DORA – Digital Operational Resilience Act – Was bedeuten die neuen Vorschriften für Leasingunternehmen?

Geschrieben von
Matthias Winter

Matthias Winter ist seit 20 Jahren in der Leasingbranche unterwegs, heute ist er Gründer und Geschäftsführer von LeaseHub

14. Apr 2023

DORA ist in Kraft! „Wer oder was ist DORA?“, fragen Sie sich? Was so nett klingen mag, hat es in sich! DORA steht für Digital Operational Resilience Act und ist ein Rahmenwerk zur Stärkung der IT-Sicherheit im Finanzsektor, das am 27. Dezember 2022 von EU-Rat und EU-Parlament verabschiedet wurde. 20 Tage später, am 16. Januar 2023, ist die 79-seitige Verordnung in Kraft getreten und hat damit den Startschuss für die 24-monatige Umsetzungsphase gegeben. Mehr als 22.000 Finanzunternehmen in der EU sind von der DORA-Verordnung betroffen, darunter Banken, Versicherungsunternehmen, Cloud-Dienstleister, aber auch Leasinggesellschaften.

Was steckt hinter DORA?

DORA ist aber nur ein Teil des Gesamtpakets, denn zeitgleich wurde auch die damit verbundene „Richtlinien zur Änderung der Richtlinien 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341 hinsichtlich der digitalen operationalen Resilienz im Finanzsektor“ mit der gleichen Umsetzungsfrist veröffentlicht. Die DORA-Richtlinie (Richtlinie (EU) 2022/2556)) enthält jeweils einzelne Anpassungen dieser Richtlinien, die im Zusammenhang mit der Verordnung erforderlich wurden. Bislang sind die fünf Kerngebiete der Verordnung festgelegt, konkrete Details sollen bis Februar 2024 veröffentlicht werden. Die DORA-Verordnung ist am 16. Januar 2023 formell in Kraft getreten und beschreibt eine 24-monatige Umsetzungsphase. Das bedeutet, dass Unternehmen bis zum 17. Januar 2025 Zeit haben, den Anforderungen nachzukommen und diese anzuwenden.

Die vollständige DORA-Verordnung finden Sie hier.

Warum wurden neue Vorschriften beschlossen?

Der Hintergrund? In Zeiten der zunehmenden Digitalisierung und der Bedrohung durch Cyberangriffe und IT-Ausfälle gewinnt die digitale Widerstandsfähigkeit immer mehr an Bedeutung. Der DORA-Gesetzesentwurf ist ein wichtiger Schritt, um die Sicherheit und Stabilität im Finanzsektor zu gewährleisten. Ziel ist es sicherzustellen, dass Informations-, Kommunikations- und Technologie-Systeme (IKT-Systeme) auf dem neusten Stand sind und Risiken schnell und effektiv abwehren können. Erstmals gelten diese Anforderungen einheitlich für die ganze Europäische Union.

Wie sieht der DORA-Gesetzesentwurf aus?

Der DORA-Gesetzesentwurf sieht vor, dass Finanzdienstleister ihre digitalen Systeme und Prozesse auf ihre Widerstandsfähigkeit gegen Cyberangriffe und IT-Ausfälle überprüfen und entsprechende Maßnahmen ergreifen müssen. Die Maßnahmen können sowohl technischer als auch organisatorischer Natur sein. In der Veröffentlichung Ende des Jahres wurden die fünf Kerngebiete definiert, konkrete Details sollen noch erfolgen:

Kernelemente der DORA-Verordnung

Der Anfang des Jahres veröffentlichte Stand der Verordnung fokussierte sich vor allem auf die fünf Kernthemengebiete. Bis zur Anwendung im Januar 2025 sollen diese von dem Europäischen Finanzaufsichtssystem noch deutlich detaillierter erarbeitet und ausgeschrieben werden.

Operational Resilience und Risikomanagement

  • Etablieren von professionellen IKT-Sicherheitssystemen und Maßnahmen zum Schutz gegen Angriffe
  • Einführung von Business-Continuity-Richtlinien sowie Notfall- und Wiederherstellungsplänen

Berichtserstattung von Vorfällen

  • Prozessentwicklung zur IdentifizierungProtokollierung und Klassifizierung von Vorfällen gemäß den Kriterien des Europäischen Finanzaufsichtssystem
  • Vollumfängliche Berichtserstattung im Falle eines IKT-Vorfalls (Anfangs-, Zwischen-, und Abschlussstand)

 Digital Operational Resilience Testing

  • In einem jährlichen Abstand sind grundlegende Tests dieser Maßnahmen und Systeme notwendig
  • In einem Abstand von drei Jahren müssen darüber hinaus umfassende Penetrationstests durchgeführt werden
    Die sind simulierte Hackerangriffe von einer qualifizierten und unabhängigen Stelle (auch genannt TLPT). Dabei müssen auch die Systeme von Drittanbieter geprüft werden.
  • Bei der Identifikation von Schwachstellen, Mängeln oder Lücken müssen umgehend Gegenmaßnahmen ergriffen werden

Governance und Management von Drittparteien

  • Führen eines vollständigen Registers aller ausgelagerten Aktivitäten einschließlich gruppeninterner Dienstleistungen
  • Bewusstsein schaffen für Risiken aus internen und ausgelagerten Verantwortungsbereichen (Konzentrations- und Auslagerungsrisiken)
  • Gewährleistung einer ausreichenden Überwachung der Risiken durch Drittanbieter (bspw. bei der Vertragserstellung in Sachen Leistungsbeschreibung, Erreichbarkeit, Standort der Rechenzentren)

Informationsaustausch

  • Finanzunternehmen werden dazu angehalten, sich untereinander mit Informationen und Erkenntnissen über Cyberbedrohungen zu unterstützen
  • Etablieren von Prozessen zur Überprüfung von geteilten Informationen und dem entsprechenden Ergreifen von Maßnahmen

Umsetzung und Zeitplan

Um den DORA-Gesetzesentwurf umzusetzen sind hohe Investitionen in IT-Sicherheitstechnologien nötig. Eine immer größere Rolle spielt dabei auch die Zusammenarbeit mit IT-Sicherheitsdienstleistern, denn gerade das Feld IT-Sicherheit verändert sich stetig und ist mit derart hohen Unternehmensrisiken verbunden, dass man hier auf Experten setzen sollte, anstatt dies in die eigene Hand zu nehmen.

Für Leasinggesellschaften bedeutet dies, dass sie ihre IT-Systeme und Prozesse genau überprüfen und sicherstellen müssen, dass sie den Anforderungen des DORA-Gesetzesentwurfs entsprechen. Dazu gehören:

Identifizieren Sie kritische Geschäftsprozesse und ergreifen Sie Maßnahmen:

Leasinggesellschaften müssen sicherstellen, dass Sie Ihre kritischen Geschäftsprozesse identifiziert haben und dass diese Prozesse auch im Falle von Störungen weiterhin betrieben werden können. Dazu gehört auch, dass Unternehmen ihre Abhängigkeiten von Drittanbietern, wie IT-Dienstleistern oder Cloud-Service-Providern, überprüfen, um sicherzugehen, dass diese auch widerstandsfähig gegenüber Störungen sind. Eine hilfreiche Methodik dafür ist eine GAP-Analyse, oder auch Lückenanalyse genannt. Dabei vergleichen Sie den Ist-Zustand mit dem Soll-Zustand, der sich an den Vorgaben der EU orientiert. Werden Lücken entdeckt, müssen sinnvolle Maßnahmen getroffen werden, um diese zu schließen.

Machen Sie sich mit den aktuellen Vorgaben vertraut:

Da die DORA-Vorgaben in weiten Teilen kongruent sind mit den Vorschriften aus bereits bekannten Regularien bzw. darauf aufbauen, sollten Sie sich mit diesen auseinandersetzen. Wichtig sind dabei vor allem MaRisk/BAIT, EBA-Guidelines für Outsourcing von Aktivitäten und EBA-Guidelines on ICT and Security Risk Management. Daneben ist es auch essenziell, die bestehenden Melde- und Risikomanagementpflichten zu beachten. Nur wer weiß, was auf sie oder ihn zukommt kann sich auch entsprechend darauf vorbereiten. Basierend auf den Ergebnissen der GAP-Analyse im Vergleich zum Soll-Zustand kann eine „Roadmap“ entwickelt werden.

Durchführen von ausführlichen Penetrationstests (TIBER-DE):

TIBER-DE (Threat Intelligence-based Ethical Red Teaming for the German Financial Sector) ist ein Rahmenwerk für die Durchführung von Simulationen von Cyberangriffen auf Unternehmen im Finanzsektor in Deutschland. Das Ziel von TIBER-DE ist es, die Widerstandsfähigkeit der Unternehmen gegenüber Cyberangriffen zu erhöhen, indem eine realistische Simulation eines Angriffs durchgeführt wird. Hierbei kommen Experten, sogenannte Red Teams, zum Einsatz, die versuchen, Sicherheitslücken im Unternehmen aufzudecken und Schwachstellen in den IT-Systemen zu identifizieren. TIBER-DE Tests können nur von einer qualifizierten und geprüften Stelle abgenommen werden. In einem Abschlussbericht wird aufgezeigt, wo derzeit Schwachstellen liegen.

Schulung von Mitarbeitern:

Oft sind es menschliche Fehler, die zu IT-Sicherheitsproblemen führen. Aus diesem Grund müssen Leasinggesellschaften ihre Mitarbeiter regelmäßig in Bezug auf Cybersecurity schulen, um sicherzustellen, dass diese in Sachen  Sicherheitsvorkehrungen und -protokolle auf dem neusten Stand sind. Damit soll das Bewusstsein für Cybersicherheitsrisiken geschärft und Cyberangriffe zu vermieden werden. Wichtig ist, dass Schulungen regelmäßig erfolgen, denn gerade weil sich Gefahren stetig wandeln, müssen alle Mitarbeiter auf dem neusten Stand sein. IT-Security fängt schon beim Setzen des Passworts an.

Umgang mit Drittanbietern für digitale Dienstleistung

Gerade weil IT und Software so ein hochkomplexes Thema ist wächst der Trend, diese Funktionen auszulagern an Drittanbieterunternehmen, die sich auf diese Bereiche spezialisiert haben. Das Europäischen Finanzaufsichtssystem möchte einen EU-Aufsichtsrahmen für IKT-Drittanbieter aufstellen, der verstärkt Risiken beurteilen und Empfehlungen aussprechen soll. Werden diese Empfehlungen nicht befolgt und Finanzunternehmen nehmen die Dienstleistung von „kritischen Drittanbietern“ trotzdem in Anspruch, müssen diese ausweisen, wie sie den Risiken entsprechend begegnen. Im Ausnahmefall kann die europäische Aufsichtsbehörde sogar die Kündigung von Kooperationsverträgen anordnen.

Was sind die Auswirkungen des DORA-Gesetzesentwurfs?

Die Umsetzung des DORA-Gesetzesentwurfs wird die Finanzdienstleistungsbranche signifikant verändern. Finanzdienstleister müssen sich auf einen höheren Regulierungsdruck einstellen und ihre IT-Sicherheitsmaßnahmen erheblich verbessern, um den Anforderungen gerecht zu werden. Darüber hinaus wird der Gesetzesentwurf in beide Richtungen wirken und maßgeblich die Wettbewerbsposition von Unternehmen beeinflussen. Das bedeutet, dass Finanzdienstleister, die ihre IT-Sicherheit vernachlässigen, es schwer haben werden, Kunden zu gewinnen und zu halten.

Die Umsetzung des DORA-Gesetzesentwurfs soll auch dazu beitragen, das Vertrauen in den Finanzsektor zu stärken. In der Vergangenheit gab es einige Skandale und Krisen, die das Vertrauen in den Finanzsektor stark erschüttert haben. Auflagen zu einer verbesserten IT-Sicherheit und Widerstandsfähigkeit gegen Cyberangriffe und IT-Ausfälle kann dazu beitragen, genau dieses Vertrauen der Öffentlichkeit in den Finanzsektor wiederherzustellen.

Wie geht es weiter?

Der Digital Operational Resilience Act (DORA) der Europäischen Union (EU) ist ein wichtiger Schritt, um die digitale Widerstandsfähigkeit von Finanzdienstleistern sicherzustellen und damit den Schutz der Kunden und den reibungslosen Betrieb von Finanzdienstleistern zu gewährleisten. Erstmals soll die digitale Resilienz mithilfe von einheitlichen Regeln EU-weit festgelegt werden. Für Finanzunternehmen, darunter auch Leasinggesellschaften, stellt dieser Gesetzesentwurf Herausforderung und Chance zugleich dar. Denn Unternehmen, die diese smart, schnell und effektiv nutzen, können sich einen langfristigen Wettbewerbsvorteil aufbauen.

Klar ist, dass Finanzdienstleister erhebliche Investitionen in IKT-Sicherheitstechnologien und die Zusammenarbeit mit IT-Sicherheitsdienstleistern stemmen müssen. Insbesondere das Thema „Auslagerung an Drittanbieter“ wird einen sehr hohen Stellenwert haben. Das sollte aber keinesfalls ein Grund dafür sein, die Sache selbst in die Hand zu nehmen, denn IKT-Sicherheit ist ein hochkomplexes Thema, das sich stetig wandelt und neue Niveaus erreicht. Die wachsende Anzahl an Angriffe auch auf etablierte Unternehmen zeigt, dass viele Systeme keinen ausreichenden Schutz bieten. Denn insbesondere veraltete Systeme sind ein leichtes Spiel für Hackerangriffe aus dem Netz. Aus diesem Grund sollten Finanzunternehmen nicht alle Schäfchen in ein Boot setzen, sondern diverse Aktivitäten auch auslagern, an spezialisierte und geprüft Experten.

Gerade deswegen ist es sinnvoll, sich frühzeitig mit den Regulatorien und den Konsequenzen auseinanderzusetzen. Zwei Jahre scheinen eine lange Zeit, doch es gibt auch einiges zu tun! Gerade in Sachen Sicherheit kann man nicht zu früh anfangen.

DORA Merkblatt

Sie wollen alle Informationen zu DORA übersichtlich auf einer Seite? Downloaden Sie unser kostenfreies Merkblatt, ideal auch zur Information von Mitarbeitern!
Zum kostenfreien Download geht es hier:

DORA Merkblatt kostenlos downloaden:

Mehr IT-Sicherheit bekommen Sie bei uns!

Sie sind auf der Suche nach einem geprüften und zertifizierten Softwareanbieter, spezialisiert auf die Leasingbranche? Mit unserer Softwarelösung LeaseHub unterstützen wir Leasingmakler und Leasinggesellschaften dabei, Ihren Geschäftsalltag deutlich effizienter und professioneller zu gestalten – natürlich nach höchsten Sicherheitsstandards!

Lernen Sie die Software kennen und testen Sie für 30 Tage:

Vereinbaren Sie jetzt Ihren Demo-Termin und starten Sie in die kostenlose Testphase.

Klicken Sie auf den unteren Button, um den Inhalt von Calendly zu laden.

Inhalt laden

Learn more

Quellen: 

Dr. Bachmüller, Schmolz, 2023

Barkmann, 2023

Deloitte, 2023

PwC, 2022

Willkommen am Seitenende: Überzeugt? Melden Sie sich jetzt zum LeaseHub-Testzeitraum an.

...oder vereinbaren Sie einen Termin mit uns, um sich schnell durch die Software führen und die Funktionen erklären zu lassen.

Oder