DORA ICT-Vorfallbericht: Was EU-Firmen jetzt wissen müssen
Die drei europäischen Aufsichtsbehörden EBA, EIOPA und ESMA haben gemeinsam den ersten Jahresbericht über schwerwiegende ICT-Vorfälle gemäß der Digital Operational Resilience Act (DORA) veröffentlicht. Das zentrale Ergebnis ist deutlich: Rund ein Drittel der 3.383 schwerwiegenden Vorfälle, die von EU-Finanzunternehmen gemeldet wurden, hatte grenzüberschreitende Auswirkungen – ein Beleg dafür, wie tief die gemeinsame Infrastruktur und ausgelagerte Dienstleistungen die operationellen Risikoprofile der Unternehmen miteinander verflochten haben. Der Bericht hebt auch die wachsende Bedrohung durch hochleistungsfähige KI-gestützte Werkzeuge hervor und fordert die Finanzunternehmen auf, ihre Cybersicherheitsstandards entsprechend zu erhöhen.
Was DORA verlangt und warum dieser Bericht existiert
Artikel 22 Absatz 2 von DORA verpflichtet die ESAs, jährlich eine Zusammenfassung der schwerwiegenden ICT-Vorfälle im EU-Finanzsektor zu veröffentlichen. Jede Ausgabe muss mindestens Folgendes abdecken: die Anzahl der Vorfälle, ihre Art, ihre operationellen Auswirkungen und Auswirkungen auf Kunden, ergriffene Abhilfemaßnahmen sowie die entstandenen Kosten. Dieser erste Bericht erfüllt diese gesetzliche Verpflichtung und legt die Basis, an der künftige Jahre gemessen werden.
Wie DORA einen schwerwiegenden ICT-Vorfall definiert
Gemäß DORA ist ein ICT-bezogener Vorfall jedes ungeplante Einzelereignis oder eine Reihe verbundener Ereignisse, das die Sicherheit von Netz- und Informationssystemen beeinträchtigt und die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten nachteilig beeinflusst. Ein schwerwiegender ICT-Vorfall liegt vor, wenn er eine hohe nachteilige Auswirkung auf Systeme hat, die kritische oder wichtige Funktionen unterstützen. Diese Unterscheidung ist wichtig für die Klassifizierung, die Meldefristen und die Aufzeichnung der Abhilfemaßnahmen, die das Unternehmen führen muss.
Wichtigste Erkenntnisse des ersten Jahresberichts
Drei Themen stechen aus den Daten hervor.
Grenzüberschreitende Risiken sind bereits erheblich
Von den 3.383 gemeldeten schwerwiegenden Vorfällen hatte etwa jeder dritte eine grenzüberschreitende Dimension. Die ESAs führen dies auf die vernetzte Infrastruktur und die gemeinsame Nutzung von Drittdienstleistern zurück. Die Implikation ist, dass eine Störung bei einem einzelnen Technologieanbieter oder Cloud-Provider gleichzeitig mehrere Finanzunternehmen in verschiedenen Mitgliedstaaten betreffen kann.
Systemausfälle und externe Ereignisse treiben das Volumen an
Die vorherrschenden Ursachen waren Systemausfälle und externe Ereignisse und nicht gezielte Angriffe. Dies unterstreicht den regulatorischen Fokus auf das Management von Drittanbieterrisiken, die effektive Überwachung ausgelagerter Dienstleistungen und klare Vorkehrungen für Incident-Response und Abhilfemaßnahmen mit Dienstleistern von Anfang an.
Cybersicherheitsvorfälle sind ein kleinerer, aber wachsender Anteil
Cybersicherheitsvorfälle machten etwa 10 % der Gesamtzahl aus. Die direkten Auswirkungen auf Kunden und Transaktionen waren insgesamt im Datensatz begrenzt. Die ESAs behandeln diese 10 % dennoch als vorrangiges Anliegen, insbesondere weil KI-gestützte Angriffswerkzeuge immer leistungsfähiger werden. Von den Finanzunternehmen wird erwartet, dass sie dieser wachsenden Bedrohung mit entsprechend verbesserten Abwehrmaßnahmen begegnen.
Was der Bericht für Compliance-Teams bedeutet
Unternehmen, die unter DORA fallen – darunter Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, Krypto-Dienstleister und eine Reihe anderer regulierter Einrichtungen – stehen vor konkreten Verpflichtungen, die dieser Bericht verstärkt. Das Verständnis, wie DORA ICT-Risikoregeln die Krypto-Buchhaltungs-Workflows beeinflussen, ist jetzt für jedes Unternehmen, das digitale Vermögenswerte hält oder verarbeitet, unerlässlich.
Drittanbieterrisiko ist der Druckpunkt
Die Konzentration grenzüberschreitender Vorfälle, die auf gemeinsame Infrastruktur zurückgehen, sagt den Compliance- und Risikoteams genau, worauf sie sich konzentrieren müssen. Vertragliche Vereinbarungen mit ICT-Drittanbietern, SLA-Überwachung, Ausstiegsstrategien und Konzentrationsrisikobewertungen müssen aktuell und getestet sein. Die Aufsichtsbehörden werden in den Folgeberichten prüfen, ob die Unternehmen gehandelt haben.
Das breitere EU-Regulierungsbild für digitale Vermögenswerte entwickelt sich ebenfalls schnell. EU-Gesetzgeber bewerten regulatorische Rahmen für DeFi, Staking und NFTs, was die operationellen Resilienzpflichten im Laufe der Zeit weiter in den Bereich digitaler Vermögenswerte ausdehnen wird.
FAQs
Welche Unternehmen müssen schwerwiegende ICT-Vorfälle unter DORA melden?
DORA gilt für eine Vielzahl von EU-Finanzunternehmen, darunter Banken, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Krypto-Dienstleister, Versicherungsunternehmen und bestimmte als kritisch eingestufte ICT-Drittanbieter. Jedes betroffene Unternehmen muss schwerwiegende ICT-Vorfälle innerhalb festgelegter Fristen klassifizieren, verwalten und seiner zuständigen Behörde melden.
Wie unterscheidet sich ein schwerwiegender ICT-Vorfall von einem normalen ICT-Vorfall unter DORA?
Ein normaler ICT-Vorfall ist jedes ungeplante Ereignis, das die Sicherheit von Netz- und Informationssystemen mit nachteiligen Auswirkungen auf Daten oder Dienste beeinträchtigt. Er wird zu einem schwerwiegenden Vorfall, wenn die nachteilige Auswirkung als hoch eingeschätzt wird und die betroffenen Systeme kritische oder wichtige Funktionen des Unternehmens unterstützen. Die Klassifizierung bestimmt die Meldepflichten und das Niveau der anschließenden aufsichtlichen Prüfung.
Was bedeutet „grenzüberschreitende Auswirkungen“ in der Praxis für Unternehmen?
Ein Vorfall hat grenzüberschreitende Auswirkungen, wenn er Betrieb, Kunden oder Dienstleistungen in mehr als einem EU-Mitgliedstaat betrifft, typischerweise weil die zugrunde liegende Infrastruktur oder der betroffene Drittanbieter Unternehmen in mehreren Rechtsordnungen bedient. Die ESAs verwenden diese Klassifizierung, um systemische Risiken zu bewerten und aufsichtliche Reaktionen zwischen den nationalen zuständigen Behörden zu koordinieren.
Welche Maßnahmen sollten Unternehmen nach diesem Bericht ergreifen?
Mindestens sollten Unternehmen ihre ICT-Drittanbieterrisikoregister überprüfen, sicherstellen, dass die Kriterien zur Vorfallklassifizierung mit DORA-Definitionen übereinstimmen, bestätigen, dass Meldeverfahren und -fristen dokumentiert und getestet sind, und bewerten, ob die aktuellen Cybersicherheitskontrollen für KI-gestützte Angriffsszenarien ausgelegt sind. Die Erkenntnisse der ESAs zu Systemausfällen weisen auch auf einen Bedarf an stärkerer vertraglicher und betrieblicher Überwachung ausgelagerter Dienstleistungen hin.
Werden die ESAs weitere DORA-Vorfallberichte veröffentlichen?
Ja. Artikel 22 Absatz 2 von DORA schreibt einen jährlichen Bericht vor. Jede weitere Ausgabe wird auf der Basis aufbauen, die mit dieser ersten Veröffentlichung gelegt wurde, sodass Aufsichtsbehörden und der Markt Trends bei Vorfallvolumina, Ursachen, grenzüberschreitender Ausbreitung und der Wirksamkeit von Abhilfemaßnahmen im gesamten EU-Finanzsektor verfolgen können.
Quelle: ESMA
