Herr Wendt, am Markt wird immer wieder Kritik laut, bei DORA sei die Idee schon alt und nur die Verpackung neu. Wie beurteilen Sie das?
Das ist auf den ersten Blick richtig und falsch zugleich. Wer sich in das Regelwerk einliest, der wird insbesondere in den Aspekten zur Informationssicherheit so etwas wie ein "Déjà-vu" haben. Richtig ist, dass es in Teilen Regelungen gibt, die wir schon aus den BAIT oder den VAIT kennen. Aber das sind eben nur Teile, die in ihrer Tendenz inhaltlich übereinstimmen.
Wo entstehen denn markante Unterschiede und wie finde ich sie heraus?
Es ist wichtig, sich beispielsweise im Rahmen eines Assessments frühzeitig rauszuarbeiten, wo jetzt Handlungsbedarf besteht. Das hat sehr viel mit der Verflechtung des Informationssicherheitsmanagements und des betrieblichen Kontinuitätsmanagements zu tun. Eine wichtige Klammer bildet dann das IKT-Risikomanagement, vor allem unter Einbindung Dritter wie den IKT-Dienstleistern. Auch die Selbstverpflichtung, die eigene digitale Resilienz regelmäßig überprüfen zu müssen oder die Meldepflichten für IKT-Vorfälle werden infolge von DORA strenger.
Was macht DORA denn anders als die bisherigen Regelwerke, die Einfluss auf die IT von Finanzunternehmen haben?
Mit DORA wird ein einheitlicher, oder besser: ein "vereinheitlichter" Rechtsrahmen für die digitale Betriebsstabilität geschaffen, der in allen EU-Mitgliedsstaaten gleichermaßen gilt. Das ist wirklich neu, aber aufgrund der internationalen Marktaktivitäten der Finanzunternehmen und der IKT-Dienstleister auch dringend geboten. Bislang gibt es auf den nationalen Ebenen noch viele Unterschiede. Cyberattacken aber kennen keine Grenzen. Die Gefahr einer wechselseitigen Ansteckung ist einfach zu groß, als dass wir uns weiterhin ein internationales "Wirrwarr" erlauben könnten.
Also ist dann auch ein Lob für die handelnden EU-Behörden fällig?
Mehr als überfällig. Schon dass die drei im Finanzsektor verantwortlichen Aufsichtsbehörden EBA, EIOPA und ESMA an einem Strang ziehen, ist mehr als bemerkenswert und dürfte im doppelten Wortsinn für mehr Sicherheit sorgen. Wir brauchen doch nur auf unsere eigene Regulierung schauen: BAIT, KAIT, VAIT und ZAIT – alles Regelwerke von der Bafin verfasst, inhaltlich ganz überwiegend deckungsgleich und dennoch in ihrer Dokumentenstruktur nicht 1:1 vergleichbar.
Bleibt die Aufsicht mit DORA ihrer bisherigen Linie treu?
Unbedingt. Wir haben ja zuletzt schon auf nationaler Ebene mit den Novellen der BAIT und VAIT gesehen, dass beispielswiese Informationssicherheits- und Notfallmanagement kontinuierlich an Gewicht gewinnen. Letztlich eine Umsetzung übergeordneter, europäische Direktiven der EBA und der EIOPA. Das zeigt im Übrigen auch die jüngere Prüfungspraxis. Wir müssen uns immer wieder klar machen, dass es letztlich nicht um die IT "per se", sondern um die Stabilität der geschäftlichen Abläufe in den Finanzunternehmen geht, die sich auf die Informations- und Kommunikations-Technologien stützen.
Weitere Informationen zum Thema gibt es hier: DORA-Beratungsangebot.