« | Home | »

DORA: Wie neue Meldepflichten eine bessere Übersicht über Cyberrisiken ermöglichen

Von Dr. Oliver Everling | 4.Dezember 2024

Auf der Handelsblatt-Tagung „BankenTech“ erläuterte Benedikt Queng, Referent bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die weitreichenden Auswirkungen des Digital Operational Resilience Act (DORA) auf den Finanzsektor. Diese EU-Verordnung, die ab dem 17. Januar 2025 in Kraft tritt, soll die digitale Widerstandsfähigkeit von Finanzinstituten stärken, indem sie einheitliche Anforderungen an die Erkennung, Meldung und das Management von IT-bezogenen Risiken und Vorfällen vorschreibt.

Queng betonte, dass Cyberangriffe, insbesondere Ransomware-Attacken, zu den größten Bedrohungen für Finanzinstitute gehören. Die zunehmende Auslagerung von IT-Dienstleistungen an Drittanbieter verschärft diese Risiken durch mögliche Abhängigkeiten und sogenannte **Konzentrationsrisiken** – das Risiko, dass viele kritische Funktionen von wenigen externen Anbietern abhängig sind. Ein Beispiel verdeutlichte Queng anhand eines Vorfalls, bei dem ein Software-Update zahlreiche Flugzeuge am Boden hielt. Solche Szenarien zeigen, wie weitreichend die Folgen von IT-Störungen sein können.

Ein zentraler Aspekt von DORA ist die Einführung harmonisierter Meldepflichten für schwerwiegende Informations- und Kommunikationstechnologie-Vorfälle (IKT-Vorfälle). Aktuell erfolgen solche Meldungen in Deutschland gemäß dem BaFin-Rundschreiben 03/2022 (BA). DORA wird diese Vorgaben jedoch vereinheitlichen und die BaFin zur zentralen Meldestelle machen. Queng erläuterte, dass die BaFin künftig alle Vorfallsmeldungen an relevante Institutionen wie die Deutsche Bundesbank, die Europäische Zentralbank (EZB) oder die Europäische Bankenaufsichtsbehörde (EBA) weiterleiten wird, wodurch eine bessere Koordination und schnellere Reaktion ermöglicht wird.

Er führte aus, dass die meisten gemeldeten Vorfälle derzeit Betriebsstörungen sind – etwa 78 Prozent der Vorfälle gehen auf operationelle Fehler zurück. Nur fünf Prozent der gemeldeten Vorfälle sind sicherheitsrelevant, etwa DDoS-Angriffe (Distributed Denial of Service) oder Betrugsversuche durch Phishing. Allerdings bedeutet dies nicht, dass Cyberangriffe selten sind; viele Angriffe werden abgewehrt, bevor sie meldepflichtig werden.

Ein weiterer wichtiger Bestandteil von DORA ist das Informationsregister, das Finanzinstitute führen müssen. Dieses Register dient sowohl als internes Risikomanagement-Tool als auch zur Informationsbereitstellung für Aufsichtsbehörden. Es soll helfen, Abhängigkeiten von kritischen Drittanbietern (Critical Third-Party Providers, CTPPs) zu identifizieren. Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die EBA werden anhand dieser Informationen entscheiden, welche Drittanbieter einer besonders strengen Überwachung unterliegen.

Ein technisches Rahmenwerk, bestehend aus Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS), wird die Anforderungen weiter konkretisieren. Die RTS geben detaillierte Vorgaben zur Klassifizierung von Vorfällen, während die ITS die konkreten Anforderungen an die Meldeprozesse definieren.

Queng betonte abschließend, dass die neuen Meldepflichten und der Fokus auf IKT-Risiken nicht nur Herausforderungen, sondern auch Entlastungen mit sich bringen. Durch die zentrale Rolle der BaFin als „Hub“ werden Meldeprozesse effizienter, und Finanzinstitute erhalten klarere Leitlinien im Umgang mit IT-Risiken. Dies wird letztlich dazu beitragen, die Stabilität des Finanzsystems in einer zunehmend digitalen Welt zu sichern.

Themen: Bankenrating | Kommentare deaktiviert für DORA: Wie neue Meldepflichten eine bessere Übersicht über Cyberrisiken ermöglichen

Kommentare geschlossen.