DORA betrifft auch EbAV

DORA-Umsetzung bis zum 17. Januar 2025

Bereits am 16. Januar 2023 ist der sog. Digital Operational Resilience Act (DORA) – Verordnung (EU) 2022/2554 – in Kraft getreten. Die EU hat damit für den gesamten Finanzsektor ein Regelwerk für Cybersicherheit und digitale operationale Resilienz betreffend Informations- und Kommunikationstechnologien (IKT) geschaffen. Adressaten sind nach Art. 2 DORA neben den klassischerweise im Fokus stehenden Kreditinstituten, Wertpapierfirmen, Fondsverwaltern und Versicherern auch Einrichtungen der betrieblichen Altersversorgung (EbAV). Gemeint sind damit laut Art. 3 Nr. 52 DORA EbAV im Sinne von Art. 6 Nr. 1 der EbAV-II-Richtlinie, Richtlinie (EU) 2016/2341. Damit sind aus deutscher Sicht vor allem Pensionskassen und Pensionsfonds umfasst. Nicht unter den Anwendungsbereich fallen hingegen gemäß Art. 2 Abs. 3 Buchst. c) DORA solche EbAV, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben. Angesichts dieser niedrigen Schwelle dürfte diese Ausnahme in der Praxis keine große Rolle spielen. Darüber hinaus gelten die Art. 5 bis 15 DORA, welche die allgemeinen Regeln zum IKT-Risikomanagement beinhalten, gemäß Art. 16 Abs. 1 DORA nicht für kleine EbAV – dies sind nach Art. 3 Nr. 53 DORA solche EbAV, die Altersversorgungssysteme mit insgesamt weniger als 100 Versorgungsanwärtern betreiben (eine ebenfalls niedrige Schwelle). Selbst kleine EbAV müssen jedoch gemäß Art. 16 DORA einige Mindestanforderungen im Risikomanagement erfüllen, u.a. einen soliden und dokumentierten IKT-Risikomanagementrahmen haben, die Sicherheit und das Funktionieren aller IKT-Systeme fortlaufend überwachen, angemessene, solide, resiliente und aktualisierte IKT-Systeme, -Protokolle und -Tools verwenden, über Geschäftsfortführungspläne sowie Gegen- und Wiederherstellungsmaßnahmen verfügen und die genannten Systeme und Maßnahmen auch regelmäßig testen.

Ein Großteil der deutschen Pensionskassen und Pensionsfonds muss sich daher unverzüglich und ernsthaft mit DORA auseinandersetzen.

Am 17. Januar 2025 sind alle Anforderungen der Verordnung zu erfüllen, das betroffene Unternehmen muss DORA-konform aufgestellt sein. Erfahrungsgemäß kann mit Planung und Umsetzung von Maßnahmen gar nicht früh genug begonnen werden – wobei natürlich ebenso zu prüfen ist, ob ggf. Ausnahmeregelungen greifen, wenn etwa eine EbAV als Klein- oder Kleinstunternehmen unter DORA qualifizieren sollte.

Schwerpunkte der Regulierung

Der regulatorische Ansatz von DORA ruht auf fünf Säulen:

IKT-Risikomanagement: Zu einem umfassenden IKT-Risikomanagement gehören neben der Einrichtung und Pflege belastbarer IKT-Systeme auch die Erstellung von Notfallplänen und die kontinuierliche Überwachung aller relevanten Quellen, die Risiken für die IKT-Sicherheit darstellen. Hierzu gehören auch Identifikation, Einstufung und Dokumentation kritischer und wichtiger Funktionen. Darüber hinaus müssen die verpflichteten Unternehmen (mit Ausnahme von Kleinstunternehmen mit weniger als zehn Beschäftigten und Jahresumsatz bzw. -bilanzsumme von nicht mehr als 2 Mio. EUR) eine unabhängige Kontrollfunktion einrichten, die für das Risikomanagement zuständig ist.

IKT-Vorfälle und Cyberbedrohungen: Insbesondere die Meldung von IKT-bezogenen Vorfällen anhand einer von den europäischen Aufsichtsbehörden (ESAs) bereitgestellten Standardvorlage stellt ein zentrales Element dieser Säule dar. Finanzunternehmen müssen Anfangs-, Zwischen- und Abschlussberichte über IKT-bezogene Vorfälle vorlegen können. Dabei werden die Vorfälle anhand festgelegter Kriterien klassifiziert. Neben der Meldung von Vorfällen sieht die DORA-Verordnung auch eine freiwillige Meldung von Cyberbedrohungen vor.

Testen der digitalen operationalen Resilienz: DORA schreibt das umfangreiche Testen der digitalen operationalen Resilienz vor. Unterschieden wird dabei zwischen Basistests, die regelmäßig betreffend IKT-Tools und -Systeme durchgeführt werden sollen, und erweiterten Tests, den sogenannten bedrohungsgesteuerten Penetrationstests (Threat Led Penetration Testing, TLPT), die mehrere oder alle kritischen oder wichtigen Funktionen eines Finanzunternehmens einschließen und an derartige Funktionen unterstützenden Live-Produktionssystemen durchgeführt werden.

IKT-Drittpartei-Risikomanagement: Mit dem Management des IKT-Drittparteien-Risikos sollen im Ergebnis die aus der Einbindung von Drittanbietern resultierenden Risiken ebenso wirksam überwacht werden wie eigene Risiken. DORA gibt den Unternehmen daher Prinzipien im Umgang mit IKT-Drittdienstleistern wie auch ganz konkrete Anforderungen etwa zur Ausgestaltung der vertraglichen Vereinbarungen vor. Auf diese Ausgestaltung der (auch bereits bestehenden) vertraglichen Vereinbarungen wird mit Blick auf die Vorgaben des Art. 30 DORA in den kommenden Monaten bis zum Januar 2025 besonderes Augenmerk zu richten sein. Im Kern heißt dies nämlich, dass zahlreiche Bestandsverträge anzupassen sein werden. Besonders herausfordernd dürfte dabei sein, dass DORA nicht nur Dienstleistungen, die nach bisherigem Verständnis als Ausgliederung bzw. Outsourcing angesehen wurden, sondern umfassend auch den sonstigen Fremdbezug von Leistungen betrifft, indem nun (mit Ausnahme herkömmlicher analoger Telefondienste) sämtliche digitale Dienste und Datendienste im Regelungsbereich sind, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen.

Informationsaustausch: Vom EU-Gesetzgeber ausdrücklich gewollt und in DORA angelegt sind Vereinbarungen zwischen Finanzunternehmen, die den Austausch von Informationen und Erkenntnissen zum Thema Cyberbedrohungen betreffen. Dazu gehören vor allem Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren. Im Rahmen der Meldung schwerwiegender IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen kann zudem auch die Aufsichtsbehörde dem betroffenen Unternehmen Informationen zur Verfügung stellen.

Was ist JETZT zu tun?

Selbstverständlich bedürfen alle fünf DORA-Säulen der notwendigen Aufmerksamkeit der betroffenen EbAV. Der Charme von vier dieser Säulen ist, dass bei den Unternehmen eine Umsetzung im Rahmen der Aufbau- und Ablauforganisation ganz wesentlich intern erfolgen kann und, auch mit Blick auf den auch in DORA verankerten Grundsatz der Verhältnismäßigkeit, ein gewisses Maß an eigenem Ermessen und damit Spielraum verbleibt.

Bei der Säule des Managements des IKT-Drittparteien-Risikos hingegen besteht eine sehr relevante Schnittstelle zu externen Unternehmen, sei es innerhalb der eigenen Unternehmensgruppe (intra-group Services etwa eine Träger- oder Obergesellschaft über eigene Se) oder zu gänzlich außenstehenden Unternehmen. Insbesondere die erforderliche rechtliche Fixierung der Einbindung aller relevanten IKT-Dienstleister über DORA-konforme Verträge (Art. 30 DORA) bedarf der Beteiligung und letztlich Zustimmung der externen Dienstleister.

Erfahrungsgemäß ist bereits die Ermittlung der relevanten Dienstleistungen und Dienstleister eine Herausforderung, erst recht die Verhandlung von Verträgen. Umso wichtiger ist es, den Status quo der Dienstleister-Landschaft jetzt zu ermitteln und ab sofort auf die Dienstleister zuzugehen, deren Verträge zum 17. Januar 2025 umzustellen sind. Je nach Anzahl (und risikobasierten Einwertung) der betroffenen Verträge bieten sich neben rein manuellen Herangehensweisen auch KI-/Tool-basierte Ansätze an. Beides erfordert das technisch-juristische Know-how, um Praxisanforderungen und regulatorische Vorgaben zusammenzubringen.

Angesichts der Dringlichkeit dieser konkreten Herausforderungen kann sich auch die Einbindung externer Hilfe anbieten.

Sprechen Sie uns gerne an.