Bereits seit einigen Jahren arbeitet die Europäische Union (EU) intensiv daran, die Finanzwelt in ihrem Rechtsraum robuster gegen Angriffe auf IT-Systeme zu machen. So gibt es etwa seit 2017 die EU-Cybersicherheitsstrategie, 2018 trat die NIS Directive zum Schutz kritischer Infrastruktur – also auch den Finanzsektor betreffend – in Kraft, im gleichen Jahr gefolgt von einem Fintech-Aktionsplan, um der Finanzindustrie zu helfen, den rasanten technologischen Fortschritt zu nutzen und dabei gleichzeitig die Cybersicherheit zu stärken.
Im Spätsommer des Jahres 2020 hat die Europäische Kommission nun den ersten Entwurf des „Digital Operational Resilience Act“ (DORA) veröffentlicht. Die Verordnung soll ein zentraler Treiber der ebenfalls im letzten Jahr formulierten „Digital Finance Strategie“ für Europa werden. Die beiden wichtigsten Ziele von DORA sind, einerseits die Widerstandsfähigkeit der Finanzunternehmen gegen IT-bezogene Risiken zu erhöhen und andererseits die dafür nötigen Anforderungen in der EU zu harmonisieren. Letzteres betrifft sowohl die Regeln für die Prüfung der digitalen operativen Belastbarkeit, als auch das Reporting und die Klassifizierung von IT-Vorfällen und die Regeln für das IT-Risikomanagement. DORA umfasst – im Gegensatz zu vielen anderen Verordnungen für den Finanzsektor – auch nicht-finanzielle (kritische) IT-Drittanbieter, wenn sie ihre Dienstleistungen für Finanzunternehmen erbringen.
Bei DORA handelt es sich um eine Verordnung nach europäischem Recht. Für die Finalisierung des Entwurfs ist noch gut ein Jahr vorgesehen, und danach dauert es noch ein weiteres Jahr, bis die Verordnung Gültigkeit erlangt. Realistisch ist also davon auszugehen, dass DORA erst 2024 scharf geschaltet wird. Als Projekt der Europäischen Kommission sind für Einführung und Überwachung von DORA die drei Europäischen Aufsichtsbehörden (Englisch: European Supervisory Authorities – kurz ESA) zuständig: die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
Aus EU-Sicht spricht vieles für DORA
Finanzunternehmen haben in den letzten Jahren ihre Digitalisierung massiv vorangetrieben. Für die kommenden Jahre ist sogar noch mit einer weiteren Steigerung der Aktivitäten auf diesem Gebiet zu rechnen. Früher oder später wird nahezu jeder Aspekt im Betrieb einer Versicherung und anderen Finanzunternehmen auf IT basieren. Bei einigen Versicherungen ist das bereits heute der Fall. Eine immer funktionierende IT wird damit überlebenswichtig. Die EU sah vor diesem Hintergrund aus mehreren Gründen Handlungsbedarf.
Mehr Cyberangriffe
Der Finanzsektor ist mit steigender Abhängigkeit von der IT grundsätzlich ein sehr attraktives Ziel für Cyberangriffe. Die Angriffsflächen haben sich durch die Vernetzung von Finanzdienstleistern – auch über Ländergrenzen hinweg – noch einmal massiv vergrößert. Teilweise sind hier sehr heterogene IT-Systeme aufeinandergestoßen. Hohe IT-Management-Komplexität mit der Gefahr weiterer Schwachstellen war die Folge. In der Pandemie schließlich haben sich weitere Schwächen im digitalen Raum gezeigt, insbesondere entlang der End-to-End-Lieferketten.
Höhere Abhängigkeit von Drittanbietern
Das Ökosystem der Versicherungswelt umfasst partnerschaftliche Strukturen und vor allem auch zahlreiche Lieferanten aus dem IT-Sektor, die im Zuge der Digitalisierung ebenfalls ihre Netzwerke massiv ausgebaut haben. Um ihre Leistung erbringen zu können, sind damit auch sie im gesteigerten Maße vom Funktionieren ihrer IT abhängig. Versicherungen müssen diesen Aspekt künftig im eigenen Interesse stärker beachten. Deshalb wird in DORA ausdrücklich gefordert, auch die Lieferantennetzwerke in die Risikobewertung der IT mit einzubeziehen. In diesem Zuge ist geplant, den ESA neue Befugnisse gegenüber IT-Drittanbietern einzuräumen. So sollen die ESA beispielsweise Geldstrafen von bis zu einem Prozent des weltweiten Tagesumsatzes verhängen und Finanzunternehmen auffordern können, Verträge mit Dienstleistern aufgrund von Nichteinhaltung der Anforderungen zu kündigen.
EU-weites Maß für den Reifegrad der betrieblichen Resilienz erforderlich
Bislang gibt es in der EU kein einheitliches Bewertungssystem für Cyberrisiken im Finanzsektor. Zudem deckt die aktuelle EU-Gesetzgebung nicht jeden Finanzdienstleistungssektor ab. Beide Mankos sollen durch DORA behoben werden.
EU-weit rechtliche Klarheit erforderlich
Behörden in der EU erlassen für das IT-Risikomanagement teilweise sehr unterschiedliche Vorschriften. Bei international tätigen Unternehmen führt das zu rechtlichen Unklarheiten. Hinzu kommt, dass auch die Aufsicht im EU-Binnenmarkt derzeit noch sehr unterschiedlich läuft. Für Finanzunternehmen bedeuten diese Hürden einen beträchtlichen administrativen Mehraufwand. Hier soll DORA vor allem die Effizienz verbessern.
Was mit DORA auf Finanzunternehmen und IT-Dienstleister zukommt
Gemäß den ESA-Leitlinien kommen auf Finanzdienstleister und ihre IT-Lieferanten eine Reihe neuer Anforderungen zu: So wird die Entwicklung von Reaktions- und Wiederherstellungsplänen für Finanzdienstleister mit DORA zur Pflicht. In den Plänen muss auch die Kommunikation mit Kunden und sonstigen vom IT-Vorfall Geschädigten geregelt sein. Die Verordnung spezifiziert klare Kriterien für die Klassifizierung von IT-Vorfällen. Als kritisch eingestufte IT-Vorfälle müssen sowohl zentral an die Aufsicht, als auch an Nutzer gemeldet werden, falls deren Interessen berührt sein könnten.
DORA will auch die Konzentration von Risiken vermeiden – insbesondere bei Vereinbarungen mit einzelnen Dritten. Solche Verträge müssen etwa durch Analysen von Weiterverlagerungen gründlich geprüft werden. Schließlich wird sich mit DORA die Zahl von Finanzunternehmen deutlich erhöhen, die fortgeschrittene Tests auf der Grundlage von „Threat Led Penetration Testing“ (TLPT) durchführen müssen. Den Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen will DORA auf freiwilliger Basis fördern.
IT-Dienstleister sind vor allem durch die neuen, bereits erwähnten Befugnisse der ESA (Geldstrafen, Vertragskündigungen) von DORA betroffen. Für kritische IT-Drittanbieter und Subunternehmen schlägt DORA vor, ausschließlich Dienstleister und Anbieter aus der EU zuzulassen.
Warum Versicherungen jetzt schon handeln sollten
Im Moment ist der zeitliche Rahmen um DORA noch relativ entspannt. Sich frühzeitig mit der neuen Verordnung zu beschäftigen, ist dennoch ratsam, wie unter anderem die Erfahrungen bei der Einführung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) gelehrt haben. Lange haben Unternehmen hier ihren Handlungsbedarf verdrängt und waren dann überfordert, als der Termin für die Inkraftsetzung näher rückte.
Am stärksten gefordert sind sicherlich Unternehmen mit niedrigem Resilienz-Reifegrad, beziehungsweise solche, die sich bislang noch wenig mit ihrem Resilienz-Reifegrad und dem ihrer Dienstleister beschäftigt haben, oder derzeit noch nicht dazu verpflichtet sind, strengere Vorschriften umzusetzen. Sie sollten bereits jetzt beginnen herauszufinden, wo ihre Widerstandsfähigkeit noch Lücken hat und Strategien entwickeln, wie sie die kommenden Anforderungen nachhaltig umsetzen wollen. Auch sollten sie ihre Dienstleister schon einmal schärfer unter die Lupe nehmen: Wie weit sind sie in Sachen Resilienz und muss gegebenenfalls nach Alternativen gesucht werden?
Versicherungen, die schon einen hohen Resilienz-Reifegrad erlangt haben, sollten bereits auf die Vorschriften der ESA achten und entsprechende Anpassungen vornehmen. Nicht zuletzt betrifft das beispielsweise die Anforderungen an die operativen Belastbarkeitstests, mit denen die Handlungsfähigkeit des Unternehmens sichergestellt werden soll.
Mit DORA als wesentlichem Pfeiler des umfassenderen „Digital Finance Package“ macht die EU-Kommission einen großen Schritt in Richtung Harmonisierung und Digitalisierung der Märkte in der EU. Das Ziel ist eine Verbesserung der operativen Widerstandsfähigkeit von Versicherungen, um allen Arten von IT-bezogenen Störungen und Bedrohungen widerstehen zu können. Durch die Harmonisierung sollen gleichzeitig „Reibungsverluste“, die derzeit durch inkonsistente Vorschriften in verschiedenen EU-Ländern noch häufig entstehen, weitgehend eliminiert werden.
Veranstaltungstipp:
Hören Sie die Autoren Wolfgang Pinkl und Gottfried Tonweber, EY, auf der IFA - Insurance Forum Austria bei ihrem Round Table zum Thema: Volle Kraft zurück?! Chancen & Mehrwert des Cyber-Versicherungsmarktes
