlinie für Informationssicherheit formulieren, die auch regelmäßige Tests und Überprüfungen umfasst. Durch ein IT-Notfallmanagement sollen Störungen verhindert oder abgefedert werden. Nach vorgefallenen Störungen haben die betroffenen Unternehmen die Pflicht, Analysen der Fehler-Ursachen vorzunehmen.
Eine Besonderheit der neuen Verordnung birgt erheblichen Zündstoff für die Branche: Finanzunternehmen müssen in Zukunft auch das Risiko durch Dienstleister aus dem Bereich Informations- und Kommunikationstechnik (IKT) steuern. Hierfür stehen sie in der Haftung. Dazu gehören Vorgaben zur Meldung von Änderungen in der Nutzung von IKT-Anbietern, detaillierte Regeln für die durchzuführenden Prüfungen und Penetrationstests sowie die Benennung aller in Anspruch genommenen sogenannten „kritischen Drittanbieter“.
Die Verordnung verlangt eine risikoorientierte Überwachung dieser „IKT-Drittparteirisiken“ – und zwar nicht nur während der Vertragsabschlussphase, sondern auch während der Erfüllung des Vertrags, während der Beendigung des Vertrags und in der Nachvertragsphase. Dafür muss schon vor Vertragsabschluss eine Risikoanalyse stattfinden, bei der zum Beispiel zu berücksichtigen ist, wie abhängig Finanzunternehmen von dem jeweiligen IKT-Drittdienstleister sind und welche (Konzentrations-)Risiken aus der Vertragsbeziehung entstehen könnten.
Auch zu den vertraglichen Bestimmungen für kritische oder wichtige Funktionen formuliert DORA detaillierte Anforderungen. Die Verordnung legt etwa fest, dass der Vertragspartner des Finanzunternehmens sich verpflichten muss, bei IKT-Vorfällen für die bezogenen Services Unterstützung zu leisten. Außerdem müssen Finanzunternehmen eine Ausstiegsstrategie vorweisen können. Ihre abgeschlossenen IKT-Vertragsbeziehungen müssen sie – differenziert nach kritischen oder wichtigen Funktionen – in ein Informationsregister eintragen.
Zudem werden die Anforderungen des Meldewesens für schwerwiegende IKT-Vorfälle verschärft. Solche Vorfälle mussten bisher nur Versicherer melden, die kritische Infrastrukturen im Sinne der gesetzlichen Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSIG) sind. Künftig sollen alle unter DORA fallenden Finanzunternehmen – und damit auch alle Versicherer und Pensionsfonds bis auf Kleinunternehmen – die Aufsicht über schwerwiegende Vorfälle informieren.
Wer sich nicht an die Vorgaben von DORA hält, muss mit spürbaren Reaktionen rechnen. Die komplexen Anforderungen an die IT-Resilienz werden mit diversen verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen unterlegt, wie etwa der Pflicht zur Vertragskündigung. Die zuständigen Behörden können von Finanzinstituten verlangen, spezifische Sicherheitsmaßnahmen zu ergreifen und Sicherheitslücken zu beheben. Sie können außerdem auch verwaltungsrechtliche und in manchen Fällen sogar strafrechtliche Sanktionen gegen Unternehmen verhängen, die sich nicht an diese Vorschriften halten. Über das Strafmaß entscheidet dabei jeder Mitgliedsstaat selbst.
Gegen IKT-Anbieter, die von der Europäischen Kommission als „entscheidend“ eingestuft werden, können bei Verstößen Bußgelder in Höhe von 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr erhoben werden.
Alles in allem stehen die Versicherer mit DORA einer großen Regulierungsherausforderung gegenüber. Wer sich bis jetzt noch nicht auf die Umsetzung der Verordnung vorbereitet hat, sollte das dringend tun, denn es bleibt nur noch ein Jahr Zeit. In diesem Zusammenhang wird mancher Versicherer auch darüber nachdenken müssen, ob er mit seiner alten, selbstentwickelten Software noch die neuen Anforderungen des europäischen Regulierers erfüllen kann. DORA ist damit ein zusätzlicher Faktor für die Versicherungswirtschaft, die Modernisierung ihrer IT-Systeme weiter voranzutreiben, ohne die eine solide Resilienz gegen digitale Gefahren künftig nicht zu haben sein wird.