DORA-Konformität: Ein Leitfaden für FinTechs zu ICT-Risiken (DE)

Was ist DORA? Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung zur Stärkung der Widerstandsfähigkeit von Finanzinstituten gegen ICT-bedingte Störungen.

Wer muss konform sein? Alle EU-Finanzinstitute, einschließlich Banken, Wertpapierfirmen, Versicherungsgesellschaften und FinTechs, sowie ihre kritischen externen ICT-Dienstleister.

Schwerpunkte: DORA schreibt ein robustes ICT-Risikomanagement, die Meldung von Vorfällen, Resilienztests, das Management von Drittanbieterrisiken und den Informationsaustausch vor.

Was ist neu für Identitätsanbieter? Identitätsanbieter werden unter DORA zunehmend genauer geprüft, insbesondere hinsichtlich ihrer Rolle bei der Gewährleistung eines sicheren Zugangs und der Verhinderung unbefugten Zugriffs.

DORA verstehen: Digitale operative Widerstandsfähigkeit stärken

DORA, oder der Digital Operational Resilience Act, stellt eine bedeutende Überarbeitung dar, wie Finanzinstitute in der Europäischen Union ihre digitalen Operationen und ihre Cybersicherheit angehen. Es ist nicht nur eine weitere Compliance-Aufgabe; es ist ein umfassender Rahmen, der sicherstellen soll, dass der Finanzsektor der EU schwere operative Störungen, die durch Informations- und Kommunikationstechnologie (ICT)-Vorfälle verursacht werden, überstehen, darauf reagieren und sich davon erholen kann. Für FinTech-Unternehmen ist das Verständnis und die Umsetzung von DORA entscheidend für den fortgesetzten Betrieb und das Wachstum im EU-Markt. Im Wesentlichen fasst DORA bestehende ICT-bezogene regulatorische Anforderungen zusammen und harmonisiert sie, wodurch einheitliche Regeln geschaffen werden. Das bedeutet, dass Finanzinstitute anstelle einer Vielzahl nationaler Vorschriften einen einzigen, EU-weiten Standard einhalten werden. Die Verordnung legt einen starken Schwerpunkt auf die digitale operative Widerstandsfähigkeit – die Fähigkeit eines Instituts, kritische Geschäftsfunktionen auch bei ICT-Störungen aufrechtzuerhalten. Dies umfasst alles von der Verhinderung von Cyberangriffen bis zur Erholung von Naturkatastrophen, die die IT-Infrastruktur beeinträchtigen. DORAs Geltungsbereich ist breit gefächert und umfasst Banken, Versicherungsunternehmen, Wertpapierfirmen, Zahlungsdienstleister und entscheidend auch FinTechs, die Finanzdienstleistungen anbieten. Er erstreckt sich auch auf kritische externe ICT-Dienstleister, einschließlich solcher, die Cloud-Dienste, Software und Identitätsüberprüfungslösungen anbieten. Diese Einbeziehung bedeutet, dass Sie, wenn Ihr FinTech auf externe Anbieter für wesentliche Funktionen angewiesen ist, sicherstellen müssen, dass diese Anbieter auch die strengen Anforderungen von DORA erfüllen. Dies gilt auch für Ihre eigene Rolle, wenn Sie als kritischer externer Anbieter für andere Finanzinstitute fungieren. Schlüsselsäulen von DORA: * ICT-Risikomanagement: Erfordert einen umfassenden Rahmen, einschließlich Richtlinien, Verfahren und Kontrollen, um ICT-Risiken effektiv zu managen. * ICT-Vorfallsberichterstattung: Schreibt die Klassifizierung und Meldung bedeutender ICT-bezogener Vorfälle an zuständige Behörden innerhalb strenger Fristen vor. * Tests zur digitalen operativen Widerstandsfähigkeit: Erfordert regelmäßige Tests von ICT-Systemen und -Funktionen, einschließlich Schwachstellenanalysen, Penetrationstests und szenariobasierten Übungen. * Management von Drittanbieterrisiken: Legt einen detaillierten Aufsichtsrahmen für das Management von Risiken fest, die aus externen ICT-Dienstleistern resultieren. * Informationsaustausch: Fördert den freiwilligen Austausch von Cyberbedrohungsdaten zwischen Finanzinstituten. Für FinTechs sind die Implikationen klar: Ein proaktiver und robuster Ansatz für das ICT-Risikomanagement ist keine Option mehr, sondern ein regulatorisches Gebot.

FinTech-ICT-Risiken unter DORA navigieren

FinTech-Unternehmen agieren naturgemäß in einer hochgradig digitalen Umgebung. Ihre Geschäftsmodelle basieren auf Technologie, was sie besonders anfällig für ICT-Risiken macht. DORA bringt eine erhöhte Überprüfung dieser Risiken mit sich und verlangt einen reiferen und umfassenderen Ansatz als je zuvor. Dies beinhaltet das Verständnis des gesamten ICT-Ökosystems, von internen Systemen bis hin zu dem komplexen Netz externer Abhängigkeiten. Die Herausforderung für FinTechs liegt in der dynamischen Natur ihrer Operationen und der schnellen technologischen Entwicklung. Sie übernehmen oft schnell neue Werkzeuge und Dienste, um wettbewerbsfähig zu bleiben, was neue Schwachstellen einführen kann. DORA erfordert einen systematischen Ansatz zur Identifizierung, Bewertung und Minderung dieser Risiken. Dies beinhaltet nicht nur den Schutz vor externen Bedrohungen wie Malware und Phishing, sondern auch die Gewährleistung der Integrität und Verfügbarkeit kritischer Dienste, wie Zahlungsabwicklung, Kontoverwaltung und, wichtig, Identitätsüberprüfung. Betrachten Sie die Rolle von Identitätsanbietern innerhalb eines FinTech-Ökosystems. Diese Dienste sind grundlegend für Know-Your-Customer (KYC)-Prozesse, sichere Anmeldungen und die Betrugsprävention. Unter DORA sind die Widerstandsfähigkeit und Sicherheit dieser Identitätslösungen von größter Bedeutung. Eine Kompromittierung im System eines Identitätsanbieters könnte zu weit verbreitetem unbefugtem Zugriff, Datenlecks und einem vollständigen Zusammenbruch der operativen Kontinuität für das FinTech führen. Daher müssen FinTechs die ICT-Risiken, die mit ihren gewählten Identitätsanbietern verbunden sind, rigoros bewerten und sicherstellen, dass diese die Resilienzstandards erfüllen und über robuste Sicherheitsprotokolle verfügen. Darüber hinaus betont DORA einen 'Von-der-Wiege-bis-zum-Grab'-Ansatz für das ICT-Risikomanagement. Das bedeutet, dass die Risikobewertung in den gesamten Lebenszyklus jedes ICT-Systems oder -Dienstes integriert werden sollte, von der Beschaffung und Entwicklung bis zur Bereitstellung und Stilllegung. Für FinTechs bedeutet dies, Risikobetrachtungen in die Produktentwicklungs-Roadmaps, Auswahlprozesse für Anbieter und sogar in das Design von Benutzeroberflächen einzubetten. Ziel ist es, Widerstandsfähigkeit in die Struktur des Unternehmens einzubauen, nicht sie als nachträglichen Gedanken anzubringen.

Management von Drittanbieterrisiken: Eine kritische Komponente

Einer der bedeutendsten Aspekte von DORA für FinTechs ist sein strenger Rahmen für das Management von Drittanbieterrisiken. Da viele FinTechs stark auf externe Dienstleister für verschiedene Funktionen angewiesen sind – Cloud-Hosting, Softwareentwicklung, Datenanalyse und natürlich Identitätsüberprüfung – ist die effektive Verwaltung dieser Beziehungen für die Compliance entscheidend. DORA verlangt nicht nur sorgfältige Prüfung, sondern auch einen proaktiven und fortlaufenden Aufsichtsprozess. Finanzinstitute müssen ein Verzeichnis aller ICT-Drittanbietervereinbarungen führen. Für jeden kritischen Anbieter muss eine umfassende Bewertung durchgeführt werden. Dies beinhaltet die Bewertung der Sicherheitsmaßnahmen des Anbieters, seiner Kapazitäten zur operativen Widerstandsfähigkeit, seiner Business-Continuity-Pläne und seines eigenen Managements von Subunternehmern. Die Verordnung führt auch das Konzept der 'kritischen' externen ICT-Dienstleister ein, die einer direkten Aufsicht durch europäische Aufsichtsbehörden unterliegen können. Für Identitätsanbieter bedeutet dies den Nachweis der Konformität mit den DORA-Anforderungen. Dies könnte die Bereitstellung detaillierter Dokumentation über ihre Sicherheitszertifizierungen (wie ISO 27001), ihre Verfahren zur Reaktion auf Vorfälle, ihre Maßnahmen zum Datenschutz und ihre eigenen Ergebnisse von Resilienztests beinhalten. FinTechs müssen sicherstellen, dass die Verträge mit diesen Anbietern spezifische Klauseln bezüglich operativer Widerstandsfähigkeit, Prüfrechte und Ausstiegsstrategien enthalten. Über Identitätsanbieter hinaus gilt dies für alle kritischen Anbieter. Wenn ein FinTech einen Cloud-Anbieter für seine Kerninfrastruktur nutzt, ist die Widerstandsfähigkeit dieses Anbieters direkt mit der operativen Widerstandsfähigkeit des FinTechs verbunden. DORA drängt auf ein tieferes Verständnis und Management dieser Interdependenzen. Dies beinhaltet auch das Verständnis des Risikos, das sich aus der Aggregation von Drittanbieterrisiken ergibt – dem kumulativen Risiko, das von mehreren miteinander verbundenen Anbietern ausgeht. Die Verordnung sieht auch die Möglichkeit einer direkten Aufsicht für bestimmte kritische externe ICT-Dienstleister vor. Dies bedeutet, dass große Cloud-Anbieter oder andere wesentliche Dienstleister direkter Prüfung durch EU-Regulierungsbehörden ausgesetzt sein könnten, was den Finanzinstituten, die sich auf sie verlassen, indirekt zugutekommen könnte, indem ein höherer Basisstandard der Widerstandsfähigkeit in der Lieferkette sichergestellt wird.

Identitätsanbieter und DORA-Konformität

Identitätsanbieter spielen eine zentrale Rolle im digitalen Finanzökosystem, und DORA rückt sie ins Rampenlicht. Die Gewährleistung der Sicherheit, Integrität und Verfügbarkeit von Identitätsüberprüfungsdiensten ist für FinTechs, die DORA-Konformität anstreben, nicht verhandelbar. Dies erfordert einen vielschichtigen Ansatz: 1. Robuste Identitätsüberprüfungsprozesse: Identitätsanbieter müssen sichere und widerstandsfähige Methoden zur Überprüfung der Identitäten von Benutzern einsetzen. Dazu gehören starke Authentifizierungsmechanismen, Schutz vor Identitätsdiebstahl und die Einhaltung von Datenschutzbestimmungen wie der DSGVO. Für DORA bedeutet dies, sicherzustellen, dass diese Prozesse nicht nur sicher, sondern auch hoch verfügbar und störungsresistent sind. 2. Sichere Datenverarbeitung: Identitätsdaten sind hochsensibel. Anbieter müssen modernste Sicherheitsmaßnahmen implementieren, um diese Daten vor Lecks zu schützen, einschließlich Verschlüsselung, Zugriffskontrollen und regelmäßiger Sicherheitsaudits. DORA schreibt vor, dass alle ICT-Systeme, die kritische Funktionen unterstützen, vor unbefugtem Zugriff und Datenverlust geschützt sein müssen. 3. Widerstandsfähigkeit und Verfügbarkeit: Identitätsdienste müssen bei Bedarf verfügbar sein. Dies erfordert redundante Infrastrukturen, robuste Notfallpläne und ein effektives Business-Continuity-Management. FinTechs müssen die Verfügbarkeitsgarantien und die Resilienztests ihrer Identitätsanbieter bewerten. 4. Reaktion auf Vorfälle: Im Falle eines Vorfalls müssen Identitätsanbieter klare, schnelle und effektive Pläne zur Reaktion auf Vorfälle haben. Dies beinhaltet die rechtzeitige Benachrichtigung ihrer FinTech-Kunden, damit diese ihren eigenen DORA-Meldepflichten nachkommen können. 5. Management von Subunternehmern: Wenn ein Identitätsanbieter andere Dritte nutzt (z. B. für Datenverarbeitung oder Infrastruktur), muss er sicherstellen, dass diese Subunternehmer ebenfalls die DORA-Standards für ICT-Risikomanagement und operative Widerstandsfähigkeit erfüllen. FinTechs müssen aktiv mit ihren Identitätsanbietern zusammenarbeiten und Nachweise über deren DORA-Bereitschaft oder Konformität anfordern. Dies kann die Überprüfung ihrer Sicherheitsrichtlinien, Auditberichte und Pläne zur Reaktion auf Vorfälle beinhalten. Die Wahl eines Identitätsanbieters, der diese DORA-Anforderungen versteht und adressiert, ist entscheidend für die Risikominderung und die Sicherstellung der Konformität.

Vorbereitung auf DORA: Praktische Schritte für FinTechs

Die Einhaltung von DORA ist ein fortlaufender Prozess, keine einmalige Veranstaltung. FinTechs sollten folgende praktische Schritte unternehmen: * Durchführung einer Lückenanalyse: Bewerten Sie Ihren aktuellen ICT-Risikomanagementrahmen anhand der DORA-Anforderungen. Identifizieren Sie Bereiche, in denen Ihre Richtlinien, Verfahren und Kontrollen unzureichend sind. * Aktualisierung der ICT-Risikomanagementrichtlinien: Stellen Sie sicher, dass Ihre Richtlinien umfassend sind und alle Aspekte von der Bedrohungserkennung über die Reaktion auf Vorfälle bis hin zur Geschäftskontinuität abdecken. * Inventarisierung von Drittanbietern: Führen Sie eine detaillierte und aktuelle Inventarisierung aller externen ICT-Dienstleister und klassifizieren Sie diese nach Kritikalität. * Stärkung der Due Diligence bei Anbietern: Verbessern Sie Ihren Prozess zur sorgfältigen Prüfung und Überwachung von Drittanbietern, wobei Sie sich auf deren operative Widerstandsfähigkeit und Sicherheitsposition konzentrieren. * Implementierung einer robusten Vorfallsberichterstattung: Legen Sie klare Verfahren zur Klassifizierung und Meldung von ICT-Vorfällen an die zuständigen Behörden innerhalb der vorgeschriebenen Fristen fest. * Entwicklung eines Programms zur Resilienzprüfung: Implementieren Sie einen regelmäßigen Zeitplan für die Prüfung Ihrer ICT-Systeme und -Funktionen, einschließlich Penetrationstests und szenariobasierter Übungen. * Schulung Ihrer Mitarbeiter: Stellen Sie sicher, dass Ihre Mitarbeiter ihre Rollen und Verantwortlichkeiten unter DORA verstehen, insbesondere diejenigen, die am ICT-Risikomanagement, der Compliance und dem operativen Geschäft beteiligt sind. * Austausch mit Ihren Identitätsanbietern: Besprechen Sie proaktiv DORA mit Ihren Identitätsanbietern und anderen kritischen Anbietern. Fordern Sie Dokumentation und Zusicherungen über deren Konformitätsbemühungen an. Durch die Umsetzung dieser Schritte können FinTechs nicht nur die DORA-Konformität erreichen, sondern auch ihre digitale operative Widerstandsfähigkeit erheblich verbessern und so mehr Vertrauen bei Kunden und Regulierungsbehörden aufbauen.

Häufig gestellte Fragen zu DORA

Was ist die Frist für die DORA-Konformität?

Die DORA-Verordnung trat offiziell am 17. Januar 2024 in Kraft. Alle betroffenen Finanzinstitute und ihre kritischen externen ICT-Dienstleister müssen bis zu diesem Datum konform sein.

Wie wirkt sich DORA auf Nicht-EU-FinTechs aus, die in der EU tätig sind?

Wenn ein FinTech, unabhängig von seinem Sitz, Dienstleistungen für EU-Finanzinstitute oder direkt für Verbraucher in der EU anbietet, kann es unter den Geltungsbereich von DORA fallen, insbesondere wenn seine Dienstleistungen als kritisch eingestuft werden. Dies beinhaltet Anforderungen an seine externen ICT-Dienstleister.

Welche Strafen drohen bei Nichteinhaltung von DORA?

Zuständige Behörden können erhebliche Bußgelder bei Nichteinhaltung verhängen, die beträchtlich sein können und bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes für Finanzinstitute und bis zu 1 Million Euro für externe ICT-Dienstleister erreichen können.

Bereit zum Start?

Die Bewältigung der Komplexität der DORA-Konformität erfordert einen strategischen Ansatz für das ICT-Risikomanagement und die Überwachung von Drittanbietern. Didit bietet eine robuste Identitätsüberprüfungsplattform, die auf Widerstandsfähigkeit und Sicherheit ausgerichtet ist und FinTechs hilft, strenge regulatorische Anforderungen zu erfüllen.

Erfahren Sie mehr über die Compliance-Funktionen von Didit: Didit Compliance

Entdecken Sie die Plattformfunktionen von Didit: Didit Plattform

Kontaktieren Sie uns für eine personalisierte Demo: Kontakt Didit

Wie Didit Ihre DORA-Haltung unterstützt

Didit ist ein ICT-Drittanbieter, den Sie nachweisen können: ISO/IEC 27001:2022 zertifiziert (Bureau Veritas, Zertifikat ES144068, gültig bis 03.06.2027), SOC 2 Typ 1 bestätigt (ATOM) und liefert die Webhooks und Audit-Trails, die Ihre DORA-Berichterstattung benötigt.

Sehen Sie sich Didits Sicherheit & Compliance an, erkunden Sie die Produkte, überprüfen Sie die Preise und starten Sie kostenlos – 500 kostenlose KYC-Prüfungen jeden Monat.