Institutional Money, Ausgabe 3 | 2024

W er dachte, mit den Richtlinien an die IT- Anforderungen VAIT, KAIT, BAIT und ZAIT sei alles erledigt, irrt. Aktuell hält DORA die Finanzbranche auf Trab, denn mit demDigital Operational Resilience Act (DORA) der EU kommen umfangreiche neue Anforderungen auf eine Vielzahl von Marktteilneh- mern zu. „Die Verordnung schafft ein ,Single Rulebook‘, also europaweite Regeln für das Management von Risiken der Informations- und Kommunikationstechnologie (IKT)“, schreibt die BaFin auf ihrer Homepage. Deadline für die Umsetzung ist der 17. Januar 2025, und die BaFin hat bereits im Sommer 2024 Umsetzungshinweise veröffentlicht. Finanzsektor mit hohem Gefährdungspotenzial „Die Umsetzungen sind in vollemGange.Die meisten Gap- Analysen sind abgeschlossen, Maßnahmen zur Erreichung der DORA-Compliance sind definiert, und erforderliche Budgets sind genehmigt“, erklärt Nadine Schmitz, wo die Branche mit der Umsetzung steht. Sie ist Partnerin bei KPMG in Köln und kümmert sich um den Bereich Finan- cial Services. „Die meisten Unternehmen sind mit wichtigen DORA-Themen rund um die DORA-Strategie, die Defini- tion von kritischen und wichtigen Funktionen oder dem ICT Risk Framework gestartet beziehungsweise haben diese zwischenzeitlich abgeschlossen. Für alle Unternehmen ist die Deadline 17. Januar 2025 herausfordernd“, erklärt Schmitz. Auch wenn die wenigsten Marktteilnehmer eine weitere Regulierung begrüßen dürften, leuchtet der Hintergrund für diese Verordnung ein: Der Finanzsektor arbeitet mit zwei besonders attraktiven Gütern für Cyberkriminelle: Geld und sensiblen Daten. Aufgrund der zunehmenden Di- gitalisierung und der starken infrastrukturellen Vernetzung der Marktteilnehmer wächst die Angriffsfläche. Nicht zu- letzt erhöht auch der zunehmende Einsatz von generativer KI die Risiken. Im Fall von Cyberattacken ist dabei nicht nur das Schadenspotenzial für das betroffene Unternehmen hoch, sondern es besteht die Gefahr, dass die Funktions- fähigkeit des gesamten Finanzsystems beeinträchtigt wird. Die BaFin schreibt, wo die Gefahren lauern: „Die größte Gefahr geht von Ransomware-Angriffen aus. Das sind Schadprogramme, welche die Daten des Opfers verschlüs- seln und erst gegen Zahlung eines Lösegelds wieder freige- ben. Eine andere Variante: Kriminelle können per Ransom- ware-Angriff Daten abziehen und mit deren Veröffentli- chung drohen, sofern nicht ein Lösegeld gezahlt wird.Wenn Systeme abgeschaltet werden müssen, können Kollateral- schäden entstehen.“Schädlich sind auch Distributed-Denial- of-Service-Angriffe (DDoS), bei denen der Angreifer das Datennetz eines Unternehmens mit einer Flut von Daten- Mit dem Digital Operational Resilience Act (DORA) will die Europäische Union einen Rahmen schaffen, mit dem Unternehmen der Finanzbranche robuster gegen Angriffe auf ihre IT-Systeme gemacht werden. Am 17. Januar 2025 kommt DORA zur Anwendung. Mehr digitale Resilienz DORA – Entwicklung und weiterer Zeitplan Ab 17. Januar 2025 sind die Regelungen anzuwenden. Veröffentlicht hat die EU-Kommission den Gesetzentwurf zu DORA am 24. September 2020, und ab 17. Januar 2025 müssen die Institute und Unternehmen den Anforde- rungen von DORA nachkommen. Quelle: BaFin 252 N o . 3/2024 | institutional-money.com STEUER & RECHT | Digital Operational Resilience Act FOTO: © KPMG » DORA ist Chefsache – das ist nicht nur eine der Kernanforderungen von DORA, sondern auch in der praktischen Umsetzung ist es wesentlich. « Nadine Schmitz, Partner Financial Services bei KPMG in Köln