Nach der MiFID II dürfte DORA das größte Regelungsungetüm sein, das die EU über die Finanzinstitute ausgießt. An sich soll die Umsetzung von DORA am 17. Januar 2025 starten. Die BaFin hat bereits verlautbart, dass sie keine Verzögerung duldet und von den Unternehmen eine pünktliche Umsetzung erwartet. Schon Anfang des Jahres hat sie darauf hingewiesen, dass der Countdown laufe und sich die etwa 3600 betroffenen Unternehmen in Deutschland auf die Umsetzung vorbereiten sollen.
Dabei verweist die BaFin immer wieder auf Hackerangriffe und betont, dass durch die DORA-Umsetzung die Schwachstellen in der IT-Sicherheit gegenüber Cyber-Attacken bekämpft werden müssen.
Für mittlere Wertpapierinstitute ist der Aufwand enorm. Erfreulicherweise enthält aber Art. 16 DORA eine Erleichterung für kleine und nichtverflochtene Wertpapierfirmen. Lassen Sie sich dadurch aber bitte nicht in einer trügerischen Sicherheit wiegen. Auch Art. 16 DORA enthält noch einige Umsetzungsschritte für kleine Wertpapierfirmen, die man nicht unterschätzen darf. Folgende Maßnahmen sind auch für kleine Wertpapierfirmen verpflichtend:
  • Einrichtung eines IKT-Risikomanagementrahmens zum
    • raschen, effizienten und umfassenden Management des IKT-Risikos,
    • Schutz der physischen Komponenten und Infrastrukturen
  • Laufende Überwachung des Funktionierens aller IKT-Systeme
  • Verwendung solider, resilienter und aktualisierter IKT-Systeme, -Protokolle und -Tools
  • Zeitnahe Aufdeckung der Ursachen von IKT-Risiken und -Anomalien und schnelle Handhabung von IKT-Vorfällen
  • Ermittlung wesentlicher Abhängigkeiten von IKT-Drittdienstleistern
  • Aufstellung von Geschäftsfortführungsplänen sowie Gegen- und Wiederherstellungsmaßnahmen
  • Regelmäßiges Testen des IKT-Risikomanagementrahmens (auch bei schwerwiegenden IKT-bezogenen Vorfällen), Entwicklung von Geschäfts-fortführungsplänen sowie der Gegen- und Wiederherstellungsmaßnahmen
  • Einbeziehung der Erkenntnisse in den IKT-Risikobewertungsprozess
  • Schulungen f. Personal und Management entsprechend dem IKT-Risikoprofil zu IKT-Sicherheit und digitaler operationaler Resilienz
Auch wenn die obigen Maßnahmen teilweise sehr allgemein klingen, bitte ich Sie, die Anforderungen nicht zu unterschätzen. Wie immer hat der europäische Gesetzgeber an alles gedacht und in einer eigenen Verordnung die obigen Anforderungen noch einmal konkretisiert. Es ist daher nicht mit einer Schmalspurumsetzung getan. BaFin und Bundesbank werden auf eine Einhaltung der Spezialvorgaben, auch für die kleinen Institute, drängen. Zum Beispiel ist in der Detailverordnung die Verantwortung für das Leitungsorgan geregelt. Die Zuständigkeit und Verantwortung für die DORA-Umsetzung ist ausdrücklich der Geschäftsleitung zugewiesen und deswegen lässt sich das Problem nicht auf IT-Dienstleister oder Beauftragte delegieren. Mangelhafte Umsetzung würde direkt der Geschäftsleitung zugerechnet!
Die Geschäftsleitung hat dafür zu sorgen, dass eine angemessene Governance und Organisation für die IKT-Risiken vorliegen und mindestens eine Informationssicherheitsleitlinie vorhanden ist, die IT-Assets klassifiziert werden, ein IT-Risikomanagement vorhanden ist, die physische Sicherheit der IT vor Umweltereignissen eingerichtet ist, Zugangskontrollen vorgesehen sind, die Betriebssicherheit für die IT gewährleistet werden kann, ebenso wie Daten-, System- und Netzwerksicherheit. Notwendig sind Sicherheitstests sowie ein Projektmanagement für die Änderung der IT, Geschäftsfortführungspläne und Tests. Natürlich darf auch ein ordentliches Berichtswesen in Deutschland nicht fehlen!
Aus Diskussionen und Gesprächen der letzten Wochen habe ich entnommen, dass sich viele Institute mit der Umsetzung sehr schwertun. Es fehlen Leitlinien und Augenmaß, in welchem Umfang und mit welchem Aufwand DORA umgesetzt werden muss. Jeder von Ihnen besitzt eine unterschiedliche IT-Struktur. Deswegen ist es uns leider nicht möglich, die DORA-Umsetzung in unserem Musterorganisationshandbuch abzubilden. Die IT-Welt in Ihren Instituten ist zu unterschiedlich.
Wir wollen Sie aber bei der DORA-Umsetzung nicht allein im Regen stehen lassen. Zusammen mit der DAB wollen wir Sie auch bei dieser Herausforderung unterstützen. Zusammen mit der DAB werden wir bei Interesse Ihrerseits Anfang des 2. Quartals 2025 einen mehrtägigen Workshop mit einem DORA-Starterkit für kleine Wertpapierinstitute auf Basis von Art. 16 DORA anbieten. Ziel dieses Starterkit und des Workshops wäre, Ihnen ausreichend Tools an die Hand zu geben, damit Sie Wirtschaftsprüfern und Aufsichtsbehörden gegenüber eine solide Umsetzungsbemühung von DORA dokumentieren können.
Bei Interesse bitte ich Sie, sich per Mail direkt an Frau Anna Lisa Schultze von der DAB unter der E-Mail dab-akademie@dab.com zu wenden. Bei ausreichendem Interesse und Teilnahme werden wir ein substanzielles Angebot für Sie zusammenstellen.
Mit den besten Grüßen
Ihr
Dr. Christian Waigel
Rechtsanwalt