Warum wird DORA eingeführt?

Die DORA (Digital Operational Resilience Act) EU-Verordnung 2022/2554¹ wurde von der Europäischen Union als Antwort auf die Herausforderungen der Digitalisierung und Bedrohungen durch Cyberangriffe und -unterbrechungen entworfen, um die operationelle Resilienz des Finanzsektors in der EU zu stärken.

Cyberangriffe und -störungen haben in den letzten Jahren zugenommen. Basierend auf dem Bericht „Die Lage der IT-Sicherheit in Deutschland 2023“ des BSI (Bundesamt für Sicherheit in der Informationstechnik) wird die Bedrohungslage im Bereich Cybersicherheit als angespannt bis kritisch bewertet und eine Steigerung der Intensität in den letzten Jahren festgestellt. Daneben befindet sich der Versicherungsmarkt von Cyberversicherungen im Wachstum, was zusätzlich das wachsende Bewusstsein dieses Themas unterstreicht. Laut einer Umfrage der BaFin aus dem Jahr 2023 lag das Prämienvolumen im Jahr 2022 für das Erstversicherungsgeschäft bei 700 Millionen €, während sich das rückversicherte Geschäft auf ein Prämienvolumen von 1,57 Milliarden € beläuft. Im Vergleich zu 2020 hat sich das Prämienvolumen in beiden Geschäftszweigen mehr als verdoppelt. Das Gesamtanteil der Cyberversicherungen liegt vermutlich noch höher, da Leistungen für Cybervorfälle meist in den allgemeinen Gewerbeversicherungen enthalten sind.

Im Zuge der Digitalisierung unterliegen Finanzunternehmen dem Druck Marktanforderungen gerecht zu werden und neue Technologien einzuführen, was damit einher geht, dass sie sich IT-Risiken und Cyberbedrohungen aussetzen. Die Entwicklung scheint alternativlos, denn die Verwendung veralteter Technologien offenbart wahrscheinlich noch größere Schwachstellen. Die Finanzindustrie ist dabei stark vernetzt, so dass sich hieraus systemische Risiken ergeben können. Diesen Risiken zu begegnen ist ein Grundanliegen von DORA.

In dem folgenden Artikel werden die Hauptanforderungen von DORA dargestellt, zur bestehenden Regulatorik in Deutschland in Bezug gesetzt und die wesentlichen Herausforderungen für die deutsche Lebensversicherungsunternehmen herausgearbeitet.

Hintergrund und Ziele von DORA

DORA wurde am 24. September 2020 als Teil des breiter angelegten “Digital Finance Package” eingeführt und tritt am 17. Januar 2025 in Kraft.

Ziel der Gesetzgebung ist die Stärkung der digitalen operationellen Resilienz aller Unternehmen im Finanzsektor, wie z.B. Banken und Kreditinstitute, Versicherungen, Zahlungsdienstleister sowie andere Dienstleister im Finanzsektor.

DORA harmonisiert die rechtlichen Rahmenbedingungen für die unterschiedlichen Unternehmen und gleicht bestehende Anforderungen miteinander ab, insb. in Deutschland die versicherungsaufsichtlichen Anforderungen an die IT (VAIT)² und die bankenaufsichtlichen Anforderungen an die IT (BAIT)³.

Hervorzuheben ist, dass die Beaufsichtigung von Informations- und Kommunikationstechnologie (IKT) Drittdienstleistern bei DORA eine wesentliche Rolle spielt.

Auf das erste Release-Paket im Januar 2024 folgte im Juli 2024 die zweite Welle der technischen Regulierungsstandards (RTS) und Implementierungsstandards (ITS), veröffentlicht von den drei europäischen Aufsichtsbehörden - European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA) und European Securities and Market Authority (ESMA).

Weiterhin hat die BaFin eine nicht-verpflichtende Hilfestellung zur Implementierung der DORA-Vorgaben veröffentlicht, welche insbesondere die DORA-Anforderungen mit denen der VAIT vergleicht.

Im Folgenden werden ausgewählte Aspekte dieser Veröffentlichungen dargestellt.

Wesentliche Anforderungen von DORA

DORA beinhaltet klare Vorgaben zu wesentlichen Schlüsselbereichen, um digitale operationelle Resilienz zu sichern. Die BaFin bezieht sich dabei auf 6 Bereiche⁴ mit der expliziten Unterteilung des Managements des IKT-Drittparteienrisikos und dem Überwachungsrahmen kritischer IKT-Drittdienstleister.

IKT-Risikomanagement

DORA zielt darauf ab eine angemessene interne Governance und Organisationsstruktur zu etablieren, um die inhärenten IKT-Risiken zu managen. Die Geschäftsleitung spielt dabei eine entscheidende Rolle. Sowohl unter VAIT als auch DORA ist die Geschäftsleitung für die Umsetzung aller Aspekte im Zusammenhang mit dem IKT-Risikomanagementrahmen verantwortlich. Bei DORA ist der Umfang der Aufgaben und Verantwortlichkeiten dabei noch größer, was die Wichtigkeit und Stärkung der Geschäftsleitung in Bezug auf das IKT-Risikomanagement betont. Die ausreichende Qualifikation und Weiterbildung der Geschäftsleitung in Bezug auf IKT-Risiken ist Voraussetzung, daneben ist die Geschäftsleitung in vielen Fällen dafür verantwortlich Richtlinien zu definieren, abzunehmen und zu kontrollieren sowie diese im Rahmen des IKT-Risikomanagements umzusetzen.

Unter VAIT steht der Informationssicherheitsaspekt im Vordergrund, DORA hingegen setzt das IKT-Risikomanagement in den Mittelpunkt unter Verwendung von Methoden der Informationssicherheit, um digitale operationelle Resilienz zu erreichen. Dies wird deutlich durch die Einführung einer neuen IKT-Risikokontrollfunktion unter DORA, welche auch natürlicherweise bestehenden Funktionen zugeordnet werden kann, wie z.B. dem Informationssicherheitsbeauftragen unter VAIT, welcher den Anforderungen dieser Rolle am nächsten kommt.

Die IKT-Risikokontrollfunktion ist verantwortlich für den Umgang und die Kontrolle der IKT-Risiken und könnte in der Risiko- bzw. Compliance-Abteilung angesiedelt werden, getrennt von der IT-Abteilung, um ein angemessenes Maß an Unabhängigkeit zu gewährleisten.

Wesentliche Aufgaben in diesem Zusammenhang sind die Definition und Umsetzung von Prozessen zum Umgang mit IKT bezogenen Vorfällen, der die Identifikation, Handhabung und Dokumentation solcher Vorfälle beinhaltet. Dies umfasst die Entwicklung von Richtlinien, z.B. Informationssicherheitsrichtlinie, die Umsetzung von Mechanismen, um Auffälligkeiten zu erkennen, Wiederherstellungsprozeduren sowie die Kommunikation und das Reporting derartiger Vorfälle.

Behandlung IKT bezogener Vorfälle

DORA erfordert die Etablierung eines effektiven Managements von IKT-Vorfällen, welches die Überprüfung, Dokumentation und Reporting von IKT-Vorfällen umfasst. Ein IKT bezogener Vorfall ist definiert als ein ungeplantes Ereignis, welches die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder durch die vom Finanzunternehmen erbrachten Dienstleistungen hat.

IKT-Vorfälle müssen anhand spezifischer Kriterien, wie z.B. Anzahl betroffener Anwender/Kunden, Dauer etc., klassifiziert werden. Die Kriterien und die dazu gehörigen Wesentlichkeitsgrenzen werden in den RTS näher ausgeführt. Wesentliche IKT-Vorfälle müssen an die zuständige Aufsichtsbehörde berichtet werden.

Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)

Ähnlich wie das IKT-Risikomanagement und das Reporting ist das Testen der digitalen operationellen Resilienz ein wichtiger Teil des IKT-Risikomanagementrahmens. Finanzunternehmen müssen ihre IKT-Systeme jährlich testen, um die Wirksamkeit ihrer digitalen operationellen Resilienz zu bewerten. Dies beinhaltet die Umsetzung angemessener Tests, einschließlich einer Gap-Analyse und die Bewertung der Schwachstellen. Größere Unternehmen sind verpflichtet alle drei Jahre ein Threat-Led Penetration Testing (TLPT) durchzuführen. Hinsichtlich des Testumfangs spielt das Proportionalitätsprinzip eine wesentliche Rolle.

Management des IKT-Drittdienstleisterrisikos

Ein wesentlicher Aspekt von DORA ist der Umgang der Risiken bei Verwendung von Dienstleistungen von IKT-Drittdienstleister. Die Dienstleistungsvereinbarungen mit Drittdienstleistern müssen über den gesamten Zeitraum bewertet und kontrolliert werden. Dies setzt insbesondere die Risikobewertung und Durchführung einer Due Diligence vor Vertragsabschluss voraus. Das Finanzunternehmen muss dabei die Abhängigkeiten, Risiken und Kostenstruktur der IKT-Drittdienstleister identifizieren. Die Verträge sollten unter anderem die Unterstützung der IKT-Drittdienstleister bei IKT-Vorfällen sowie Ausstiegspläne wichtiger Funktionen beinhalten. In den Umsetzungshinweisen der BaFin ist dabei eine umfängliche Liste von Mindestvertragsinhalten enthalten.

Alle Vertragsbeziehungen des Finanzunternehmens sind in ein Informationsregister einzutragen. Auf dieser Basis ist die Aufsicht in der Lage kritische IKT-Drittdienstleister zu identifizieren.

Überwachungsrahmen kritischer IKT-Drittdienstleister

DORA führt einen neuen Überwachungsrahmen von kritischen IKT-Drittdienstleistern ein. Die Klassifikation basiert auf den systemischen Auswirkungen auf die Stabilität, Kontinuität und Qualität der Finanzdienstleistungen im Falle einer Störung.

Die federführende Überwachungsbehörde hat verschiedene Rechte gegenüber IKT-Drittdienstleistern, wie Informations-, Kontroll- und Prüfrechte. Im Fall von festgestellten Missständen, kann die Aufsichtsbehörde Empfehlungen aussprechen, die vom IKT-Drittdienstleister umzusetzen sind oder auch die Aufforderung des Finanzunternehmens, die Vertragsbeziehung zu unterbrechen bzw. zu kündigen.

Austausch von Informationen über Cyberrisiken und Notfallübungen

DORA regt den freiwilligen Austausch von Informationen über Cyberbedrohungen zwischen den Finanzunternehmen an. Die Aufsicht soll über die Teilnahme an einer solchen Vereinbarung zum Informationsaustausch bzw. deren Beendigung informiert werden.

Herausforderungen und Empfehlungen für Finanzunternehmen

Auch wenn das Ziel und die Hauptanforderungen von DORA nachvollziehbar sind, stellen die Anforderungen der Verordnung und der RTS/ITS eine große Komplexität dar. Finanzunternehmen sollten daher rechtzeitig ausreichende Ressourcen einplanen, um DORA und dessen Implikationen umzusetzen.

Die Anforderungen von VAIT sind bereits in Kraft getreten, mit dem letzten Update vom 3. März 2022. Die nicht-verpflichtenden Umsetzungshinweise der BaFin, welche unter anderem die DORA-Anforderungen mit denen der VAIT vergleichen, stellen daher eine gute Ausgangslage dar, um sich dem Thema DORA zu nähern. Die wesentlichen Unterschiede im Vergleich zu VAIT liegen in der Ausweitung der Kompetenz der Geschäftsleitung in Bezug auf das IKT-Risikomanagement, der Fokus auf die Behandlung von IKT-Vorfällen und die Geschäftsfortführungspläne sowie die erweiterten Vertragsbedingungen hinsichtlich IKT-Drittdienstleistern.

Finanzunternehmen sollten eine vollständige initiale Bewertung ihrer Organisation, der IT-Systeme und den IKT bezogenen Risiken durchführen, was in eine Gap-Analyse in Bezug auf die DORA-Anforderungen führt. Diese Liste sollte priorisiert und in einen Umsetzungsplan überführt werden.

Die wesentlichen Herausforderungen hierbei könnten die Umsetzung der Anforderung hinsichtlich der Governance und Organisationsstruktur, welche die Einführung neuer Funktionen und Verantwortlichkeiten und Prozessen beinhaltet, darstellen. Abhängig vom Umsetzungsstand der Unternehmen, sind ggf. die Erneuerung bzw. das Update der IKT-Systeme sowie Prozesse erforderlich, um die Systeme auf dem neuesten Stand zu halten. Die Bewertung und das Update der IT-Systeme gehen mit der Überprüfung der IKT-Drittdienstleister und den bestehenden Verträgen einher.

Potentielle Risiken und Anforderungen von DORA bzw. VAIT an deutsche Lebensversicherer

Die Einrichtung eines angemessenen IKT-Risikomanagements erfordert die Bewertung aller IKT-System und die damit verbundenen IKT-Drittdienstleister. Ein wesentlicher Aspekt ist die Identifikation des Schutzbedarfs der zugrundeliegenden Daten in Bezug auf Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit. Im Falle von Störungen müssen Pläne zur Wiederherstellung vorliegen und befolgt werden. Bei der Entwicklung und der Implementierung von IKT-Systemen muss ein angemessenes IKT-Projekt- und Änderungsmanagement, gemäß den RTS über IKT- Risikomanagement Tools, Methoden Prozesse und Richtlinien und vereinfachtem IKT-Risikomanagementrahmen⁵, angewendet werden.

Die genannten Aktivitäten müssen dabei den von der Geschäftsleitung genehmigten Richtlinien und Arbeitsanweisungen folgen, welche die DORA-Anforderungen erfüllen.

Im Folgenden werden spezifische Tätigkeiten von Lebensversicherern aufgezeigt, welche potentiell hinsichtlich der DORA-Anforderungen geprüft und angepasst werden müssen.

Lebensversicherungen haben große Bestände mit sensiblen persönlichen, Gesundheits- und biometrischen Daten. Der Schutz dieser Daten ist in den IT-Systemen und Prozessen sicherzustellen.

Komplexe Migrationsprojekte müssen sorgfältig analysiert werden, um die DORA-Anforderungen zu erfüllen. Inhärente Risiken sind Datenverlust, Bewertungs- und Übertragungsfehler. Um die Geschäftsfortführung betroffener Prozesse sicherzustellen, ist ein durchdachter Plan zur Datensicherung und Wiederherstellung basierend auf abgestimmten Richtlinien und Arbeitsanweisungen elementar.

Bewertungsmodelle zur Steuerung und Berichterstattung, ob durch Standardlösungen wie das “Branchensimulationsmodell” (BSM) oder interne Modelle, sind in komplexe Prozesse eingebunden, die unterschiedliche Abteilungen und Anwender involvieren. Der Prozess ist hinsichtlich Annahmen und Eingangsdaten, Verwendung der korrekten Modellversion, Ergebnisvalidierung und Weiterverarbeitung in assoziierten Prozessen zu bewerten. Der Schutzbedarf hinsichtlich Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit sicherzustellen.

Eine wiederkehrende Frage ist der Umgang mit Eigenentwicklungen der Unternehmen „IDV – Individuelle Datenverarbeitung“. Eine IDV ist nicht notwendigerweise an eine bestimmte Entwicklungsumgebung, wie z.B. Excel, Python, gebunden, sie hängt vielmehr von der Rolle in dem jeweiligen Prozess ab.

Daher sollte im Rahmen des IKT-Risikomanagement zunächst der Schutzbedarf der Anwendung geprüft werden, wiederum auf Basis von Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit

Fazit und Ausblick

DORA zielt auf die Stärkung der operationellen Resilienz des Finanzsektors in der Europäischen Union ab. Während in Deutschland die Anforderungen der VAIT bereits das Thema IT-Sicherheit adressieren, erweitert DORA die Anforderungen deutlich, was sich im Detaillierungsgrad widerspiegelt sowie in gänzlich neuen Aspekten, wie die Behandlung und Reporting von IKT-Vorfällen, Bewertung der IKT -Drittdienstleister und das zugehörige Informationsregister sowie der freiwillige Austausch bezüglich Cyberbedrohungen.

Deutsche Versicherer können sich durch die Umsetzung der VAIT-Anforderungen bereits in einer guten Ausgangslage befinden. Dennoch erfordert es Anstrengung und Ressourcen, um mit den Anforderungen von DORA und deren Umsetzung umzugehen, was neben der umfangreichen bestehenden Regulatorik im Allgemeinen, dem Fachkräftemangel und den schwierigen ökonomischen Gegebenheiten eine zusätzliche Herausforderung darstellt. Allerdings erlaubt DORA, abhängig vom Risikoprofil, das Proportionalitätsprinzip auf die Anforderungen anzuwenden.

Quellen:

• REGULATION (EU) 2022/2554 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL – European Parliament, 2022
• Rundschreiben 10/2018 (VA) in der Fassung vom 03.03.2022: Versicherungsaufsichtliche Anforderungen an die IT (VAIT), BaFin, 2022
• BaFin - DORA, BaFin, 2024
• Die Lage der IT-Sicherheit in Deutschland 2023, BSI, 2023
• BaFin - Fachartikel - Cyberversicherungen: hohe Nachfrage – und hohe Risiken?, BaFin, 2024
• Aufsichtsmitteilung - Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement, BaFin, 2024

¹ Die Verordnung ist unter folgendem Link verfügbar https://eur-lex.europa.eu/eli/reg/2022/2554/oj.

² BaFin (3. März 2022). Rundschreiben 10/2018 (VA): Versicherungsaufsichtliche Anforderungen an die IT. Abgerufen am 30. September 2024 von https://www.bafin.de/ref/19595002.

³ BaFin (26. Oktober 2020). Rundschreiben 10/2017 (BA): Bankenaufsichtliche Anforderungen an die IT. Abgerufen am 30. September von https://www.bafin.de/ref/19599002.

⁴ DORA - Digital Operational Resilience Act. Abgerufen am 30. September 2024 von https://www.bafin.de/ref/19669324.

⁵ EU. Dokument 32024R1774: Delegierte Verordnung (EU) 2024/1774 der Kommission. EUR-Lex. Abgerufen am 30. September 2024 von https://eur-lex.europa.eu/eli/reg_del/2024/1774/oj.