DORA und die Schweiz: Eine Analyse der EU-Verordnung und ihrer Auswirkungen auf Schweizer Unternehmen
In einer zunehmend digitalen Welt, in der technologische Innovationen das Fundament globaler Finanzsysteme bilden, hat die Europäische Union einen wichtigen Schritt unternommen, um die Resilienz und Sicherheit des Finanzsektors zu stärken. Mit der Einführung des Digital Operational Resilience Act (DORA) setzt die EU neue Standards für die digitale Widerstandsfähigkeit von Finanzdienstleistern. Doch welche Folgen hat diese Verordnung für Schweizer Unternehmen, die im EU-Finanzmarkt aktiv sind oder diesen bedienen? In diesem Artikel beleuchten wir die Kernpunkte von DORA, klären die damit verbundenen Anforderungen und untersuchen, wie Schweizer Finanzakteure und IKT-Dienstleister in diesem neuen regulatorischen Umfeld navigieren können.
Was ist DORA?
Im November 2022 verabschiedete die Europäische Union die finale Fassung der Verordnung über die digitale operationelle Resilienz im Finanzsektor, bekannt als DORA. Diese Verordnung erhöht die digitale Widerstandsfähigkeit von Finanzdienstleistern durch strenge Anforderungen an die Informations- und Kommunikationstechnologie (IKT). Ziel ist es, durch den Schutz der Integrität, Verfügbarkeit und Sicherheit kritischer Systeme das Risiko von Cyberangriffen und anderen digitalen Bedrohungen zu minimieren.
DORA unterscheidet sich deutlich von anderen Regelwerken wie der DSGVO[1] und NIS2[2]. Während die DSGVO und NIS2 breitere Anwendungsbereiche abdecken, konzentriert sich DORA gezielt auf die Stärkung der digitalen Resilienz im europäischen Finanzsektor.
DORA trat am 16. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 verbindlich. Angesichts des näher rückenden Stichtags ist es entscheidend, dass Organisationen die Anforderungen von DORA verstehen und umsetzen.
Anwendungsbereich von DORA
DORA betrifft eine Vielzahl von Finanzinstituten, darunter Banken, Zahlungsdienstleister, E-Geld-Institute, Wertpapierfirmen, Versicherungsunternehmen und Krypto-Asset-Unternehmen. Zudem erstreckt sich die Verordnung auf „kritische“ IKT-Drittanbieter, die diese Finanzunternehmen unterstützen. Die Einstufung eines Anbieters als kritisch basiert auf Faktoren wie:
– den potenziellen Auswirkungen eines großflächigen Ausfalls auf die Finanzdienstleistungen,
– der Bedeutung der auf den Anbieter angewiesenen Unternehmen, und
– der Schwierigkeit, den Anbieter zu ersetzen.
Kritische Anbieter müssen nachweisen, dass sie die vertraglichen Vorgaben von DORA einhalten, um weiterhin Finanzunternehmen in der EU bedienen zu dürfen.
Ziele von DORA
Das Hauptziel von DORA ist die Stärkung der operationellen Widerstandsfähigkeit von Finanzinstituten angesichts wachsender Cyberbedrohungen. Dies wird durch zwei zentrale Maßnahmen erreicht: Erstens harmonisiert DORA die Cybersicherheits- und Risikomanagementvorschriften für Finanzinstitute, zweitens schafft es einen umfassenden Rahmen, der sämtliche Aspekte des Risikomanagements abdeckt.
Welche Pflichten entstehen?
DORA legt einen detaillierten Rahmen für die digitale Belastbarkeit fest und richtet sich an eine breite Palette von Finanzdienstleistern. Banken, Versicherungsunternehmen, Investmentfirmen, Zahlungsdienstleister, Clearingstellen und Fintechs unterliegen somit neuen Pflichten. Dazu gehören:
– die Meldung bedeutender ICT-Vorfälle an die zuständigen Behörden,
– die Überprüfung der digitalen Betriebsfestigkeit,
– der Informationsaustausch über Cyberbedrohungen und
– die Einführung eines effektiven IKT-Risikomanagements.
Zudem gibt es klare Vorgaben für die vertraglichen Beziehungen zwischen Finanzunternehmen und IKT-Drittanbietern, besonders für Anbieter außerhalb der EU. DORA regelt auch die Aufsicht über als kritisch eingestufte IKT-Dienstleister und legt Anforderungen an die Zusammenarbeit mit den Aufsichtsbehörden fest.
Auswirkungen auf Schweizer Unternehmen
Schweizer Finanzunternehmen und IKT-Dienstleister, die Geschäftsbeziehungen mit EU-Finanzinstituten oder deren Kunden unterhalten, müssen die Vorgaben von DORA einhalten. Dies betrifft Unternehmen, die IT-Services für EU-basierte Tochter- oder Schwesterunternehmen erbringen, ebenso wie solche, die direkt mit in der EU ansässigen Finanzdienstleistern arbeiten.
Finanzunternehmen mit Sitz in der EU dürfen die Dienstleistungen eines als kritisch eingestuften IKT-Drittdienstleisters mit Sitz in einem Drittland (wie der Schweiz) nur dann in Anspruch nehmen, wenn dieser innerhalb von zwölf Monaten nach der Einstufung ein Tochterunternehmen in der Union gegründet hat.
Ein kritisch eingestufter IKT-Dienstleister ist ein externer Anbieter von Informations- und Kommunikationstechnologiedienstleistungen (IKT) für Finanzunternehmen, dessen Dienste als systemrelevant angesehen werden. Diese Einstufung erfolgt, wenn die Stabilität, Kontinuität oder Qualität der Finanzdienstleistungen bei einem Ausfall des Anbieters erheblich beeinträchtigt würde. Kriterien für diese Einstufung umfassen die Abhängigkeit von Finanzunternehmen von den Diensten des Anbieters, den systemischen Einfluss auf den Finanzsektor und die Schwierigkeit, den Anbieter zu ersetzen. Kritisch eingestufte Anbieter unterliegen besonderen Überwachungs- und Regulierungsanforderungen durch die europäischen Aufsichtsbehörden (ESAs).
Risikomanagement im Bereich Cybersicherheit
Ein zentrales Element von DORA ist die Verbesserung des Risikomanagements im Bereich Cybersicherheit. Schweizer Finanzunternehmen müssen ihre Systeme und Anwendungen kontinuierlich bewerten, um potenzielle Schwachstellen zu identifizieren und entsprechende Schutzmaßnahmen zu ergreifen. Eine ständige Überwachung der IT-Risikolandschaft ist unerlässlich, um auf neue Bedrohungen schnell reagieren zu können.
Sicherstellung der Geschäftskontinuität
Schweizer Unternehmen müssen zudem robuste Strategien zur Sicherstellung der Geschäftskontinuität entwickeln. Diese beinhalten den Schutz kritischer Systeme und Daten vor Cyberangriffen sowie die Erstellung von Notfallplänen, die eine schnelle Wiederherstellung der Betriebsfähigkeit nach einem Vorfall ermöglichen.
Reaktion auf IT-Sicherheitsvorfälle
DORA fordert von Unternehmen, IT-Sicherheitsvorfälle rasch zu erkennen und angemessen darauf zu reagieren. Eine schnelle Reaktion und die enge Zusammenarbeit mit den Aufsichtsbehörden sind dabei essenziell.
Regelmäßige Tests zur Überprüfung der Resilienz
Schweizer Finanzinstitute müssen regelmäßige Tests zur Überprüfung ihrer digitalen Widerstandsfähigkeit durchführen. Dies stellt sicher, dass bestehende Schutzmaßnahmen wirksam sind und potenzielle Sicherheitslücken rechtzeitig geschlossen werden.
Drittanbieter
DORA weitet das Risikomanagement auf Drittanbieter wie Cloud-Services und andere IT-Dienstleister aus. Unternehmen müssen sicherstellen, dass ihre Lieferanten strenge Sicherheitsstandards einhalten, um das Risiko von Sicherheitsverletzungen zu minimieren.
Sanktionen bei Nichteinhaltung
Die Nichteinhaltung der DORA-Vorgaben kann erhebliche finanzielle Sanktionen nach sich ziehen. Finanzinstitute riskieren Strafen von bis zu 2 % ihres jährlichen weltweiten Umsatzes. Für Einzelpersonen kann eine Strafe von bis zu 1.000.000 EUR verhängt werden. Auch die Nichtmeldung wesentlicher IKT-Vorfälle oder Cyberbedrohungen kann zu Strafen führen.
Kritische Drittanbieter von IKT-Dienstleistungen, die den Anforderungen nicht nachkommen, riskieren Geldbußen von bis zu 5.000.000 EUR. Für Einzelpersonen liegt die Höchststrafe bei 500.000 EUR.
DORA kann in der Schweiz nicht direkt vollstreckt werden, da es sich um eine EU-Verordnung handelt. Schweizer Unternehmen, die jedoch im EU-Finanzmarkt tätig sind oder Dienstleistungen für EU-Finanzinstitute erbringen, müssen die Anforderungen von DORA einhalten, um weiterhin Geschäfte in der EU zu tätigen. In einigen Fällen, wie bei als kritisch eingestuften IKT-Dienstleistern, müssen diese ein Tochterunternehmen in der EU gründen. Schweizer Firmen, die unter den Anwendungsbereich von DORA fallen, müssen daher ihre Prozesse und IT-Systeme entsprechend anpassen, um potenziellen Sanktionen zu entgehen.
Zusammenfassung
DORA ist eine wegweisende EU-Verordnung, die Finanzinstitute und ihre IKT-Anbieter dabei unterstützt, digitale Störungen und Bedrohungen zu bewältigen. Durch die strikten Anforderungen an das IKT-Risikomanagement und die operationelle Resilienz trägt DORA dazu bei, die Sicherheit des Finanzsektors in der EU zu erhöhen.
Für Schweizer Unternehmen, die im EU-Markt tätig sind, bietet DORA eine Herausforderung, aber auch eine Chance, die eigenen Sicherheitsstrategien zu überdenken und zu stärken. Durch die rechtzeitige Implementierung der DORA-Vorgaben können sie nicht nur Sanktionen vermeiden, sondern auch ihr Ansehen bei Kunden und Partnern verbessern und ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen erhöhen.
***
Sind Sie ein Finanzinstitut oder ein IKT-Unternehmen, das in der EU tätig ist oder EU-Finanzdienstleister bedient? Kontaktieren Sie uns, um zu erfahren, ob DORA für Sie relevant ist und welche Pflichten sich daraus ergeben.
[1] DSGVO steht für Datenschutz-Grundverordnung (offiziell: Verordnung (EU) 2016/679), die EU-weite Vorschriften zum Schutz personenbezogener Daten regelt
[2] Die NIS 2-Richtlinie ist die überarbeitete Version der ursprünglichen NIS-Richtlinie (Richtlinie (EU) 2016/1148) und wurde als Richtlinie (EU) 2022/2555 am 14. Dezember 2022 veröffentlicht. Sie zielt darauf ab, die Cybersicherheitsmaßnahmen in der EU zu stärken und erstreckt sich auf eine breitere Palette von Sektoren und Unternehmen, die für die Gesellschaft als kritisch gelten.
