Die voranschreitende Digitalisierung im Finanzsektor birgt neben Chancen wie Effizienzsteigerung oder personalisierten Dienstleistungen auch Risiken. Die zunehmende Abhängigkeit von der IT-Infrastruktur und die Gefahren durch Cyberangriffe sind ernst zu nehmen. Finanzunternehmen müssen sich anpassen, Risiken minimieren und ihre Widerstandskraft erhöhen. Damit das EU-weit gelingt, besteht eine neue Verordnung: DORA.
DORA steht für „Digital Operational Resilience Act“. Die Abkürzung bezeichnet ein regulatorisches Rahmenwerk der Europäischen Union über die digital-operationale Widerstandsfähigkeit im Finanzsektor. Entstanden ist DORA mit Blick auf die digitale Transformation der Branche und ihren verstärkten Einsatz von Informations- und Kommunikationstechnologien (IKT). Die Abhängigkeit von IKT-Systemen, -Plattformen und -Infrastrukturen bringt ein erhöhtes Risiko mit sich. Dazu gehören mögliche Cyberangriffe und Datenlecks. Ziel der Verordnung ist daher die Stärkung des europäischen Finanzmarkts durch …
- Einheitliche Vorgaben und Anforderungen für europäische Firmen für den Umgang mit den Risiken des digitalen Wandels
- Die Minderung der IKT-Risiken
- Die Sicherstellung der Aufrechterhaltung des Betriebs von Unternehmen, etwa im Falle von Cyberangriffen
Von der Verordnung betroffen sind Finanzunternehmen wie Banken, Versicherer und Factoring-Anbieter sowie ihre IKT-Drittdienstleister. Dazu gehören beispielsweise Anbieter von Cloud-Diensten, Softwarepublisher, Datenanalysedienste oder Rechenzentren. Das Gesetz soll ab Anfang 2025 angewendet werden.
Das beinhaltet DORA konkret
Um die Sicherheit im gesamten EU-Finanzsektor zu erhöhen, verpflichtet DORA die Branche und ihre Drittdienstleister dazu, effektive Systeme zum Management von Cybersicherheits- und IKT-Risiken einzuführen. Unternehmen müssen unter anderem:
- Alle Quellen von IKT-Risiken kontinuierlich überwachen sowie Schutz- und Präventionsmaßnahmen umsetzen
- IKT-bezogene Vorfälle wie Datenlecks, Systemausfälle, Malware-Infektionen oder Phishing-Versuche nach vorgegebenen Kriterien klassifizieren, überwachen und dokumentieren
- Schwerwiegende IKT-Vorfälle der zuständigen Behörde melden
- Ihre digitale, operationale Widerstandsfähigkeit regelmäßig testen. Mit:
- Basistests wie Schwachstellenscans, Quellcodetests, Performancetests
- Bedrohungsorientierten Penetrationstests (TLPT) für systemrelevante Finanzunternehmen
- Ein Register aller Vertragsbeziehungen mit IKT-Drittdienstleistern führen
Vorteile von DORA für Factoring-Kunden
Auch Factoring-Anbieter sind von DORA betroffen und müssen entsprechende Maßnahmen umsetzen. Der Mehraufwand lohnt sich, denn:
- Durch die Verwendung widerstandsfähiger Systeme und Tools, wird die Zuverlässigkeit und Sicherheit von Factoring-Dienstleistungen wie dem regelmäßigen Ankauf offener Forderungen oder des Schuldnermanagements noch weiter erhöht.
- Die kontinuierliche Überwachung von Risikoquellen sowie Notfall- und Wiederherstellungspläne gewährleisten, dass sensible Informationen der Factoring-Kunden auch im Falle eines ungeplanten Vorfalls sicher sind.
- DORA fordert operative und sicherheitsrelevante Risiken sowie die ergriffenen Gegenmaßnahmen offenzulegen, was zu noch mehr Transparenz führt.
- DORA unterstützt bei der Einführung widerstandsfähiger Technologien und der digitalen Transformation, sodass etwa digitale Schnittstellen verbessert und Prozesse effizienter gestaltet werden können.
