DORA ist die neue Bewohnerin unseres Systems zur digitalen Resilienz der Finanzwelt. DORA stellt Ansprüche, das bringt konkret für das Meldewesen Veränderungen mit sich, die man von Anfang an berücksichtigen sollte, da man ab 17.1. meldefähig sein soll.
Worum geht es
Ab dem 17. Januar 2025 tritt in der ganzen EU der Digital Operational Resilience Act (DORA) in Kraft und bringt u. a. neue Meldepflichten für Finanzunternehmen mit sich. Diese Verordnung zielt darauf ab, die digitale Widerstandsfähigkeit im Finanzsektor zu stärken. Das ist gut, da es den Systemen zu mehr Stabilität verhilft. Und die Verordnung gilt unmittelbar in der ganzen EU, hat also internationale Wirkung.
Nicht alle sind schon fertig mit den Vorbereitungen! Daher hier ein kurzer Überblick über wichtige Aspekte des Meldewesens nach DORA und worauf Unternehmen achten sollten.
Meldepflichten
DORA sieht eine Meldepflicht für schwerwiegende IKT-bezogene Vorfälle vor. Finanzunternehmen müssen diese Vorfälle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) melden. Zusätzlich gibt es die Möglichkeit zur freiwilligen Meldung erheblicher Cyber-Bedrohungen. Und ggf. gibt es noch weitere Meldepflichten (z. B. Kritis, PSDII, NIS2), die zu berücksichtigen sind. Wer schon ein Meldewesen hat, sollte die Anpassungen vornehmen und wer keines hat, muss schnell sein, denn ab 17.1.2025 muss die Meldefähigkeit gesichert sein.
Strafen
Die DORA-Verordnung sieht bei Verstößen gegen die Meldepflichten verschiedene Strafen vor:
Geldbußen für Finanzinstitute
Geldbußen für Einzelpersonen
Öffentliche Rügen
Einschränkungen der Geschäftstätigkeit
In besonders schweren Fällen Entzug der Betriebslizenz oder Untersagung der Geschäftstätigkeit
Die Höhe der Strafe hängt von der Schwere des Verstoßes und der Kooperationsbereitschaft des Unternehmens mit den Behörden ab. Auch aktienrechtliche Meldungen können den Wert des gesamten Unternehmens reduzieren. Denn Strafen sind u. U. schnell bezahlt, aber Reputationsschäden sind besonders schwerwiegend, es können Vertrauensverluste bei Kunden und Partnern auftreten! Diese sind langfristig spürbar und sind schwer aus der Welt zu räumen.
Was ist ein Vorfall?
Ein „IKT-bezogener Vorfall“ ist ein von dem Institut oder Unternehmen nicht geplantes Ereignis bzw. eine Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Absatz 1 Nr. 8 DORA).
Was ist zu tun?
DORA - Meldewesen verstehen: Die Begriffe wie Erkennung, Behandlung, Klassifizierung, Meldung, Erstmeldung, Zwischenmeldung, Abschlussmedlung sind inhaltlich und mit Blick auf die Organisation zu implementieren.
Prozesse anpassen: Unternehmen sollten ihre internen Prozesse zur Erkennung, Klassifizierung und Meldung von IKT-Vorfällen überprüfen und anpassen.
Meldesystem implementieren: Es muss ein System eingerichtet werden, das eine schnelle und effiziente Meldung ermöglicht. Die BaFin sieht die Nutzung des MVP-Portals für diese Meldungen vor.
Schulungen durchführen: Mitarbeiter müssen geschult werden, um Vorfälle gemäß den neuen Anforderungen zu erkennen, zu managen und zu melden.
Informationsregister erstellen: Unternehmen müssen ein Register über vertragliche Vereinbarungen mit IKT-Drittdienstleistern führen. Dies hilft auch beim Meldewesen, da auf der Basis bei Bedarf alle Aspekte rund um die ggf. auch zu meldenden IKT-Leistungen gut dokumentiert sind.
Frühwarnsysteme etablieren: DORA verlangt die Definition von Frühwarnindikatoren zur schnellen Erkennung von Vorfällen.
Potenzielle Fallstricke
Klassifizierung von Vorfällen: Die korrekte Einstufung von IKT-Vorfällen als "schwerwiegend" kann herausfordernd sein. Eine falsche Klassifizierung kann zu Unter- oder Übermeldung führen.
Zeitdruck: Die Erstmeldung muss unverzüglich erfolgen. Unternehmen müssen sicherstellen, dass sie schnell reagieren können, ohne die Qualität der Meldung zu beeinträchtigen.
Datenschutz: Bei der Meldung von Vorfällen muss sichergestellt werden, dass keine sensiblen Daten unbefugt offengelegt werden.
Ressourcenmanagement: Die Implementierung und Aufrechterhaltung des Meldewesens erfordert personelle und technische Ressourcen, die rechtzeitig bereitgestellt werden müssen.
Koordination mit anderen Meldepflichten: DORA-Meldungen müssen mit bestehenden Meldepflichten (z.B. DSGVO, AktG) abgestimmt werden, um Doppelmeldungen oder Widersprüche zu vermeiden. Das hat zeitliche, inhaltliche, juristische und unternehmenspolitische Aspekte.
Empfehlungen
Frühzeitige Vorbereitung: Beginnen Sie früh mit der Anpassung Ihrer Prozesse und Systeme, um zum Stichtag bereit zu sein.
Klare Verantwortlichkeiten: Definieren Sie eindeutig, wer für die Erkennung, Klassifizierung und Meldung von Vorfällen zuständig ist.
Automatisierung: Implementieren Sie, wo möglich, automatisierte Systeme zur Erkennung und Klassifizierung von Vorfällen, um schnell reagieren zu können.
Regelmäßige Überprüfungen: Führen Sie regelmäßige Tests und Überprüfungen Ihrer Meldeprozesse durch, um deren Effektivität sicherzustellen.
Übungen: Stellen Sie die Prozesse und die Handlungsfähigkeit sicher, indem Sie Übungen mit den Beteiligten machen. Schon eine kurze "Schreibtisch-Übung" mit allen Beteiligten am Tisch hilft, Lücken und Mängel bei Prozessen, Daten, Logfiles usw. zu erkennen und diese abzustellen, um im Ernstfall bereit zu sein.
Zusammenarbeit mit Dienstleistern: Stellen Sie sicher, dass Ihre IKT-Dienstleister die DORA-Anforderungen zum Meldewesen verstehen und unterstützen können. Damit sind nicht nur die Verträge gemeint, sondern auch die Umsetzung im Ernstfall.
Fazit
Die Meldefähigkeit ist also keine Lappalie angesichts der Sanktionsmöglichkeiten und Risiken. Eine gründliche Vorbereitung und die Implementierung bzw. Anpassung robuster Prozesse sind der Schlüssel zur erfolgreichen Umsetzung. Tipp: Schon eine D(ORA)-Day-Übung im Quartal hilft, um dann im Ernstfall besser und schneller zu sein! Und vergessen Sie nicht die relevanten IKT-Drittdienstleister!
Siehe auch:
Comentários