DORA: Bessere Cybersicherheit dank Wirtschaftsprüfer*innen?

Cyberangriffe nehmen weltweit rasant zu – vor allem die Finanzbranche gerät vermehrt ins Visier von Hackern. Um die Institute widerstandsfähiger zu machen, hat die EU den Digital Operational Resilience Act (DORA) verabschiedet. Wirtschaftsprüfer*innen sollen die Umsetzung der Maßnahmen ab 2025 kontrollieren. Sind sie dafür ausreichend vorbereitet?

Digitale Technologien haben heutzutage eine zentrale Bedeutung für die Prozesse der Finanzunternehmen und ihre IT-Dienstleister. Doch je stärker die Unternehmen digitalisieren, desto anfälliger werden sie auch für Cyberangriffe – vor allem in den sensiblen Transformationsphasen. Das ist nicht nur ein Problem für die Institute selbst, denn aufgrund ihrer zentralen Stellung für die finanzielle Infrastruktur können solche Cyberangriffe das gesamte wirtschaftliche Ökosystem bedrohen. Kein Wunder also, dass Regierungen aktuell weltweit neue Rechtsvorschriften einführen, um die Risiken und Auswirkungen von Cyberangriffen zu mindern. Auch die Europäische Union hat reagiert. So ist im Januar 2023 die DORA-Verordnung in Kraft getreten, deren Anforderungen die Unternehmen bereits bis zum 17. Januar 2025 umsetzen müssen.

Gegenüber bestehenden Regelungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wie den Bankaufsichtlichen Anforderungen an die IT (BAIT), den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) und den Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) stellt DORA neue, weitergehende Anforderungen dar. Ob diese regelkonform umgesetzt werden, sollen ab dem Berichtsjahr 2025 zudem Wirtschaftsprüfer*innen bewerten.

Für wen die DORA-Verordnung gilt – und warum man sie umsetzen sollte

DORA gilt für ein breites Spektrum von Finanzinstituten, wie Banken, Versicherungen und Wertpapierfirmen, und auch für deren kritische Technologielieferanten. Auf diese Weise fallen somit auch IT-Dienstleister, wie etwa Rechenzentren, erstmals in den Zuständigkeitsbereich der Finanzaufsichtsbehörden. DORA hat dabei einen breiten geografischen Geltungsbereich und gilt sowohl für Unternehmen, die Niederlassungen in der EU haben, als auch für solche, die Dienstleistungen für ein Finanzinstitut erbringen, das seinen Service in der EU anbietet.

Unternehmen, die in den Geltungsbereich der DORA-Verordnungen fallen, sollten die Regelungen nicht auf die leichte Schulter nehmen. So drohen IT-Dienstleistern bei Nichteinhaltung der gesetzlichen Anforderungen Strafen von bis zu einem Prozent ihres weltweiten Tagesumsatzes. Die BaFin kann die Geldbußen täglich bis zu dem Zeitpunkt verlängern, an dem die Unternehmen die Vorschriften schließlich umsetzen. Generell werden die Strafen für Finanzinstitute von den jeweiligen Ländern festgelegt, in denen diese ansässig sind. Sie können deshalb durchaus auch höher ausfallen, als es die BaFin-Regularien hierzulande vorsehen. Doch es sind nicht die Strafzahlungen allein, die schwarzen Schafen drohen – die Sanktionen der Aufsichtsbehörden könnten auch das Image der betroffenen Unternehmen beschädigen. Da viele Finanzinstitute vom Vertrauen ihrer Kunden leben, könnte die Schädigung des Rufs weitaus kostspieliger sein als die eigentliche Strafzahlung selbst.

Was auf Wirtschaftsprüfer*innen zukommt

Die betroffenen Unternehmen müssen im Hinblick auf DORA in breit gefächerten Handlungsfeldern reagieren. So gilt es alle Cybervorfälle umfassend und systematisch zu erfassen, zu bewerten und deren Ursachen zu analysieren. Dabei müssen Unternehmen gemäß DORA darlegen, wie sie die Anfälligkeit ihrer IT-Assets laufend überwachen und verwalten. Das Themengebiet, mit dem sich Wirtschafts-prüfer*innen ab 2025 ausgiebiger befassen müssen, ist die Prüfung des IT-Risikomanagements und Informationssicherheit. Sie kontrollieren somit, ob die unter DORA fallenden Unternehmen über ausreichend robuste und widerstandsfähige Verfahren zur Verwaltung ihrer IT-Assets verfügen.

Zudem führt DORA eine Reihe neuer Regeln zum Umgang mit Bedrohungsdaten ein, die Unternehmen verpflichten, die europäischen Aufsichtsbehörden innerhalb strenger Fristen über die Einzelheiten der Vereinbarungen zum Austausch von Informationen zu informieren. Schließlich müssen Firmen Testprogramme einführen, welche die Betriebssicherheit ihrer IT-Systeme nachweisen. Unter bestimmten Umständen müssen die Tests von unabhängigen Expert*innen durchgeführt werden. DORA definiert zudem genau, wann und welche Institute spezifische Tests ihrer Informations- und Telekommunikationstechnologien durchführen müssen. Diese Tests können sich auf eingesetzte Werkzeuge, Systeme und Prozesse beziehen und sind in aller Regel im Rahmen bedrohungsorientierter Penetrationstests durchzuführen. Viele dieser Vorgaben sollen durch Wirtschaftsprüfer*innen kontrolliert werden.

Fazit: Unternehmen und Prüfer*innen sollten zeitnah agieren

Wie gezeigt, gibt DORA Unternehmen weitreichende und sehr präskriptive Vorgaben mit Blick auf die Cybersicherheit. Somit wird es die erste und vielleicht größte Herausforderung der Unternehmen sein, zunächst herauszufinden, welche Anforderungen für sie gelten und wie lange sie brauchen werden, um die für die Einhaltung der Vorschriften erforderlichen Strukturen anzupassen beziehungsweise aufzubauen. In der Umsetzungsphase werden viele Unternehmen Sicherheitslücken schließen und auf Cyberlösungen umsteigen müssen, die das von DORA geforderte Funktionsniveau bieten. Je früher sich die Unternehmen mit den DORA-Vorgaben auseinandersetzen, umso höher ist die Wahrscheinlichkeit, dass sie ihre neue Sicherheitsarchitektur fristgerecht aufgebaut haben. Auch Wirtschaftsprüfer*innen sollten nicht bis 2025 warten, bis sie sich mit DORA beschäftigen. Besser früher als später sollten sie sich das entsprechende Umsetzungs- und Prüfungswissen aneignen, um ihre Mandanten auf die gesetzlichen Anforderungen hinzuweisen, Gap-Analysen zu begleiten und die DORA-Readiness beziehungsweise DORA-Reifegradanalysen zu prüfen.

Weitere Infos zum Thema DORA finden Sie auf der Website der BaFin.

Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.