Digitale operationale Resilienz im Finanzsektor

ZUSAMMENFASSUNG DES DOKUMENTS:

Verordnung (EU) 2022/2554 über digitale operationale Resilienz im Finanzsektor

WAS IST DER ZWECK DER VERORDNUNG?

In ihr sind einheitliche Vorschriften für die Sicherheit von Netz- und Informationssystemen von Finanzunternehmen wie Banken, Versicherungsunternehmen und Wertpapierfirmen festgelegt.

Sie deckt ein breites Spektrum von beaufsichtigten Finanzunternehmen der Europäischen Union (EU) ab und verpflichtet sie, allen Störungen oder Bedrohungen im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) standzuhalten, darauf zu reagieren und sich davon zu erholen.

WICHTIGE ECKPUNKTE

Geltungsbereich

Die Verordnung gilt für:

• Kredit-, Zahlungs-, E-Geld-Institute und Einrichtungen der betrieblichen Altersversorgung;
• Kontoinformationsdienstleister, Anbieter von Krypto-Dienstleistungen, Datenbereitstellungsdienste, Schwarmfinanzierungsdienstleister und IKT-Drittdienstleister;
• Wertpapierfirmen, alternative Investmentfonds, Verwaltungsgesellschaften, Ratingagenturen und Administratoren kritischer Referenzwerte;
• Transaktions- und Verbriefungsregister, Zentralverwahrer, zentrale Gegenparteien und Handelsplätze;
• Versicherungen, Versicherungsvermittler und Rückversicherungsunternehmen.

IKT-Risikomanagement

Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt,

• verfügen über interne Governance- und Kontrollmaßnahmen, die ein wirksames und umsichtiges Management von IKT-Risiko gewährleisten;
• stellen sicher, dass ihr Leitungsorgan alle relevanten Vorkehrungen definiert, genehmigt, überwacht und verantwortet;
• verfügen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen mit den erforderlichen Strategien, Leit- und Richtlinien, Verfahren, Protokollen und Instrumenten, um schnell und effizient reagieren zu können;
• verwenden und unterhalten stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Instrumente, die angemessen, zuverlässig, technologisch resilient sind und über ausreichend Kapazitäten verfügen;
• ermitteln, klassifizieren und dokumentieren auf angemessene Weise alle IKT-gestützten Unternehmensfunktionen, Aufgaben und Verantwortlichkeiten und überprüfen Risikoszenarien;
• überwachen und kontrollieren kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Instrumente und minimieren die Auswirkungen jeglicher IKT-Risiken;
• erkennen umgehend anomale Aktivitäten und ermitteln potenzielle wesentliche Schwachstellen;
• führen eine umfassende IKT-Geschäftsfortführungsleitlinie mit geeigneten Plänen, Verfahren und Mechanismen ein;
• entwickeln und dokumentieren Richtlinien und Verfahren zum Backup sowie zur Wiedergewinnung und Wiederherstellung;
• stellen Ressourcen und Personal bereit, um Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu bewerten und ihre potenziellen Auswirkungen auf die digitale operationale Resilienz des Finanzunternehmens zu analysieren;
• arbeiten Krisenkommunikationspläne aus, um zumindest schwerwiegende IKT-bezogene Vorfälle oder Schwachstellen gegenüber Kunden, Gegenparteien und der Öffentlichkeit offenzulegen.

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Finanzunternehmen

• bestimmen Maßnahmen, richten diese ein und wenden sie an, um IKT-bezogene Vorfälle zu erkennen, zu behandeln und zu melden;
• klassifizieren Vorfälle und bestimmen deren Auswirkungen anhand von Kriterien wie der Anzahl der betroffenen Kunden und Gegenparteien, der Dauer, der geografischen Ausbreitung und Datenverlusten;
• berichten zumindest über schwerwiegende IKT-bezogene Vorfälle an ihre bestimmte zuständige Behörde, welche die Berichterstattung an ein höheres Gremium wie die Europäische Zentralbank oder die Europäische Bankenaufsichtsbehörde übernimmt.

Testen der digitalen operationalen Resilienz

Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt,

• erstellen, pflegen und überprüfen ein solides und umfassendes Programm für das Testen, das mit den erforderlichen Bewertungen, Tests, Methoden, Verfahren und Instrumenten ausgestattet ist;
• führen mindestens alle drei Jahre auf der Grundlage ihres Risikoprofils und unter Berücksichtigung der betrieblichen Gegebenheiten bedrohungsorientierte Penetrationstests durch, wobei nur zertifizierte Tester zum Einsatz kommen, über die erforderliche Fachkenntnis und Eignung und über eine einschlägige Berufshaftpflichtversicherung verfügen.

Management des IKT-Drittparteienrisikos

Finanzunternehmen

• managen das Drittparteienrisiko als einen integralen Bestandteil ihres allgemeinen IKT-Risikos;
• treffen vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen, um ihre Geschäftstätigkeit unter uneingeschränkter Einhaltung der entsprechenden Gesetzgebung auszuüben;
• berücksichtigen Art, Umfang, Komplexität und Bedeutung der IKT-bezogenen Abhängigkeiten und potenzieller Risiken;
• wägen Nutzen und Kosten alternativer Lösungen bei der Ermittlung und Bewertung der damit verbundenen Risiken ab;
• nehmen in den Vertrag die Rechte und Pflichten jeder Partei und die Dienstleistungsvereinbarung auf.

Überwachungsrahmen für kritische IKT-Drittdienstleister

Der Rahmen

• überträgt den Europäischen Aufsichtsbehörden die Aufgabe,
  • auf der Grundlage klarer Kriterien die für die Finanzunternehmen als kritisch erachteten IKT-Drittdienstleister einzustufen;
  • diejenige Europäische Aufsichtsbehörde zur federführenden Überwachungsbehörde für jeden kritischen IKT-Drittdienstleister zu ernennen, die für das betreffende Finanzunternehmen zuständig ist;
• richtet ein Überwachungsforum ein, um
  • einschlägige Entwicklungen in Bezug auf IKT-Risiken und -Schwachstellen zu erörtern und einen kohärenten Ansatz bei der Überwachung auf EU-Ebene zu fördern,
  • jährlich Bewertungen der Überwachungstätigkeiten durchzuführen, Maßnahmen zur Erhöhung der digitalen operationalen Resilienz und bewährte Verfahren zu fördern,
  • umfassende Referenzwerte für kritische IKT-Drittdienstleister vorzulegen;
• überträgt der federführenden Überwachungsbehörde die Aufgabe,
  • als vorrangige Anlaufstelle für kritische IKT-Drittdienstleister zu dienen,
  • zu bewerten, ob jeder kritische Dienstleister über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen verfügt,
  • alle einschlägigen Informationen und Unterlagen anzufordern, Untersuchungen und Inspektionen durchzuführen (auch in Drittländern), Abhilfemaßnahmen zu spezifizieren und Empfehlungen abzugeben;
• versetzt die Europäische Bankenaufsichtsbehörde, die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung und die Europäische Wertpapier- und Marktaufsichtsbehörde in die Lage, mit Regulierungs- und Überwachungsbehörden von Drittländern an IKT-Drittparteienrisiken zu arbeiten;
• fordert die Europäischen Aufsichtsbehörden dazu auf, dem Europäische Parlament, dem Rat der Europäischen Union und der Europäischen Kommission alle fünf Jahre einen gemeinsamen vertraulichen Bericht über ihre Beziehungen mit Behörden in Drittländern vorzulegen.

Vereinbarungen über den Austausch von Informationen

Finanzunternehmen können Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, soweit dieser Austausch

• darauf abzielt, die digitale operationale Resilienz zu stärken;
• innerhalb vertrauenswürdiger Gemeinschaften erfolgt;
• das Geschäftsgeheimnis gewahrt und personenbezogene Daten geschützt und Leitlinien für die Wettbewerbspolitik befolgt werden.

Sanktionen und Abhilfemaßnahmen

Die zuständigen Behörden

• verfügen über alle Aufsichts-, Untersuchungs- und Sanktionsbefugnisse, die zur Erfüllung ihrer Aufgaben erforderlich sind;
• verhängen, und veröffentlichen auf ihren Websites, die verwaltungsrechtlichen Sanktionen und Abhilfemaßnahmen, innerhalb ihres nationalen Rechtsrahmens festgelegt sind.

Die Europäischen Aufsichtsbehörden erarbeiten Entwürfe für technische Regulierungsstandards für IKT-Risikomanagementinstrumente, die Klassifizierung und Berichterstattung über IKT-bezogene Vorfälle und die Durchführung von Überwachungsstätigkeiten.

Die Kommission:

• hat die Befugnis, delegierte Rechtsakte zu erlassen;
• legt bis zum 17. Januar 2028 nach Konsultation der Europäischen Aufsichtsbehörden und des Europäischen Ausschusses für Systemrisiken dem Parlament und dem Rat eine Überprüfung der Verordnung vor.

Diese Verordnung ändert die Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 909/2014, (EU) Nr. 600/2014 und (EU) 2016/1011.

WANN TRITT DIE VERORDNUNG IN KRAFT?

Sie tritt am 17. Januar 2025 in Kraft.

HINTERGRUND

Mit den Reformen nach der Finanzkrise von 2008 wurde in erster Linie die finanzielle Resilienz des Finanzsektors gestärkt. IKT-Risiken wurden nur indirekt in einigen Bereichen angegangen und stellen weiterhin eine Herausforderung für die operationale Resilienz, Leistungsfähigkeit und Stabilität des Finanzsystems der EU dar.

Die als Verordnung über die digitale operationale Resilienz im Finanzsektor, kurz DORA, bekannte Verordnung ist Teil eines größeren Pakets für das digitale Finanzwesen, mit dem die technologische Entwicklung gefördert und die Finanzstabilität und der Verbraucherschutz sichergestellt werden sollen. Weitere Elemente umfassen eine Strategie für ein digitales Finanzwesen, Märkte von Krypto-Werten und Distributed-Ledger-Technologie.

Weiterführende Informationen:

• Paket für das digitale Finanzwesen (Europäische Kommission),

HAUPTDOKUMENT

Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1-79).

VERBUNDENE DOKUMENTE

Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen über eine Strategie für ein digitales Finanzwesen in der EU (COM(2020) 591 final vom 24.9.2020).

Verordnung (EU) 2016/1011 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über Indizes, die bei Finanzinstrumenten und Finanzkontrakten als Referenzwert oder zur Messung der Wertentwicklung eines Investmentfonds verwendet werden, und zur Änderung der Richtlinien 2008/48/EG und 2014/17/EU sowie der Verordnung (EU) Nr. 596/2014 (ABl. L 171 vom 29.6.2016, S. 1-65).

Nachfolgende Änderungen der Verordnung (EU) 2016/1011 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

Verordnung (EU) Nr. 909/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 zur Verbesserung der Wertpapierlieferungen und -abrechnungen in der Europäischen Union und über Zentralverwahrer sowie zur Änderung der Richtlinien 98/26/EG und 2014/65/EU und der Verordnung (EU) Nr. 236/2012 (ABl. L 257 vom 28.8.2014, S. 1-72).

Siehe konsolidierte Fassung.

Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 173 vom 12.6.2014, S. 84-148).

Siehe konsolidierte Fassung.

Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates vom 4. Juli 2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister (ABl. L 201 vom 27.7.2012, S. 1-59).

Siehe konsolidierte Fassung.

Verordnung (EG) Nr. 1060/2009 des Europäischen Parlaments und des Rates vom 16. September 2009 über Ratingagenturen (ABl. L 302 vom 17.11.2009, S. 1-31)

Siehe konsolidierte Fassung.

Letzte Aktualisierung: 10.01.2024