IT-Sicherheit und Cybersecurity im Fokus – Maßgaben aus Brüssel – DORA

06.06.2023

Einzelne Blöcke verschiedener Digitalpakete der EU sind intensiv diskutiert, insbesondere Themen rund um Datenschutz, -hoheit und -handel, digitale Produkte, AI, DSA und DMA. Für die Praxis von erheblicher Bedeutung sind jedoch auch die tw. weniger beachteten Rechtsakte der EU zu IT-Sicherheit und Cybersecurity. Auch insoweit sind die Zeiten bewegt bis stürmisch: Nach einer Empfehlung des Rates[i] wurden am 14.12.2022 drei Rechtsakte mit insgesamt rund 200 Amtsblatt-Seiten unter den Weihnachtsbaum gelegt, die VO 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA)[ii] mit der zugehörigen Richtlinie[iii], die RL 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2-RL)[iv] und die RL 2022/2557 über die Resilienz kritischer Einrichtungen (Critical Entities Resilience) (CER-RL)[v]. Zudem wird für 2023 noch der Cyber Resilience Act (CRA) erwartet, zu dem seit dem 15.9.2022 ein Entwurf[vi] bereitsteht.

In diesen Rechtsakten geht es um die Erhöhung des Sicherheitsniveaus im IKT-Bereich bzw. um Cybersicherheit in unterschiedlichen sachlichen Anwendungsbereichen. DORA betrifft den Finanzsektor und damit einen in Deutschland insoweit bereits durchaus engmaschig regulierten Bereich. Die NIS2-RL löst die 2016 in Kraft getretene NIS-RL ab, die seinerzeit zu erheblichen Änderungen u.a. im BSIG geführt hatte, und befasst sich sektorübergreifend mit der (Cyber-) Sicherheit kritischer Infrastrukturen. Nach EG 16 Satz 2 DORA ist DORA lex specialis zur NIS2-RL. Die CER-RL schließlich verpflichtet die Mitgliedstaaten dazu, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen zu stärken.

Bereits vor DORA gab es in Deutsch-land zahlreiche Maßgaben zur Erhöhung der Sicherheit im ITK-Bereich für den Finanzsektor, einerseits eher allgemeine Vorschriften wie das BSIG und die KRITIS-Anforderungen (Finanzunternehmen oberhalb gewisser Größenordnungen), andererseits sektorspezifische Vorschriften, die sich zB. mit ordnungsgemäßer Geschäftsorganisation, Risikomanagement und IKS sowie mit Auslagerung/Ausgliederung (u.a. von IT-bezogenen Leistungen) befassen, sektoral spezieller gefasste und zT. grundlegende Vorgaben zu IT-Sicherheit enthaltenden Maßgaben wie etwa MaRisk (hier zB. AT 7.2, AT 9, BTO 4), MaGo oder KAMaRisk und die speziell auf jeweils Teile des Finanzsektors zugeschnittene besondere Anforderungen an Informationsrisiko- und -sicherheitsmanagement (XAIT). Über das beispielsweise in den BAIT 2021 komplette neue Kapitel II.5. (Operative Informationssicherheit) wurden für Finanzinstitute bereits Anforderungen an Penetrationtests[vii] gestellt (Tz. II.5.6) und auch im Bereich des IT-Notfallmanagements in AT 7.3 MA-Risk (Fassung 2021) hat es erhebliche Änderungen gegeben. Der Teppich zum Thema IT-/Cybersicherheit ist damit in Deutschland also bereits vor dem Inkrafttreten von DORA ziemlich dicht gewoben.

DORA ist am 16.1.2023 in Kraft getreten, gilt als Verordnung unmittelbar in allen Mitgliedsstaaten der Union und ist von den betroffenen Institutionen bis zum 17.1.2025 umzusetzen[viii].

Mit DORA werden an Finanzunternehmen (gem. Art. 2 Abs. 1 und 2 DORA einschl. sog. „IKT-Drittdienstleister“ gem. Artt. 2 Abs. 1 lit. u), 3 Nr. 19 DORA) spezielle Anforderungen an die sog. „digitale operationale Resilienz“ (Art. 3 Nr. 1 DORA) gestellt. Letzteres ist (verkürzt) die Fähigkeit, die operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, und zwar entweder selbst oder durch Nutzung von durch IKT-Drittdienstleister [IKT-DDL] bereitgestellten Leistungen, um die Sicherheit der genutzten Netzwerk- und Informationssysteme zu gewährleisten und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität (einschl. Störungsvermeidung und -lösung) zu unterstützen. ITK-DDL sind Unternehmen, die IT-Dienstleistungen (Art. 3 Nr. 21 DORA) erbringen, d.h. digitale Dienste und Datendienste, die über IKT-Systeme internen oder externen Nutzern bereitgestellt werden, einschließlich Hardware und Hardwaredienstleistungen und einschließlich technischer Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen. Damit ist im Grunde jedes Unternehmen, welches Hardware oder Software bereitstellt bzw. wartet/pflegt, gemeint; es sind aber jedenfalls alle Cloud-Anbieter und Hyperscaler adressiert. „Kritische ITK-Drittdienstleister“ (Art. 3 Nr. 23 DORA) sind gem. Art. 31 Abs. 1 DORA als anhand der in Art. 31 Abs. 2 DORA niedergelegten Kriterien als kritisch eingestufte ITK-DDL. Kriterien sind hierbei (i) die systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen für den Fall, dass der IKT-DDL bei der Erbringung seiner Dienste einer umfassenden Betriebsstörung ausgesetzt wäre, (ii) der systemische Charakter oder der Bedeutung der Finanzunternehmen, die auf den jeweiligen IKT-DDL zurückgreifen, (iii) die Abhängigkeit von Finanzunternehmen von den Dienstleistungen des IKT-DDL mit Blick auf deren kritische oder wichtige Funktionen von Finanzunternehmen, in die derselbe IKT-DDL involviert ist und (iv) dem Grad der Ersetzbarkeit des IKT-DDL.

DORA greift auf mehreren Ebenen an und enthält Anforderungen in Bezug auf:

das Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT), insbesondere gem. Artt. 5 und 6 DORA,

die Meldung schwerwiegender IKT-bezogener Vorfälle und — auf freiwilliger Basis — Meldung erheblicher Cyberbedrohungen an die Behörden,

die Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch bestimmte Finanzunternehmen an die Behörden,

„angemessene“ Tests der doR gem. Artt 24 ff DORA, insbes. Penetrationtests, aber auch zB. Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen soweit durchführbar, szenariobasierte Tests, Kompatibilitätstests, Leistungstests und End-to-End-Tests,

den Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen (tw. nicht an Finanzunternehmen gerichtet),

Maßnahmen für das Management des sog. „IKT-Drittparteienrisikos“,

vertragliche Vereinbarungen zwischen IKT-DDL (ggf. mehrfacher Stufung, d.h. einschl. Unterauftragnehmern) und Finanzunternehmen, sowie

Vorschriften über einen Überwachungsrahmen für kritische IKT-DDL.

Bereits vor DORA wurde mit dem FISG[ix] in Deutschland die Möglichkeit für die Aufsichtsbehörde geschaffen, auch gegenüber Auslagerungsunternehmen (vgl. exemplarisch § 25b Abs. 4a KWG) in gewissem Rahmen unmittelbar Anordnungen zu treffen. Sonderprüfungen können auch unmittelbar solche Auslagerungsunternehmen betreffen (vgl. exemplarisch § 44 Abs. 1 n.F. KWG). Der Durchgriff auf Drittdienstleister ist dementsprechend für den deutschen Rechtsraum kein neues Konstrukt.

„IKT-Drittparteienrisiko“ iSv. Ziffer (6) der o.a. Aufstellung ist gem. Art. 3 Nr. 18 DORA ein IKT-bezogenes Risiko, das im Zusammenhang mit der Nutzung von IKT-Dienstleistungen entstehen kann, die von IKT-DDL (mehrfacher Stufung und einschließlich Auslagerungen) bereitgestellt werden. Leitbild der Verordnung und praktische Handlungsmöglichkeiten stimmen nicht überein – soweit nicht DORA dazu genutzt werden kann, die Anforderungen an den Marktauftritt markmächtiger Hyperscaler in der EU anzuheben. Schon in der Vergangenheit gab es immer wieder Auseinandersetzungen um Vor-Ort-Inspektionen (s.a. Art. 30 Abs. 3 lit. e) i) DORA, wonach bei Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen vertraglich sicherzustellen ist, dass uneingeschränkte Zugangs-, Inspektions- und Auditrechte bestehen sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen vor Ort, wobei die tatsächliche Ausübung dieser Rechte nicht durch andere Vereinbarungen behindert oder eingeschränkt werden darf.

Mit Blick auf (beispielsweise) Maßnahmen des Business Continuity Managements (BCM) stehen, soweit mit ITK-Risiken zusammenhängend, weitere Vorgaben bereit, insbesondere in Art. 11 DORA. Art. 12 DORA befasst sich mit technischen und organisatorischen Sicherheitsmaßnahmen zur Reaktion bei und zur Wiederherstellung von Systemen bei ITK-bezogenen Vorfällen. Blickt man hier auf einen im deutschen Rechtsraum bereits zur Verfügung stehenden Rahmen zur Ausfüllung dieser Maßgaben, sei ein Blick auf BSI Standard 200-4 empfohlen; denkbar ist auch ISO 22301. Will sagen: DORA implementiert auch hier in wesentlichen Teilen Maßgaben als verbindlich, zu denen im deutschen Rechtsraum bereits Vorgaben oder zumindest fachliche Anleitungen bestehen.

Zu beachten ist, dass es neben den Delegierten Rechtsakten auch noch (u.a. gem. Art. 15 DORA) sog. „technische Regulierungsstandards“ (Regulatory Technical Standards, RTS) und „technische Durchführungsstandards“ (Implementing Technical Standards, IST) geben wird, die von den Supervisory Authorities (ESA) herausgegeben werden.

Damit wird es – von größeren Instituten längst vorbereitet – in den kommenden Monaten bis zur verbindlichen Umsetzung darauf ankommen, die ohnehin bereits im deutschen Rechtsraum geltenden und im Institut bereits umgesetzten Anforderungen, zu denen üblicherweise eine klare Dokumentation besteht bzw. bestehen muss, neben die neu gefassten bzw. neuen Anforderungen zu legen und die etwaigen Unterschiede zu den gesteigerten Anforderungen herauszuarbeiten und umzusetzen. Aus Sicht der betroffenen IKT-DDL gibt es mit der unmittelbaren Unterwerfung unter das Aufsichtsregime ebenfalls erhebliche Änderungen, auch, soweit Auswirkungen auf das Vertragsverhältnis zu Finanzunternehmen betroffen sind, im Risikomanagement, im Berichtswesen und in Fragen der Vertragsgestaltung. Hingewiesen sei exemplarisch auf Art. 30 DORA, wo die verpflichtend regelungsbedürftigen vertraglichen Gesichtspunkte benannt sind. Betrachtet man diese Anforderungen genauer, wird sich aus Sicht des Praktikers durchaus ergeben dürfen, dass viele dieser Anforderungen in strukturierten Prozessen der Auslagerung bereits umgesetzt sind. Anforderungen, wie sie beispielsweise Art. 30 Abs. 2 lit. a) und e) (Leistungsbeschreibung und Beschreibung der Leistungsgüte/SLA), b) (Benennung von Standorten), c) (Datenschutzregelungen), d) (Verpflichtung zur Hilfestellung bei ITK-Vorfällen) oder h) (Kündigungsrechte) DORA stellen, sind für sich genommen im deutschen Rechtsraum ja nicht neu. Jedoch bergen die Maßnahmen in Abschnitt II zum Überwachungsrahmen für kritische IKT-DDL in Artt. 32 ff DORA durchaus Neuerungen u.a. im Hinblick auf die Anforderungen für das Management von IKT-Risiken in Art. 33 Abs. 2 DORA oder die Auditrechte bzw. die laufende Überwachung in Artt. 39, 40 DORA.

Vieles, was im Hause von Dienstleistern umgesetzt wird, um diese Maßgaben zu bewältigen, wird sich im Preis für die Leistungen wiederfinden, die diese den Instituten für die Leistungen in Rechnung stellen. Und wenn es für die Dienstleister nicht gut läuft, weil sie die auf sie unmittelbar entfallenden Anforderungen nicht erfüllen können oder wollen, dann werden Institute auch gezwungen sein, Vertragsbeziehungen nicht inhaltlich zu verändern, sondern zu beenden. Gleich ob Umstiegs- oder Transformationsprojekt – preiswert wird das wohl nicht, weder im Verhältnis zum Dienstleister noch in Bezug auf den im eigenen Haus anfallenden Aufwand zur Schließung etwaiger GAPs oder zur Befolgung künftiger laufender Verpflichtungen im Rahmen der Dienstleistersteuerung.

[i]         ABl. C 20/1; https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32023H0120(01)

[ii]        Verordnung (EU) 2022/2554 […] vom 14.12.2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) […]; ABl. L 333/1 vom 27.12.2022; https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32022R2554

[iii]       Die DORA-RL bezieht sich auf in der Folge von DORA zu ändernden weiteren Verordnungen; ABl. L 333, S. 153-163

[iv]       Richtlinie (EU) 2022/2555 […] vom 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, […]sowie zur Aufhebung der Richtlinie (EU) 2016/1148; ABl. L 333/80 vom 27.12.2022; https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32022L2555

[v]        Richtlinie (EU) 2022/2557 […]vom 14.12.2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates; ABl. L 333 vom 27.12.2022, S. 164-198; https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32022L2557

[vi]        Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 v. 15.9.2022 nebst Anhängen; https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0454

[vii]       S. den aus TIBER-EU entwickelten (und von Finanzunternehmen bereits mehrfach genutzten genutzten) Standard TIBER-DE zu bedrohungsgeleiteten (freiwilligen) Penetrationtests in Form des externen Red Team Tests; vgl. https://www.bundesbank.de/de/aufgaben/unbarer-zahlungsverkehr/tiber-de/tiber-de-dokumente/dokumente-und-weiterfuehrende-informationen-873340

[viii]      Entsprechendes gilt für die begleitende DORA-RL im Wege der Umsetzung in nationales Recht.

[ix]       Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz – FISG) vom 3. Juni 2021, BGBl. I, S. 1534.