Recht Kurz

Dr. Marcus Georg Tischler & Tim Petermann
Since 04/2020 55 Episoden

Folge053: EU Digitalrecht – DORA

05.09.2024 10 min

Zusammenfassung & Show Notes

Heute dreht sich alles um DORA (Digital Operational Resilience Act). Dr. Hans Markus Wulf führt in Folge 053 „RECHT kurz“ durch die bahnbrechende Verordnung, das die IT-Risikomanagement-Landschaft revolutioniert. Nicht verpassen und entdecken Sie zusammen mit Tischler und Petermann, wie es die Finanzbranche sicherer und zukunftsfähig macht.

Transkript

Tim
00:00:21
Moin und herzlich willkommen bei Recht Kurz. Moin Markus.
Marcus
00:00:25
Hi Tim, hi Markus. Und moin Markus.
Dr. Hans Markus Wulf
00:00:29
Hallo zusammen.
Tim
00:00:29
Wie ihr hört, Hans-Markus Wulff ist wieder dabei. Wir hatten ja versprochen, dass wir uns jetzt in einer kleinen Abfolge von unseren Podcast-Folgen um Digitalthemen kümmern. Heute sprechen wir über den Digital Operational Resilience Act, kurz DORA. Ora. Sehr gut, Markus. Ich übergebe das Wort an dich, Markus. Du bist der Experte und wirst uns mal erklären, was es damit auf sich hat.
Dr. Hans Markus Wulf
00:00:58
Ja, das mache ich gerne. Vielleicht nochmal zur Zusammenfassung. Wir hatten ja die vier großen Bereiche im EU-Digitalrecht. Das erste war KI, das zweite Informationssicherheit, das dritte war Online-Dienste, also digitale Dienste und das vierte war Datenrecht. Zum Data Act machen wir vielleicht auch nochmal was. Zunächst zwei hatten wir schon was gemacht zur AI Act, also KI-Verordnung auch schon. Und jetzt ist heute, sind wir wieder im Informationssicherheitsbereich. Und da ist neben der NIS 2 die nächste Verordnung, die tatsächlich relevant wird, Umsetzungsfrist läuft ab im Januar, die DORA-Verordnung, Digital Operational Resilience Act. Das ist tatsächlich Informationssicherheit für die Finanzbranche. Das Ziel ist also, dass man einheitlich innerhalb der EU entsprechende Informationssicherheitsvorgaben für Banken, Versicherungen, Investmenthäuser und so weiter vorhält. Das ist bisher so ein bisschen über Richtlinien gelaufen, die dann besser oder schlechter umgesetzt wurden von den nationalen Parlamenten. So ein bisschen wie beim Datenschutz vor 2018. Da gab es vorher auch eine Datenschutzrichtlinie, die wurde dann in Irland sehr schwach umgesetzt, in Deutschland sehr scharf und das will man eben vermeiden. Deswegen also eine Verordnung, die einheitlich überall gilt. Wir haben hier in Deutschland natürlich eine relativ strenge BaFin, die hatte eine MA-Risk auch schon vorher und eine BAET und eine KET und VET und so weiter. Und jetzt ist es so, dass gesagt wird, okay, wir machen jetzt diese Verordnung, die machen wir relativ streng und die gilt dann für alle Finanzunternehmen. Und erstmalig ist dann natürlich auch Awareness da, dass sie sagt, okay, die Finanzbranche geht eigentlich in die Cloud momentan. Die haben kein eigenes Rechenzentrum mehr, wo sie dann alle zwei Jahre ihr Server austauschen, sondern die gehen in Rechenzentren von externen Dienstleistern. Und dementsprechend wurde in dieser DORA-Verordnung ein besonderes Werk gelegt auf diese Dienstleister, IKT-Dienstleister. Die sollen nämlich eigentlich schon mitgesteuert werden, soweit das möglich ist. Das ist jetzt vom Durchgriffsrecht nur bei den kritischen IT-Dienstleistern vorgesehen, aber ansonsten sind die Vorgaben der Finanzunternehmen gegenüber ihren Dienstleistern sehr, sehr klar geregelt, konkret auch mit Vertragsklauseln, die dann entsprechend reingenommen werden müssen. Also geregelt ist Finanzbranche, es geht einheitlich auf alle 27 EU-Staaten und es gilt auch für IT-Dienstleister. In Kraft jetzt schon seit 2022 und Umsetzungsfrist läuft ab im Januar. Alle Bankenversicherungen, die ich kenne, sind bei diesen Projekten dabei schon, schon seit einigen Monaten und das Ganze wird dann nachher reguliert von der BaFin als Aufsichtsführung. Was sind die Pflichten für diese Finanzunternehmen? Es gibt verschiedene Kapitel, die regeln, was zu tun ist. Ein IT-Risikomanagement muss eingerichtet werden, es müssen entsprechende Security Operations Management, Absicherung vor Cyberangriffen natürlich, Incident Management und Reporting, was ist, wenn Cyberangriffe stattfinden, Belastungstests müssen durchgeführt werden, teilweise sogar Penetration Tests. Das heißt, Drittanbietermanagement ist ein Riesenthema. Es müssen also alle Lieferanten, alle Cloud-Anbieter, alle Softwareanbieter müssen einmal durchleuchtet werden, müssen entsprechend verpflichtet werden. Da gibt es eigene Vertragsregelungen. Informationsaustausch wird ermöglicht innerhalb der Finanzbranche, damit man weiß, wo sind die möglichen Angriffsszenarien. Und weil das noch nicht ausreicht in der DORA-Verordnung, dass man dort tatsächlich wahnsinnig viel Inhalte hat mit Vorgaben zur Informationssicherheit, sagt man, wir müssen noch weiter ins Detail gehen. Wir haben technische Ausschüsse, die sich genau überlegen, was ist State of the Art in Bezug auf diese Informationssicherheitsmaßnahmen. Und da gibt es dann regulative Standards, die veröffentlicht werden, die dann auch der Kommission irgendwann vorgelegt werden und die verabschiedet das und sagt, okay, das ist bitte die Konkretisierung der Vorgaben in der DORA. Die nennt man RTS, regulative technical standards und es gibt dann auch die ITS, das sind dann eher die technischen Implementierungsstandards.
Tim
00:04:38
Mal ganz praktisch gefragt, welche Anforderungen stellt denn die DORA dann an die Unternehmen?
Dr. Hans Markus Wulf
00:04:43
Ja, das hatte ich gerade gesagt. Also die Risikomanagement ist ein Bereich, Artikel 5 und 6 und 16. Die operative IT-Sicherheit, das heißt konkrete Vorgaben in Bezug auf die Technik, die umgesetzt werden muss. Das sind also bestimmt ein Drittel der DORA, nur technische und organisatorische Vorgaben für die Finanzbranche, um das umzusetzen. Es geht natürlich darum, dass man einmal identifiziert, was haben wir überhaupt für Assets, für Informationssicherheitsassets, also wo sind unsere Software-Systeme. Dann gucken wir, wie bewerten wir die Angriffsszenarien, wie stark sind die möglicherweise angreifbar. Dann gucken wir an, was sind die Schadensszenarien, wenn diese Bereiche angegriffen werden, was bedeutet das. Dann wird geguckt, wo können wir in Abwehrmaßnahmen reingehen, wo können wir Prioritäten setzen, wo müssen wir schulen, wo müssen wir möglicherweise einen externen Dienstleister einsetzen. Also es geht darum, dass man faktisch ein Informationssicherheitsmanagement aufbaut, so ein bisschen wie bei der NIS 2. Die haben wir ja schon mal diskutiert hier. Das heißt, es geht um ein Abwehrsystem der Finanzbranche, aber es geht noch viel, viel tiefer eben in diese IT-Dienstleister rein. Das haben wir bei der NIS 2 nicht so. Und es gibt auch übrigens, was vielleicht noch erwähnenswert ist, auch eine DORA-Richtlinie. Da werden wir manchmal gefragt vom Mandanten, ist es eine Verordnung oder eine Richtlinie? Faktisch, es ist eine Verordnung, die DORA-Verordnung. Aber dadurch, dass es bisher alles über Richtlinien abgewickelt wurde, die Informationssicherheit im Bankenbereich und im Versicherungsbereich, gibt es ganz viele Richtlinien, die auch diese IT-Sicherheit an einzelnen Stellen regeln. Und diese müssen abgeändert werden. Und dafür gibt es eine Richtlinie, eine DORA-Richtlinie, die tatsächlich diese ganzen alten Verordnungen bzw. Richtlinien anpasst. Also wenn man hört, DORA-Richtlinie, wieso? Ich denke, das ist eine Verordnung. Es gibt noch eine DORA-Richtlinie. Und die Umsetzung in Deutschland, das erfolgt dann durch ein spezielles Umsetzungsgesetz, Finanzmarktdigitalisierungsgesetz, das tatsächlich dann ganz überwiegend auf die DORA-Verordnung verweist, aber tatsächlich noch eine eigene Umsetzung hat. Und Risikomanagement-Maßnahmen, da kann ich euch natürlich jetzt genau aufziehen, was es alles ist, was man da umsetzen muss. Relevant ist eben ein Risikomanagement-Informationssicherheitsmanagementsystem Und man muss insbesondere Testverfahren implementieren. Und insbesondere muss man dann auch, wenn man ein Dienstleister ist, der kritische Funktionen betreut, der muss dann sogar unterstützen in Bezug auf Penetration Testing. Dass man tatsächlich jemand beauftragt, damit man von außen angegriffen wird. Von einem White Hacker sozusagen. Da gibt es dann ein Blue Team, ein Red Team, ein White Team. Und muss dann sozusagen das simulieren, wenn man angegriffen wird. Relevant, wie bei der NIS 2, bei der DORA übrigens, die eigene Verantwortlichkeit der Geschäftsleitung. Das gibt es nur diese beiden, hatte ich vorhin schon mal erzählt. NIS 2 und DORA, das sind die beiden Regelungen, wo der Geschäftsführer direkt in der Verantwortung ist und direkt sich fortbilden muss. Der muss auf dem aktuellen Stand sein, der muss wissen wie es ist, der muss es umsetzen und der ist dann eben auch in der persönlichen Verantwortung gegenüber seinem Unternehmen, wenn es dann nicht so funktioniert. Bei den Dienstleistern, letzter Punkt, gibt es drei Kategorien, entweder man macht normale Funktionen, die man unterstützt für die Bankenversicherung, Investmenthäuser und so weiter oder es sind kritische Funktionen, wichtige Funktionen, die man betreut und es gibt aber eben auch diejenigen kritischen IT-Dienstleister, die beispielsweise wie Microsoft fünf oder sechs große Banken betreuen. Das sind die, die jetzt tatsächlich, und das ist total neu, das ist ein absolutes Novum, direkter Aufsicht der BaFin unterliegen. Als IT-Dienstleister, die eigentlich in der Finanzbranche unterwegs sind. Bei der DORA-Verordnung tut sich da eine ganze Menge. Wie gehen wir damit um, abschließend, wenn die Mandanten zu uns kommen? Wir haben tatsächlich DORA-Projekte, wo wir von den Finanzunternehmen, von den Banken und Versicherungen beauftragt werden. Da haben wir dann regelmäßige Jour fix, wo wir uns treffen, online meistens und abstimmen, was in der Zwischenzeit passiert ist. Die haben dort Umsetzungsteams natürlich bei den Mandanten, wo aber immer wieder rechtliche Themen auftreten. Das häufigste Thema in der Beratung ist tatsächlich die Governance, das heißt die ganzen Policies werden von uns rechtlich überprüft. Was haben wir bisher für Policies, was erfordert die DORA und was muss umgesetzt werden? Und das zweite Thema ist das Lieferantenmanagement. Das heißt, wir gucken uns die Verträge mit den Dienstleistern an und gucken, was ist da bisher geregelt. Wir haben eine automatisierte Software, die tatsächlich sofort sagt, die und die Klauseln sind veraltet oder sie passen eben nicht zu DORA und macht sofort Vorschläge. Wir können also da relativ automatisiert auch vorgehen und geben dann den Mandanten die Hilfestellung und dann gehen wir in die Verhandlung mit den Dienstleistern und sagen, so und so muss das verhandelt werden. Auf der anderen Seite, und das ist tatsächlich zunehmend, Dienstleister kommen auf uns zu und sagen, unsere Kunden aus dem Banken- und Versicherungssektor wollen unbedingt, dass wir unsere Verträge anpassen. Müssen wir das jetzt wirklich? Wollen wir eigentlich gar nicht, aber die drohen, dass wir sozusagen vom Panel fliegen. Und dann sind wir diejenigen, die das eben abgleichen, die eigenen Vertragsbedingungen überarbeiten und DORA-compliant machen und dann haben die wieder die Möglichkeit, eben die Folgeaufträge zu bekommen. Das ist so ein bisschen unser Tätigkeitssektor im Rahmen der Beratung.
Tim
00:09:23
Okay, kleiner Audiokommentar, der Kollege Tischler schreibt fleißig mit. Du kannst die Folge einfach noch mal anhören, Markus, wenn du etwas nicht mitbekommen hast.
Marcus
00:09:32
Was soll das?
Tim
00:09:33
Nee, prima. Ich glaube, wir haben über die DORA gesprochen.
Marcus
00:09:37
Ja.
Tim
00:09:38
Recht kurz Kurz machen wir nach unserem Motto Schluss für heute. Beim nächsten Mal, lieber Markus.
Dr. Hans Markus Wulf
00:09:43
Wir machen noch zwei Themen, wenn ihr wollt.
Marcus
00:09:45
Zwei Themen haben wir noch, genau.
Dr. Hans Markus Wulf
00:09:47
In zwei Wochen.
Tim
00:09:48
In zwei Wochen, ganz genau.
Marcus
00:09:49
Und danach?
Dr. Hans Markus Wulf
00:09:50
Und wenn ihr wollt, können wir auch den Digital Services Act machen.
Tim
00:09:53
Ich hab Bock.
Marcus
00:09:58
Bis zum nächsten Mal.
Tim
00:09:59
Bis zum nächsten Mal. Vielen Dank fürs Zuhören. Tschüss.
Dr. Hans Markus Wulf
00:10:01
Tschüss zusammen.

2024 - Dr. Marcus Georg Tischler & Tim Petermann