Die Finanz- und Immobilienbranche hat seit Längerem mit diversen globalen Herausforderungen zu tun, darunter Inflation, Zinswende, erhöhte ESG-Anforderungen und eine zunehmende Digitalisierung. Auch wenn sich schon vieles bewegt hat, steht die Branche in einigen Bereichen noch vor großen Hürden, zum Beispiel bei länderübergreifenden Immobilieninvestments. Auch im Bereich des Datenmanagements und der Datensicherheit besteht ein hoher Handlungsdruck. Eine Verordnung der Europäischen Union bringt bei regulierten Finanzdienstleistern nun Schwung in die Weiterentwicklung der unternehmensseitigen IT-Systeme und Prozesse in Richtung digitaler Resilienz. Der Digital Operational Resilience Act (DORA) zur digitalen Betriebssicherheit im Finanzsektor soll einen einheitlichen Rahmen für das Management von Cybersicherheit und Risiken im Bereich Informations- und Kommunikationstechnologie auf den Finanzmärkten schaffen.
DORA bringt erhebliche Anforderungen mit sich
Die DORA-Verordnung trat zwar bereits im Januar 2023 in Kraft, die davon betroffenen Unternehmen in den EU-Staaten haben aber eine zweijährige Umsetzungszeit. Dennoch sind diese gut beraten, sich frühzeitig damit zu beschäftigen und erste Projektphasen zu planen sowie zu starten, zum Beispiel eine Umsetzungsplanung und eine Gap-Analyse. Denn die aus den bisher veröffentlichten DORA-Dokumenten bekannten Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen sind erheblich und die erforderlichen umzusetzenden Maßnahmen sind unter Umständen langwierig, auch wenn es in Sachen Informationssicherheit bereits verbindliche regulatorische Vorgaben aus BAIT (Banken), KAIT (Kapitalverwaltungsgesellschaften) und VAIT (Versicherungen) für in Deutschland zugelassene und operierende Finanzdienstleistungsunternehmen gibt.
Ein wichtiger Aspekt von DORA ist eine vereinheitlichte Pflicht zur Meldung von schwerwiegenden Sicherheitsvorfällen für alle unter die Richtlinie fallenden Unternehmen. Da die Verordnung mit wenigen Ausnahmen für alle regulierten Finanzunternehmen in der EU gilt, müssen zum Beispiel auch Anbieter beziehungsweise Verwalter alternativer Investmentfonds jeden Cyberangriff melden, der ihre Geschäftsabläufe beeinträchtigt. Das kann für sie gleichzeitig bedeuten, mehr Kapazitäten für die Überwachung ihrer digitalen Systeme und für das Melden von Sicherheitsvorfällen bereitzustellen. Für viele heißt das sicherlich auch, ihre Budgets anzupassen, um in digitale Sicherheit und Überwachung investieren zu können. In der Regel fängt es mit einer Bestandsanalyse an. So müssen geeignete Verfahren zur Prüfung der digitalen Resilienz erst einmal eingeführt werden, um beurteilen zu können, wie hoch das Risiko von Cyberangriffen ist. Und es müssen gegebenenfalls die heute bereits vorgegebenen Strukturen auf den Gebieten Informationssicherheit und Informationstechnologie weiter ausgebaut werden. Ein weiterer Aspekt zur Stärkung der Cyberresilienz ist die regelmäßige Schulung und die Sensibilisierung der Mitarbeiter im Unternehmen, um das Risiko potenzieller Angriffe auf diesem Wege zu reduzieren.
Schließlich sind die Finanzunternehmen dazu verpflichtet, ein internes Governance- und Kontrollframework zur Steuerung von Risiken zu haben. Es muss ein Programm zur Überprüfung der digitalen Betriebsfestigkeit umgesetzt und Tests müssen durchgeführt werden, um zum Beispiel Schwachstellen zu bewerten. Auch bei der Zusammenarbeit mit Drittanbietern sind Unternehmen vollständig für die Einhaltung der Verordnung verantwortlich. Deshalb müssen diese ebenfalls überwacht, geeignete Maßnahmen dafür gefunden und gegebenenfalls Verträge gemäß DORA-Verordnung angepasst werden.
DORA schiebt Entwicklungen an und macht die Branche widerstandfähiger
Das alles ist aber nicht nur Aufwand und Hürde. Die Umsetzung der DORA-Vorschriften könnte sich durchaus auch positiv auf die digitale Weiterentwicklung der gesamten Branche auswirken. Denn Unternehmen sind nun gefordert, ausreichende Maßnahmen zum Schutz der Daten und Systeme einzuführen – das ist eine Chance für eine nachhaltige Verbesserung durch Investition in neue Technologien und Prozesse sowie in die Weiterbildung der Mitarbeiter.
Es wird erwartet, dass die Umsetzung von DORA unter der Überwachung der BaFin die Zusammenarbeit der verschiedenen Akteure in der regulierten Finanzbranche insgesamt fördert und dazu beiträgt, dass diese – einschließlich ihrer IT-Dienstleister – besser auf Cyberangriffe vorbereitet sind. Das wiederum könnte dazu beitragen, das Vertrauen der Kunden, institutionelle wie auch private Anleger, in die Immobilien- und Finanzbranche zu stärken.
FAZIT: Der Digital Operational Resilience Act (DORA) der EU verändert das Bewusstsein für digitale Systeme und Prozesse. Einige DORA-Anforderungen sind bereits aus anderen Regularien bekannt, beispielsweise die deutschen Mindestanforderungen an das Risikomanagement (MaRisk) sowie die deutschen aufsichtlichen Anforderungen an die IT in regulierten Finanzdienstleistungsunternehmen (BAIT, KAIT, VAIT). Das erleichtert zwar ein Stück weit die Umsetzung der DORA-Verordnung. Dennoch erfordert diese durch teilweise abweichende beziehungsweise detailliertere Vorschriften auch Anpassungen und Maßnahmen in erheblichem Umfang. Die Einhaltung der neuen Vorschriften kann relevante Investitionen in Technologien und Sicherheitsmaßnahmen erfordern, aber auch die Koordination zwischen den Akteuren in der Branche fördern. Es gibt momentan auch noch einige offene Fragen, zum Beispiel zu den technischen Umsetzungsanforderungen oder auch zu den Auswirkungen beziehungsweise Vorgaben für regulierte Finanzdienstleister, wenn diese Aufgaben an IT-Dienstleister auslagern, die selbst von der Regulierung miterfasst sind. Manches wird sich im Laufe der zweijährigen Umsetzungsfrist noch ändern, neue Anforderungen werden entwickelt oder modifiziert und vieles wird sich in der Praxis klären. Insgesamt ist aber zu erwarten, dass DORA dazu beitragen kann, die Immobilien- und Finanzwirtschaft widerstandsfähiger gegen Cyberangriffe zu machen und ihre digitale Transformation weiter voranzutreiben.
Beitrag von Dr. Bernhard Martin, Head of Risk Management, Compliance & Information Technology bei der Real I.S. AG
