Wie man sich auf die Einhaltung der DORA-Vorschriften vorbereitet

Der Digital Operational Resilience Act wird am 17. Januar 2025 in Kraft treten. Diese EU-Verordnung zielt darauf ab, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen zu stärken. Sie stellt sicher, dass der Finanzsektor in Europa im Falle von schwerwiegenden Betriebsstörungen widerstandsfähig bleibt. Finanzinstitute, die in den Anwendungsbereich dieser Verordnung fallen, müssen ihre digitale Widerstandsfähigkeit erhöhen, auf künftige Anpassungen vorbereitet sein und eine strenge Überwachungsstrategie festlegen, um die Einhaltung der Vorschriften zu gewährleisten.

Die letzte Frage lautet: Wie können sich Institutionen auf die Einhaltung der DORA-Verordnung vorbereiten? In diesem Artikel gehen wir auf den Geltungsbereich der Verordnung ein und geben praktische Beispiele dafür, wie die Technologie den Rechtsteams den Weg ebnen kann.

Seit Jahren unterstützen europäische Gremien aktiv die Maßnahmen des Finanzsektors gegen Bedrohungen durch die Informations- und Kommunikationstechnologie (IKT).

Die Europäische Bankenaufsichtsbehörde (EBA) hat sich mit dem Thema befasst und 2019 ihre Leitlinien für IKT- und Sicherheitsrisikomanagement veröffentlicht.

Gleichzeitig arbeitet die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) mit den zuständigen nationalen Behörden an diesem und verwandten Themen wie verbesserter Anlegerschutz, geordnete Märkte und Finanzstabilität.

DORA erweitert den Anwendungsbereich, die Art und den Ansatz bestehender Texte und Leitlinien, um angesichts wachsender Risiken eine größere Widerstandsfähigkeit zu gewährleisten.

• Umfang

Die neue Verordnung gilt für ein breiteres Spektrum von Finanzinstituten und deren kritischen Drittdienstleistern (nicht nur für IKT-Dienstleister) und deckt 20 Arten von Finanzunternehmen (FR) und eine umfassendere Liste von IKT ab.

• Natur

Im Gegensatz zu früheren Bemühungen, Empfehlungen und Leitlinien der EBA und der ESMA handelt es sich bei DORA um eine rechtsverbindliche Verordnung mit klar definierten Anforderungen und Fristen für die Einhaltung, die Finanzunternehmen zum Handeln und zur Verbesserung der Widerstandsfähigkeit gegenüber potenziellen Sicherheitsrisiken zwingt.

• Näherung

Der Ansatz ist umfassender und befasst sich mit dem gesamten Lebenszyklus von IKT-Dienstleistungen in Bezug auf Finanzinstitute.

So wie sich die Finanzlandschaft verändert, muss sich auch die Gesetzgebung verändern. DORA zielt darauf ab:

• Der zunehmenden Abhängigkeit des Finanzsektors von Technologie und Technologieunternehmen entgegenzuwirken.

• Minderung des Risikos von Cyberangriffen und -vorfällen im Finanzsektor, da die Anzahl und Schwere der Bedrohungen ständig zunimmt.

• Gewährleistung stabiler und zuverlässiger Finanzdienstleistungen in der Gesamtwirtschaft.

Der Kreis der von den DORA-Vorschriften betroffenen Finanzunternehmen wurde im Vergleich zu früheren Texten und Leitlinien erweitert. Er umfasst Banken, Versicherungsgesellschaften und Wertpapierfirmen ab einer bestimmten Größe. IKT-Drittdienstleister sind ebenfalls betroffen, wenn auch auf andere Weise, da sie eine wichtige Rolle bei der Cybersicherheit spielen.

Das Digital Operational Resilience Act (DORA) legt mehrere Hauptverantwortlichkeiten für Finanzunternehmen fest, um sicherzustellen, dass sie IKT-bedingten Störungen widerstehen und sich davon erholen können. Hier sind die wichtigsten Verantwortlichkeiten:

Die Finanzinstitute müssen einen robusten Rahmen für die digitale operative Widerstandsfähigkeit einrichten und aufrechterhalten. Dazu gehören umfassende Strategien für das Management von IKT-Risiken während des gesamten Lebenszyklus von IKT-Systemen, von der Entwicklung bis zur Stilllegung.

Die Unternehmen sind verpflichtet, ihren Aufsichtsbehörden erhebliche Cyber-Vorfälle unverzüglich zu melden. Dies gewährleistet einen zeitnahen Informationsfluss, der für die Steuerung systemischer Risiken und die Verbesserung der allgemeinen Widerstandsfähigkeit von entscheidender Bedeutung ist.

Regelmäßige Tests der digitalen Resilienz sind obligatorisch. Dazu gehören Schwachstellenbewertungen, Penetrationstests und szenariobasierte Übungen zur Bewertung der Wirksamkeit von Präventions-, Erkennungs-, Reaktions- und Wiederherstellungsfunktionen.

Finanzunternehmen müssen die Risiken im Zusammenhang mit externen IKT-Dienstleistern beherrschen. Dazu gehört eine gründliche Due-Diligence-Prüfung vor dem Abschluss von Verträgen und eine kontinuierliche Überwachung der Leistung und Einhaltung der Vorschriften durch die Dienstleister.

Die Unternehmen müssen einen starken Governance-Rahmen einführen, um die IKT-Risikomanagement- und Resilienzaktivitäten zu überwachen. Dazu gehören klare Rollen und Verantwortlichkeiten, regelmäßige Überprüfungen und Aktualisierungen von Strategien und Richtlinien.

DORA wird ab dem 17. Januar 2025 gelten. Wahrscheinlich haben Sie schon damit begonnen, aber jetzt ist es höchste Zeit, das zu Ende zu bringen.

Der erste große Schritt besteht darin, eine detaillierte Liste Ihrer IKT-Systeme und -Anbieter zu erstellen und diejenigen zu identifizieren, die unter die DORA-Verordnung fallen. Der Digital Operational Resilience ACT enthält eine Liste von Anbietern, die bei der Identifizierung helfen soll. Die Liste der IKT-Provider ist endgültig und abgeschlossen. Wenn Sie keinen IKT-Provider finden, der den Beschreibungen des DORA entspricht, müssen Sie mit diesen keine weiteren Vorbereitungen treffen.

Wie? Sie können ein CLM-Tool verwenden, um die Verträge mit IKT-Anbietern zu finden. Diese Dokumente können Klauseln enthalten, aus denen hervorgeht, ob ein IKT-Anbieter unter die DORA-Verordnung fällt. In wenigen Minuten können Sie nach anwendbaren Klauseln suchen und eine Liste Ihrer IKT-Anbieter erstellen, die möglicherweise betroffen sind. KI kann hier äußerst nützlich sein. Sie vereinfacht und beschleunigt die Suche und stellt gleichzeitig sicher, dass kein Auftragnehmer übergangen wird.

Anhang III des Entwurfs der technischen Durchführungsstandards (ITS) für das Gesetz über die digitale Betriebsbereitschaft (DORA) enthält die vollständige Liste der in Betracht kommenden IKT-Dienste.

DORA definiert eine Reihe von kritischen oder wichtigen Funktionen, die sich auf die Leistung, Stabilität und Kontinuität der Dienstleistungen von Finanzunternehmen auswirken und deren Möglichkeit zur Einhaltung bestehender verbindlicher Vorschriften behindern können.

Sobald Sie Ihre IKT identifiziert haben, müssen Sie die kritischen oder wichtigen Funktionen bewerten und einen Testplan aufstellen, um den Verpflichtungen der Verordnung nachzukommen.

Wie? Das CLM-Tool kann genutzt werden, um nach bestimmten Funktionen oder Diensten zu suchen, die von Ihren IKT-Anbietern angeboten werden, und den Bedarf und Umfang von Tests zu ermitteln. Diese Aufgabe kann schnell erledigt werden, wenn Sie ein CLM-Tool mit leistungsstarken KI-Funktionen verwenden. Es ermöglicht Ihnen, Ihre Verträge nach relevanten Schlüsselwörtern zu durchsuchen und innerhalb von Sekunden Antworten zu erhalten.

Um potenzielle Risiken zu bewerten, benötigen Sie ein robustes Nachverfolgungssystem, das es Ihnen ermöglicht, frühere Vorfälle zu identifizieren und sie detailliert zu erfassen. Außerdem müssen Sie sicherstellen, dass es eine effiziente Möglichkeit gibt, Berichte über Vorfälle zu erstellen und mit Ihrem Vorstand und den Aufsichtsbehörden zu teilen. Außerdem müssen Sie fortlaufende Tests und Überwachungen durchführen, um künftige Risiken und Bedrohungen zu mindern.

Wie? Die Risikobewertung gliedert sich in zwei Phasen: Bewertung früherer Bedrohungen und detaillierte Kartierung sowie kontinuierliche Überwachung potenzieller Bedrohungen und Sicherheitsverletzungen. Für beide Phasen sind effiziente Berichts- und Analysefunktionen erforderlich, um Audits und Konformitätsprüfungen zu erleichtern. Sie können Ihr Tool für juristische Personen nutzen, wenn es Funktionen zur Erstellung von Berichten bietet. Ein zentraler Datenspeicher erleichtert die Kommunikation mit den Aufsichtsbehörden. Es wird auch empfohlen, Technologien zur Erkennung von Bedrohungen in Echtzeit zu implementieren.

Möglicherweise müssen Sie Änderungen vornehmen, um DORA-konform zu werden. Aus praktischer Sicht bedeutet dies, dass Sie ein spezielles Team brauchen und die erforderlichen Ressourcen bereitstellen müssen. Stellen Sie sicher, dass bis Anfang 2025 externe Audits durchgeführt und interne Prozesse zur Prüfung, Verfolgung und Zuordnung eingerichtet wurden.

Legal-Tech-Tools wie CLM- (Contract Lifecycle Management) und ELM-Plattformen (Entity Legal Management) bieten eine zentrale Übersicht, die eine Echtzeitverfolgung von Compliance-Aktivitäten, ein verbessertes Risikomanagement und eine nahtlose Berichterstattung an Behörden ermöglicht. Diese Lösungen vereinfachen und rationalisieren die Compliance-Prozesse und sind daher für Unternehmen, die sich mit den DORA-Anforderungen auseinandersetzen, unverzichtbar. Andererseits sind Finanzunternehmen unnötigen Risiken und Ineffizienzen ausgesetzt, wenn sie es versäumen, spezialisierte Lösungen für die Einhaltung der DORA-Vorschriften einzuführen. Ohne diese Tools stehen CxOs vor Herausforderungen wie fragmentierter Datenverwaltung, fehleranfälligen manuellen Prozessen und Verzögerungen bei der Erfüllung gesetzlicher Anforderungen.

Im Folgenden stellen wir drei praktische Anwendungsfälle vor, die zeigen, wie Legal Tech die DORA-Anforderungen unterstützen kann.

Der erste Schritt auf dem Weg zur DORA-Konformität ist die Identifizierung von IKT-Dienstleistern, die kritische oder wichtige Funktionen in Ihrem Ökosystem ausführen. Ein CLM-Tool (Contract Lifecycle Management) ist von unschätzbarem Wert, um diesen Prozess zu beschleunigen – vor allem, wenn es durch KI-gestützte Funktionen erweitert wird.

Wie?

• Erweiterte Suchfunktionen: Nutzen Sie die Suchmaschine der Plattform, um Verträge mit bestimmten Klauseln zu finden, wie z. B. Auditrechte oder IKT-Dienstleistervereinbarungen, die im Rahmen von DORA unerlässlich sind.

• Erweiterte Suchfunktionen: Nutzen Sie die Suchmaschine der Plattform, um Verträge mit bestimmten Klauseln zu finden, wie z. B. Auditrechte oder IKT-Dienstleistervereinbarungen, die im Rahmen von DORA unerlässlich sind.

• KI-gestützte Extraktion von Klauseln: Selbst wenn die Klauseln nicht mit Tags versehen sind, kann die KI relevante Begriffe identifizieren, z. B. solche, die mit länderspezifischen Vorschriften verbunden sind (z. B. ACPR-Klauseln in Frankreich). Erfassen Sie alle von DORA geforderten Daten, einschließlich des Datums der Entdeckung, der betroffenen Einrichtungen und der Kategorisierung der Vorfälle (schwerwiegend oder geringfügig).

Innerhalb weniger Minuten können Sie eine Liste von IKT-Anbietern erstellen, deren Compliance-Klauseln analysieren und diese Daten zur weiteren Prüfung exportieren. KI-gestützte Klauselbibliotheken können auch alle DORA-relevanten Vertragsklauseln speichern und so die Genauigkeit und den einfachen Zugriff bei der Bearbeitung von Anforderungen Dritter sicherstellen.

Die DORA schreibt eine rechtzeitige Meldung von IKT-bezogenen Vorfällen vor, unabhängig von ihrer Größe. Größere Vorfälle müssen innerhalb von vier Stunden – und nicht später als 24 Stunden – gemeldet werden, nachdem sie als kritisch eingestuft wurden (Quelle: Taylor Wessing). Die Berichte müssen detailliert sein und die Grundursachen, die betroffenen Systeme und die beteiligten Parteien umfassen.

Eine ELM-Plattform (Entity Legal Management) vereinfacht die Verfolgung von Vorfällen und gewährleistet eine effektive Kommunikation mit den Beteiligten.

Wie?

Anpassbare Boards: Nutzen Sie maßgeschneiderte Dashboards, um IKT-Vorfälle zu verfolgen, zu dokumentieren und zu verwalten. Zum Beispiel, wenn ein Cloud-Anbieter eine Sicherheitsverletzung erleidet, geben Sie detaillierte Beschreibungen wie betroffene Systeme, Grundursachen und beteiligte Parteien ein.

Regulierungsfähige Felder: Erfassen Sie alle von der DORA geforderten Daten, einschließlich des Datums der Entdeckung, der betroffenen Einrichtungen und der Kategorisierung der Vorfälle (schwerwiegend oder geringfügig).

Aktivitäts-Feed: Führen Sie ein Echtzeit-Aktivitätsprotokoll, um den Fortschritt des Vorfalls zu überwachen, Maßnahmen zu dokumentieren und Aktualisierungen für Interessengruppen und Aufsichtsbehörden zu vereinfachen.

Integrierte Berichte: Erstellen Sie umfassende Berichte über Vorfälle, die sich leicht an Aufsichtsbehörden oder interne Gremien weitergeben lassen.

Ein ELM-Tool sorgt für Transparenz und erleichtert die Kommunikation, indem es Echtzeit-Updates bietet und die Einhaltung von Vorschriften unterstützt.

Die Governance steht im Mittelpunkt der DORA-Compliance und erfordert von Finanzinstituten, Aufsichtsstrukturen zu formalisieren und klare Kommunikationsmethoden zwischen den erforderlichen Parteien zu etablieren. Vorstandsmitglieder und CxOs sind maßgeblich an diesem Prozess beteiligt, daher sind eine effektive Kommunikation und eine klare Nachverfolgung von Aufgaben unerlässlich. Ein leistungsstarkes Board-Portal-Tool hilft dabei, den Status von DORA-bezogenen Aktivitäten (wie Vorfällen oder ausstehenden Vertragsaktualisierungen), die von den relevanten Parteien diskutiert werden, zu verfolgen und einen klaren Prüfpfad zu gewährleisten.

Wie?

Board-Portale: Erstellen Sie DORA-spezifische Ausschüsse mit vordefinierten Vorlagen für Tagesordnungen, Anwesenheitsverfolgung und Entscheidungsprotokolle, die gezielt auf diese regulatorischen Anforderungen abgestimmt sind.

Vorfallüberprüfung und Entscheidungsverfolgung: Präsentieren Sie Vorfallaktualisierungen, überprüfen Sie wichtige Berichte und dokumentieren Sie die von den Ausschüssen getroffenen Entscheidungen.

Synchronisierung mit dem Vorstand: Stellen Sie die Ausrichtung zwischen DORA-Ausschüssen und Vorstandsdiskussionen sicher, indem Sie Entscheidungen und Tagesordnungen verknüpfen.

Protokolle und Aktionspläne: Zeichnen Sie Sitzungsprotokolle, Entscheidungen und zugewiesene Aufgaben auf und speichern Sie sie zur späteren Einsichtnahme, um den Überblick über ausstehende Maßnahmen oder anstehende Änderungen im Zusammenhang mit DORA zu behalten.

Eine zentralisierte Plattform verbessert die Governance, indem sie die Transparenz erhöht, den Verwaltungsaufwand verringert und alle Beteiligten einbindet und zur Rechenschaft zieht.

DORA stellt Finanzunternehmen und IKT-Anbieter, die es gewohnt sind, in komplexen Umgebungen zu arbeiten, vor neue regulatorische Herausforderungen. So wie sich die Vorschriften weiterentwickeln, so entwickeln sich auch die Technologien, die die Einhaltung der Vorschriften unterstützen. Für Rechtsteams und Führungskräfte ist der Einsatz der richtigen Tools unerlässlich, um die Compliance-Anforderungen zu erfüllen und Zeit zu sparen, damit sie ihre Energie auf die Strategie und die Abstimmung interner Bemühungen mit externen Parteien konzentrieren können.

DiliTrust Governance bietet die Unterstützung, die Teams benötigen, um die Compliance-Anforderungen effektiv zu erfüllen. Entdecken Sie, wie unsere Lösung Ihre Abläufe vereinfachen kann, buchen Sie noch heute eine Demo bei uns.