DORA als Herausforderung für IKT-Dienstleister in der Finanzbranche
Sie entwickeln Software für regionale Banken, stellen Rechenzentren für die Archivierung zur Verfügung, übernehmen Analysedienste oder die Zahlungsabwicklung für kleinere Kreditinstitute: Mit der Umsetzung des Digital Operational Resilience Act (DORA) könnten IKT-Drittdienstleistern im Finanzsektor harte Zeiten bevorstehen. Vor allem kleinere Anbieter dürften Mühe haben, die hohen Anforderungen der EU-Verordnung zu erfüllen. Zwei Experten sehen das Risiko von Marktaustritten sowie bislang ungelöste Probleme, welche die neue Regulierung geschaffen hat – und benennen Lösungsansätze.
- In Deutschland gibt es schätzungsweise an die Hunderttausend kleinere Marktteilnehmer mit weniger als 200 Beschäftigten, die ebenfalls unter die erweiterte Definition von IKT-Drittanbietern in Artikel 2 lit. u (DORA) fallen.
- Gerade kleinere Unternehmen mit einem hohen Spezialisierungsgrad haben es schwer, die hohen Anforderungen zu erfüllen, welche die EU-Verordnung an sie stellt.
- Herausfordernd ist der Umgang mit den teils außerhalb Europas ansässigen Softwareriesen und großen Cloud-Dienstleistern: Finanzunternehmen und IKT-Dienstleister müssen auch hier für die Einhaltung der Vorschriften sorgen – und haben kaum Alternativen, falls sich diese Partner weigern, den DORA-Vorschriften nachzukommen.
Mit der Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor, besser bekannt unter der Abkürzung DORA, hat die Europäische Union einen Regulierungsrahmen vorgegeben, um die Resilienz von Finanzinstituten gegen Cyberangriffe und IT-Vorfälle zu stärken. „Die Verordnung verlangt von den Unternehmen explizit, nicht nur interne IT-Bedrohungen zu steuern, sondern auch solche, die besonders durch IKT-Dienstleister und deren Subunternehmer entstehen könnten, sogenannte Drittparteienrisiken“, erklärt Bastian Krapf. Er ist Managing Director von emagine Deutschland, einem europäischen Beratungsunternehmen für Lösungen im Business- und IT-Umfeld, und weiß: „Je höher die Spezialisierung, etwa eines kleineren Softwareanbieters, der eine maßgeschneiderte Anwendung für eine regionale Bank entwickelt hat, desto stärker wird die Abhängigkeit seines Kunden von ihm sein – und damit wahrscheinlicher, dass er oder seine Leistung im Sinne von DORA als kritisch eingestuft wird.“
Die Finanzinstitute müssen bestehende Verträge überarbeiten und Mindestvertragsinhalte für neue Geschäftsbeziehungen einführen, um neben den in Deutschland weiterhin geltenden Vorgaben für das Risikomanagement (MaRisk) zusätzlich DORA-Konformität zu gewährleisten. Können ihre Partner diese Hürden nicht oder nicht im Zeitrahmen nehmen, reichen die Sanktionen bis hin zur Zwangskündigung der Verträge durch die Behörden. „Nicht wenige Dienstleister setzen sich diesem Risiko – und den mit der DORA Compliance verbundenen Aufwand – aber gar nicht erst aus und signalisieren bereits, dass sie sich aus diesem Geschäft zurückziehen werden“, stellt Krapf fest.
Zahlreiche Anforderungen aus DORA für “kritische” Anbieter
In der Finanzbranche tätige IKT-Dienstleister mussten zwar schon vor DORA hohe Anforderungen erfüllen. Die neue Regulierung gehe jedoch darüber hinaus, sagt Dr. Julius Freiherr Grote, DORA-Experte und Managing Partner des Beratungshauses EQVITES Advisory. In Zusammenarbeit mit emagine hat Grote neben anderen Unternehmen aus der Finanzbranche zuletzt den deutschen Top 5 IKT-Dienstleister bei Erreichung seiner DORA-Compliance unterstützt, damit dieser auch künftig für einen der größten Finanzdienstleister Europas arbeiten kann. „Dazu gehören eine noch stärkere Einbindung der Geschäftsführung in das IKT-Risikomanagement, die Etablierung verpflichtender Meldungen schwerwiegender IKT-Vorfälle oder die Umsetzung erweiterter Anforderungen an das IKT-Drittparteienrisikomanagement, einschließlich davon betroffener Vertragsstrukturen.“ Mindestens alle drei Jahre müssen IKT-Dienstleister, die für ein Finanzunternehmen eine kritische oder wichtige Funktion unterstützen, dieses zudem dabei unterstützen, sogenannte Threat-led Penetration Tests (TLPT) durchzuführen, die gezielte Angriffe durch hochentwickelte Bedrohungsakteure simulieren und von externen, zertifizierten Prüfinstanzen durchzuführen sind – ein weiteres Novum.
Spezialisten könnten fehlen
Noch lässt sich schwer abschätzen, wie viele kleinere, hochspezialisierte Anbieter am Ende von der Regulierung wirklich in vollem Umfang betroffen sind, weil sie Leistungen erbringen, die kritische oder wichtige Funktionen eines Finanzunternehmens unterstützen oder von den EU-Aufsichtsbehörden selbst als „kritisch“ eingestuft werden. Noch schwieriger ist die Vorhersage, wie viele deshalb aufgeben könnten. Grote hält Bedenken dennoch für angebracht: „Man darf sich durchaus die Frage stellen, ob alle betroffenen Anbieter in der Lage sind, die hohen Umsetzungsaufwände zu stemmen und volle DORA-Konformität sicherzustellen – zumal unter dem gegebenen Zeitdruck.“ Denn bei Verstößen drohen bereits seit Januar empfindliche Strafzahlungen: bei IKT-Dienstleistern immerhin bis zu fünf Millionen Euro. Die Folge könnte sein, dass Finanzinstituten in der Folge hochspezialisierte IKT-Dienstleistungen fehlen und zumindest kurzfristig keine praktikablen Alternativen existieren – was es ihnen wiederum zusätzlich erschwert, DORA-Konformität sicherzustellen.
Compliance erfordert strategischen Ansatz
Bewegung könnte auch in die Beziehungen zu großen, meist in den USA ansässigen Drittanbietern kommen, die Betriebssysteme, Softwareanwendungen oder Cloud-Dienste bereitstellen: Falls ihre Ressourcen für die Verarbeitung kritischer Daten genutzt werden, müssen Finanzunternehmen und ihre IKT-Dienstleister auch deren Compliance sicherstellen. Allerdings zeigen große Cloud-Provider oder Software-Giganten, die ihren Sitz außerhalb der EU haben und eine globale Marktstrategie verfolgen, bislang wenig Neigung, sich an DORA-Standards zu orientieren. „Dies kann zu Schwierigkeiten in Vertragsverhandlungen führen“, weiß Julius Freiherr Grote, „und es für Finanzunternehmen oder ihre IKT-Dienstleister notwendig machen, alternative, DORA-konforme Anbieter zu identifizieren – falls es diese überhaupt gibt.“
Bastian Krapf von emagine, der die Auswirkungen der regulatorischen Entwicklungen auf seine Kunden genau beobachtet, rät betroffenen Unternehmen aus dem Finanzsektor, solchen Szenarien durch einen strategischen Ansatz zu begegnen: „Die Umsetzung neuer Regularien wie DORA hängt stark davon ab, wie das Risiko auf Vorstandsebene wahrgenommen und gemanagt wird. Manche Organisationen legten ihren Lieferanten übermäßig strenge Kontrollen auf, anstatt die Rahmenbedingungen an ihre spezifischen Abläufe anzupassen“, beobachtet Krapf. Eine erfolgreiche Umsetzung von Regularien hänge aber immer davon ab, dass die Vorschriften auf das Unternehmen zugeschnitten würden – nicht umgekehrt. Betroffenen Drittparteien in Not rät Krapf zur kritischen Prüfung: „Wer nur über begrenzte Ressourcen verfügt, kann unter Umständen von Erleichterungen profitieren. Die DORA-Verordnung führt hier eigens Ausnahmen auf.“ Und wo die personellen Kapazitäten oder das rechtliche Knowhow begrenzt sind, kann auch die Unterstützung durch spezialisierte Beratungsunternehmen eine gute Lösung sein.
