DORA, Hyperscaler und die Drittbezüge in der Finanzbranche

Im Beitrag Digital Operation Resilience Act haben wir uns übergreifend mit der DORA-Regulation auseinandergesetzt und die Bedeutung dieses Gesetzes für die digitale Betriebssicherheit von EU-regulierten Finanzdienstleistern und die Finanzstabilität der EU beleuchtet.

In diesem Blogpost werden wir einen genaueren Blick auf das Management des IKT-Drittparteienrisikos sowie die Rolle und den Einfluss von Hyperscalern werfen.

Der Einfluss von DORA auf Cloud-Anbieter

Der mit der Verordnung geschaffene Überwachungsrahmen der Union gilt für alle IKT-Drittdienstleister, die nach DORA, Artikel 31, als kritisch für die Systemstabilität der EU eingestuft wurden, einschließlich Anbietern von Cloud-Computing-Diensten. Darüber hinaus gilt dieser Überwachungsrahmen allgemein für Anbieter von Cloud-Computing-Diensten, sofern es keinen horizontalen Rahmen der Union gibt, der eine digitale Überwachungsbehörde etabliert¹.

Um Rechtssicherheit in Bezug auf die Nutzung von Cloud-Computing-Diensten im EU-Finanzsektor zu erzielen, empfiehlt DORA die freiwillige Verwendung von Standardvertragsklauseln in Verträgen mit Cloud-Dienstleistungsanbietern, die von der Kommission für Cloud-Computing-Dienste entwickelt wurden². Dies soll sicherstellen, dass die Verträge zwischen Finanzinstituten und Cloud-Anbietern angemessene Schutzmaßnahmen enthalten und die Risiken aus einer Cloud-Nutzung effektiv kontrolliert werden können.

Die breite Nutzung von Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Dienstleistungen von IT-Dienstleistern ist inzwischen fester Bestandteil der Wertschöpfungskette für Finanzdienstleistungen geworden. Somit sind sie für die Stabilität und Integrität des Finanzsystems der Union inzwischen von entscheidender Bedeutung.

In Bezug auf die Nutzung von Hyperscalern als Anbieter von Cloud-Computing-Diensten entstehen immer wieder Diskussionen über das Risiko der Betriebsstabilität der Finanzinstitute und die Finanzstabilität der EU. Hyperscaler werden oft als kritische IKT-Drittdienstleister eingestuft, da sie eine große Anzahl von Kunden bedienen und diesen oft Kerninfrastruktur abnehmen, die essenziell für den Betrieb sind.

IKT-Störungen bei Hyperscalern hätten somit eine große Reichweite. In Verbindung mit der Interdependenz der Informationssysteme verschiedener Marktteilnehmer entsteht ein unmittelbares und potenziell schwerwiegendes Konzentrationsrisiko für das Finanzdienstleistungssystem der Union und für die Kontinuität bei der Erbringung von Finanzdienstleistungen.

Cybervorfälle können sich im gesamten Finanzsystem potenzieren und erheblich schneller über Branchen und geografische Grenzen hinweg verbreiten als andere Arten von Risiken. Sie haben das Potenzial, sich zu einer Systemkrise mit Unterbrechungen von Funktionen zur Stützung der Realwirtschaft oder erheblichen finanzielle Verlusten auszuweiten. Derartige Szenarien sollen durch die Inkraftsetzung von DORA verhindert werden.

Hyperscalern ist ihre Größe und Reichweite bewusst. Deshalb legen sie in der Regel auch besonderen Wert auf eine eigene stabile Infrastruktur und tragen damit potenziell sogar zu einer Erhöhung der Betriebsstabilität bei ihren Kunden bei. Hyperscalern fällt dadurch auch die teils komplexe und kostspielige Implementierung der DORA-Anforderungen bedeutend leichter als beispielsweise Cloud-Anbieter für kleine und mittlere Unternehmen.

Dadurch besteht die Möglichkeit, dass DORA eine Konsolidierung des Marktes zu Gunsten der Hyperscaler anstößt. Die Konzentration auf wenige große Cloud-Anbieter kann jedoch auch Risiken mit sich bringen, wie beispielsweise ein Konzentrationsrisiko auf Systemebene.

Schließlich bietet DORA Finanzinstituten auch die Möglichkeit, gebündelte Threat-Led-Penetration-Tests (TLPT-Tests) für kritische oder wichtige Funktionen durchzuführen, wenn sie Hyperscaler nutzen. Dies kann zu einer Verringerung der Aufwände für regelmäßige Tests der Betriebsstabilität führen, die durch DORA zusätzlich gefordert werden.

Der Hyperscaler schließt zu diesem Zweck eine vertragliche Vereinbarung mit einem externen Tester, um unter der Leitung eines zu benennenden Finanzunternehmens einen gebündelten TLPT durchzuführen, an dem mehrere Finanzunternehmen beteiligt sind, für die der Hyperscaler IKT-Dienstleistungen erbringt. Es entfällt dadurch eine aufwendige und kostspielige Einzelprüfung – Prüfkosten werden gesenkt und die Effizienz gesteigert.

Gleichzeitig muss jedoch beachtet werden, dass DORA nicht nur verschärfte Anforderungen im Bereich der Sicherheit für kritische Funktionen mit sich bringt, sondern auch im Management von IKT-Drittanbietern im Allgemeinen. Diese zusätzlichen Vorschriften umfassen unter anderem Aspekte wie Auditplanung, Mindestvertragsinhalte und die Erstellung von Informationsregistern für sämtliche Verträge mit IKT-Drittdienstleistern.

Die Leitlinien für das IKT-Drittparteienrisiko sowie strengere Regelungen bezüglich Unterauftragsvergaben sind ebenfalls zu beachten. Dies erfordert einen Ausbau der Kontrollaktivitäten, was wiederum als Kostentreiber und Compliancerisiko wirken kann. Der gesteigerte Steuerungsaufwand könnte potenziell die Effizienz- und Kostenvorteile, die DORA und die Digitalisierung im Allgemeinen bieten, beeinträchtigen.

Zusätzlich wird die regelmäßige Risikoanalyse zum IKT-Drittparteienrisiko für Finanzinstitute aufwendiger. Dies gilt insbesondere, wenn sie mit kritischen IKT-Drittdienstleistern zusammenarbeiten müssen, da das systemische Konzentrationsrisiko berücksichtigt werden muss (wie in Artikel 42, Absatz 3, festgelegt).

Die Aufsichtsbehörden informieren IT-Dienstleister über ihre Einstufung als kritische IKT-Drittdienstleister und sprechen verpflichtende Empfehlungen zur Mitigation des Konzentrationsrisikos aus. Der IKT-Drittdienstleister teilt den Finanzunternehmen, für die er Dienstleistungen erbringt, seine Einstufung als kritisch mit.

Ist eine zuständige Behörde der Ansicht, dass ein Finanzunternehmen die in den Empfehlungen festgestellten spezifischen Risiken bei seinem Management der IKT-Drittparteienrisiken nicht oder nicht ausreichend berücksichtigt, kann sie verlangen, die Nutzung oder den Einsatz einer Dienstleistung, die von einem kritischen IKT-Drittdienstleister bereitgestellt wird, vorübergehend teilweise oder vollständig auszusetzen beziehungsweise ganz oder teilweise zu kündigen³.

Dies verdeutlicht die Notwendigkeit einer sorgfältigen Risikobewertung und Überwachung bei der Nutzung von Hyperscalern in der Finanzbranche.

Die Vorteile von DORA für Unternehmen

Compliance:

DORA spielt eine entscheidende Rolle bei der Unterstützung von Unternehmen bei der Einhaltung regulatorischer Standards und technischer Vorschriften. Anforderungen an die Betriebssicherheit und Resilienz im Finanzsektor steigen stetig, Unternehmen müssen sich diesen Herausforderungen anpassen. DORA bietet klare Leitlinien und Anforderungen, die es Finanzinstituten ermöglichen, ihren Verpflichtungen im Bereich der Betriebssicherheit gerecht zu werden.

DORA trägt dazu bei, die Technologie- und Betriebsstandards zu definieren, die erforderlich sind, um die Integrität des Finanzsystems zu gewährleisten und wirkt sich somit auch auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz, einschließlich des Schutzes personenbezogener Daten aus.

Erhöhte Sicherheit:

Die Implementierung von DORA bringt erhöhte Sicherheit für in der Cloud gespeicherte Daten mit sich. Dies wird besonders relevant, wenn Drittbezüge in die IT-Infrastruktur eingebunden sind. DORA legt klare Sicherheitsstandards und Überwachungsmechanismen fest, die auch dazu beitragen, das übergreifende Risiko von Datenlecks zu minimieren.

Finanzinstitute sind angehalten, strenge Sicherheitsprotokolle und Datenschutzmaßnahmen zu implementieren, um den Anforderungen von DORA gerecht zu werden. Dadurch wird nicht nur das Vertrauen der Kunden gestärkt, sondern auch das Risiko finanzieller Verluste und rechtlicher Konsequenzen im Zusammenhang mit Sicherheitsverletzungen deutlich verringert. Die erhöhte Sicherheit, die DORA bietet, ist somit von entscheidender Bedeutung für die digitale Betriebssicherheit in der Finanzbranche.

Effizienz:

Eine klare und gut verwaltete Drittbezugsstrategie ermöglicht Unternehmen, die Vorteile der Cloud voll auszuschöpfen, ohne dabei die Sicherheit zu vernachlässigen. Indem Unternehmen DORA-Richtlinien einhalten, schaffen sie eine Umgebung, die Sicherheit und Effizienz miteinander verbindet. Dies ermöglicht es ihnen, die Skalierbarkeit und Ressourceneffizienz der Cloud zu nutzen, um ihre IT-Infrastruktur flexibel an sich ändernde Anforderungen anzupassen.

Eine sorgfältig geplante Drittbezugsstrategie trägt dazu bei, unnötige Ausgaben zu vermeiden und Ressourcen optimal zu nutzen. Dies kann langfristig die Effizienz steigern und die Wettbewerbsfähigkeit des Unternehmens stärken. Es ist jedoch wichtig zu beachten, dass die tatsächlichen Auswirkungen von DORA auf die Effizienz erst nach seiner Umsetzung im Jahr 2025 vollständig bewertet werden können.

Die Herausforderung besteht darin, die richtige Balance zwischen regulatorischer Einhaltung und Effizienz zu finden, und dies wird von der Umsetzung und Anpassung der Unternehmen abhängen.

Fazit

Zusammenfassend kann festgehalten werden, dass DORA, Hyperscaler und Drittbezüge in der Finanzbranche eine komplexe Verflechtung darstellen.

DORA hat das Ziel, die Betriebssicherheit zu stärken, indem es klare Vorgaben einführt. Die Rolle der Hyperscaler ist zweischneidig: Sie bieten Stabilität, aber auch Konzentrationsrisiken. Drittbezüge, besonders in der Cloud, erfordern genaue Prüfung und Überwachung.

Die Implementierung von DORA bietet Unternehmen die Chance, Sicherheit und Vertrauen zu stärken, erfordert jedoch enge Zusammenarbeit und Aufmerksamkeit. Insgesamt ist DORA ein notwendiger Schritt in einer digitalen Welt, in der Betriebssicherheit von entscheidender Bedeutung ist.