Der Finanzsektor rückt immer stärker in den Fokus der Aufsicht – begründet durch die sich stetig ausweitende Abhängigkeit von der IT und das damit verbundene Cyberrisiko. Zusätzlich zeichnet sich in dieser Branche ein deutlicher Trend zur Auslagerung ab. Gründe hierfür sind insbesondere die Prozessoptimierung in der Informationstechnik, gepaart mit Kostenersparnis, Qualitätssteigerung, Synergieeffekten, Ressourceneinsparung und „Spezial-Know-How“.
Das Ökosystem der Kredit- und Zahlungsinstitute umfasst somit auch IT-Dienstleister, die ebenfalls ihre Netzwerkstrukturen in der letzten Zeit enorm erweitert haben, um die geforderten Dienstleistungen erbringen zu können. Die Regulierungsstandards fordern sehr deutlich das Einbeziehen von Lieferantennetzwerken in das IT-Risk-Management. Banken unterliegen bereits umfangreichen, aufsichtsrechtlichen Vorschriften, die u.a. über die EBA-Leitlinien in die nationalen Vorschriften der MaRisk und BAIT einfließen. Die Informationssicherheit wird zusätzlich in ergänzenden Regularien thematisiert, die sich bspw. mit dem Zahlungsverkehr oder dem Wertpapiergeschäft beschäftigen. „On Top“ ist zudem die DSGVO zu nennen, denn der Datenschutz geht sehr eng einher mit der Informationssicherheit.
Von der EU-Cyberstrategie zur DORA-Verordnung
Zusätzlich arbeitet die Europäische Union an der Cybersicherheit des Finanzsektors. So gibt es seit 2017 die EU-Cyberstrategie, 2018 wurde die NIS Directive aktiv, die sich auf kritische Infrastrukturen bezieht und ebenfalls zu nennen ist der Fintech-Aktionsplan. Die Europäische Kommission hat in der zweiten Jahreshälfte 2020 den ersten Entwurf der „DORA“ Verordnung (Digital Operational Resilience Act) als Teil der Digital Finance Strategie für Europa veröffentlicht. Im Fokus stehen hierbei die beiden Kernthemen „Reduzierung von IT-Risiken“ sowie „Harmonisierung der EU-Anforderungen“. Erstmals werden in diesem Zuge auch kritische IKT-Dienstleister und Subunternehmen direkt angesprochen, sollten diese ihre Dienstleistungen für Finanzunternehmen erbringen. Zudem präferiert DORA, im Falle der Auslagerung von kritischen Prozessen, auf Drittanbieter mit Sitz innerhalb der EU zurückzugreifen. Defacto wird durch DORA eine weitere Welle von Anforderungen auf die Finanzwelt treffen, die sich um die Themen Risikomanagement, meldebezogenes Vorfallsmanagement, IT-Betriebsstabilität, Umgang und Kommunikation in Bezug auf Cyberbedrohungen und Schwachstellen sowie die Steuerung von IT-Auslagerungsrisiken windet. Bis 2024 wird es voraussichtlich noch dauern, bis DORA in die Praxis umgesetzt werden muss. Ähnlich wie bei der DSGVO wird es sich jedoch für Institute und IKT-Dienstleister lohnen, schon jetzt mit einer GAP-Analyse zu beginnen und sich mit den DORA Anforderungen auseinanderzusetzen.
Wie geht van den Berg mit den regulatorischen Anforderungen um?
Van den Berg beschäftigt sich schon jetzt mit diesen Anforderungen, verfügt, neben weiteren Zertifizierungen und Testaten, seit 2019 über eine lückenlose Zertifizierung gemäß ISO 27001 und unterliegt dem IT-Grundschutz des BSI. Im Scope des ISO 27001 befinden sich die Dienstleistungsprozesse des IT-Betriebes und seit 2021 auch die der Softwareentwicklung. Der ISO 27001 hat sich als Standard für den Bereich der Informationssicherheit etabliert, bescheinigt ein funktionsfähiges Managementsystem für diesen Bereich und ist damit die wichtigste Cyber-Security-Zertifizierung weltweit. Es wird ein ganzheitlicher Ansatz betrachtet, der neben technischen Aspekten auch infrastrukturelle, organisatorische und personelle Aspekte bewertet. Im Mittelpunkt steht die Analyse und die Behandlung von Risiken der Informationssicherheit, die Identifizierung und Behandlung von notwendigen Sicherheitsmaßnahmen zum Schutze der Unternehmenswerte und damit die Förderung eines stetigen Verbesserungsprozesses. Vergleicht man die Anforderungen der MaRisk, BAIT und DORA mit den Standards des ISO 27001 und dem IT-Grundschutz des BSI so wird man feststellen können, dass der Großteil der Anforderungen hier wiederzufinden ist. Leider geht die Bankenaufsicht in ihren Kommentaren nur sehr rudimentär auf dieses Thema ein und spricht allgemein von „Standards zur Ausgestaltung der IT-Systeme“. Die „EBA-Guidelines on outsourcing“ besagen hierzu in Ziffer 91. b und 92, dass Institute Zertifizierungen durch Dritte, die vom Dienstleister zur Verfügung gestellt werden und kritische oder wesentliche Prozesse betreffen, genutzt werden können, um ihre aufsichtlichen Pflichten zu erfüllen.
Resumee
Die steigenden, aufsichtlichen Anforderungen beschäftigen uns und unsere Kunden insbesondere in den Bereichen der 1st line und 2nd line of Defense und sorgen an diesen Stellen für einen wachsenden technischen und personellen Ressourcenaufwand. Mit DORA wird es – im Falle der Prozessübertragung auf kritische IKT-Dienstleister – bei unseren Kunden, begründet durch die direkte Aufsicht der Dienstleister, zu einer Entlastung im Bereich der Prüfungs- und Kontrollverfahren kommen können. Daher ist es aus meiner Sicht ein wichtiger Aspekt, wenn Dienstleister sich schon jetzt mit dieser Verordnung beschäftigen und über eine GAP-Analyse ihren Umsetzungsstand ermitteln. Dies stellt in meinen Augen auch ein Wettbewerbsvorteil dar und stärkt zusätzlich das Kunde-Dienstleister-Vertrauen. Bestehende Zertifizierungen und Testate Dritter können an dieser Stelle über ein Mappingverfahren eingebunden werden. Zu beachten sind natürlich der Anwendungsbereich, der Prüfungszeitraum sowie Feststellungen, die getroffen worden sind und die Risiken klar herausstellen. Die Hoffnung, dass sich durch DORA der Dschungel der aufsichtlichen Anforderungen entwirren wird, besteht und zeigt sich als positive Herausforderung für van den Berg sowie als mögliche Entlastung für unsere Kunden.
