Zu Hauptinhalt springen
Branche
Hochhäuser von unten fotografiert.

Die Regulierung der Cloud als Kritische Infrastruktur: Regulatorische Neuerungen in Europa mit der DORA-Verordnung

Die Finanzdienstleistungsbranche hat sich in den vergangenen Monaten mit einem rasanten Schwenk auf die Modernisierung ihrer Systeme eingestellt. Vielfach kommt die Microsoft Cloud for Financial Services als Plattform für Schlüsselfunktionen wie Mitarbeiterproduktivität, Front- und Back-End-Geschäftsanwendungen und den skalierbaren Betrieb der zugrundeliegenden Infrastruktur zum Einsatz. Externe Faktoren wie die Coronavirus-Pandemie, immer komplexere Cyberbedrohungen und geopolitische Ereignisse ziehen zugleich dynamische Veränderungen und damit auch Unsicherheiten nach sich. Hier sind Finanzinstitute stärker als bisher auf die Möglichkeiten der Hyperscale-Cloud angewiesen, um ihre Abläufe zu unterstützen, und das unabhängig davon, in welchem Teil der Welt sie operieren.

Microsoft Cloud for Financial Services

Innovationen beschleunigen – nachhaltiges Wachstum fördern

Jetzt mehr erfahren >

Angesichts dieser dynamischen Veränderungen und neuen Geschäftsanforderungen werden auch die regulatorischen Vorgaben immer wieder überarbeitet. Schließlich sollen verbindliche Standards gesetzt werden, um die aufkommenden Trends rechtssicher abzubilden. Die Richtlinien geben Finanzinstituten Klarheit und Flexibilität, damit sie selbst in diesem anspruchsvollen Umfeld agiler handeln können. Gleichzeitig soll sichergestellt werden, dass die Finanzunternehmen ihre technologischen Lösungen von Drittanbietern auf sichere und solide Weise betreiben und nutzen. Mit der Regulierung auf einem flexiblen, prinzipienbasierten und zugleich ergebnisorientierten Grundsatz wird so ein Rahmen für sichere Operationen unter Aspekten wie Cybersicherheit, Datenschutz und Ausfallsicherheit geschaffen. Dies fördert nicht nur Innovationen, sondern trägt auch dem technologischen Wandel Rechnung, der sich derzeit in immens hohem Tempo vollzieht.

Die zunehmende Abhängigkeit von externen Serviceprovidern für Informations- und Kommunikationstechnologie (IKT) hat letztlich bei Regulierungsbehörden auf der ganzen Welt zu einer erhöhten Aufmerksamkeit für dieses Thema geführt, und es wurden verschiedene Vorgaben zur Verbesserung der Cyberresilienz von Finanzunternehmen wie Banken, Versicherungsunternehmen und Wertpapierfirmen diskutiert. In diesem Zusammenhang sieht die Europäische Union mit dem Digital Operational Resilience Act (DORA) ein neues Regelwerk vor, um die digitale Betriebsstabilität für alle beaufsichtigten Finanzinstitute innerhalb der EU gegenüber IKT-bezogenen Vorfällen zu stärken. Auch in anderen Ländern wie Großbritannien oder den USA werden ähnliche Initiativen vorangetrieben.

„In der DORA-Verordnung werden einheitliche Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen Dritten, die ihnen Dienstleistungen im Bereich IKT (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste bereitstellen, festgelegt. Mit der DORA-Verordnung wird ein Rechtsrahmen für die digitale Betriebsstabilität geschaffen, nach dem alle Unternehmen sicherstellen müssen, dass sie in der Lage sind, allen Arten von Störungen und Bedrohungen im Zusammenhang mit IKT standzuhalten, darauf zu reagieren und sich von ihnen zu erholen. Diese Anforderungen sind in allen EU-Mitgliedstaaten einheitlich. Das Kernziel besteht darin, Cyberbedrohungen zu verhindern und zu mindern.“

– Rat der EU, Pressemitteilung, Mai 20221

DORA steht nach unserer Auffassung für einen wichtigen und äußerst begrüßenswerten Schritt auf dem Weg hin zu einem Rechtsrahmen, der einen einheitlichen und konsistenten Ansatz für die Prüfung und Bewertung von Betriebsrisiken etabliert. Es ist auch das erste Mal, dass aus einem sektorspezifischen Rechtsrahmen eine direkte Regulierungsaufsicht über Betreiber von kritischen Infrastrukturtechnologien abgeleitet wird. Innerhalb der Europäischen Union ist der harmonisierte Ansatz von DORA angesichts des grenzüberschreitenden Betriebsmodells und der Gruppenstruktur vieler IKT-Drittanbieter besonders wichtig. Hinzu kommt aus aufsichtsrechtlicher und gesetzlicher Sicht die Notwendigkeit, eine regulatorische Fragmentierung der Mitgliedstaaten zu vermeiden.

Wir unterstützen die Initiative der Europäischen Kommission, des Rates der Europäischen Union und des Europäischen Parlaments, eine verhältnismäßige, wirksame und harmonisierte Regulierung für Europa zu gestalten. Wir setzen auf Partnerschaften mit diesen wichtigen Stakeholdern und mit Verantwortlichen in der Finanzbranche, damit wir als Cloud-Service-Anbieter bestmöglich darauf vorbereitet sind, die Bedürfnisse der Branche zu erfüllen und diese Ansätze als Impuls für unsere eigenen Initiativen zu nutzen. Die positiven Effekte durch eine Modernisierung der Regulierung im Finanzsektor zahlen dabei direkt auf weitere Innovationen und technologische Weiterentwicklungen ein.

Der Weg in die Zukunft: DORA setzt neue Maßstäbe

Wird die DORA-Verordnung wie geplant in Kraft treten, gilt zunächst eine 24-monatige Umsetzungsfrist. So müssen Finanzinstitute und ihre ITK-Betreiber voraussichtlich ab Anfang 2025 das Regelwerk einhalten und die Compliance sicherstellen. Das Wichtigste auf einen Blick:

  • Mehr als 22.000 Finanzunternehmen, die in der EU tätig sind, werden der DORA-Verordnung unterliegen. Das Regelwerk definiert spezifische Anforderungen für alle Finanzmarktteilnehmer – wie Bankinstitute, Wertpapierhändler, Versicherungsanbieter und -vermittler sowie Dienstleistungsunternehmen für Handel oder Depotverwaltung von Crypto-Assets. Zusätzlich gelten die Vorgaben für die Serviceprovider dieser Organisationen, beispielsweise Cloud-Dienstleister wie Microsoft.
  • Mit DORA ergibt sich ein ganzheitliches Rahmenwerk für ein effektives Risikomanagement sowie für das Management von IKT- und Cybersicherheit bei den Drittanbietern. Auf diese Weise soll eine konsistente Bereitstellung von Services über die gesamte Wertschöpfungskette hinweg sichergestellt werden.
  • DORA erstreckt sich auf vier Kernbereiche:
    • IKT-Risikomanagement
    • IKT-bezogenes Incident-Reporting
    • Digital Operational Resilience Testing
    • Aufsicht über kritische IKT-Anbieter

Microsoft möchte Sie als Branchenpartner für den Finanzsektor umfassend unterstützen, und unser Commitment erstreckt sich natürlich auch auf die Umsetzung der DORA-Verordnung. Einige Beispiele, wie wir die Vorgaben angehen:

  • IKT-Risikomanagement: Durch DORA wird ein ganzheitlicher Managementmechanismus für IKT-Risiken etabliert, den Finanzinstitute erfüllen müssen – einschließlich Identifizierung, Schutz und Prävention sowie Detektion, Reaktion und Wiederherstellung im Zusammenhang mit solchen Risiken. In den Microsoft-Diensten bieten wir bereits heute eine breite Palette integrierter IKT-Risikomanagementfunktionen, zum Beispiel: Microsoft Defender for Cloud, das Microsoft 365 Service Health Dashboard und Microsoft Secure Score.
  • IKT-bezogenes Incident-Reporting: Die DORA-Vorgaben werden die Klassifizierung von Vorfällen harmonisieren und gleichzeitig die Meldeprozesse rationalisieren, sodass sich ein systematischeres Vorgehen für die Überwachung, Kontrolle und Nachverfolgung von Incidents ergibt. DORA sieht einen koordinierten Ansatz für die Meldung von IKT-Vorfällen vor und adressiert auch mögliche Überschneidungen beim Reporting (z. B. mit der NIS2-Richtlinie). Microsoft unterstützt solche Anforderungen unter anderem mit Microsoft Defender
  • Digital Operational Resilience Testing: Mit der DORA-Verordnung werden digitale Betriebstests eingeführt, die jährlich bis dreijährlich an kritischen IKT-Systemen und -Anwendungen durchgeführt werden müssen. Dieser neue Ansatz wird die Testkompetenzen der Finanzunternehmen stärken – mit positiven Auswirkungen auf zeitnahe Recovery-Prozesse und die Geschäftskontinuität. Wir ermöglichen es unseren Geschäftskunden derzeit schon, solche Tests über unser Penetration-Testing-Programm durchzuführen. Informieren Sie sich auch über die Microsoft Cloud Penetration Testing – Rules of Engagement.
  • Aufsicht über kritische ITK-Anbieter: In den DORA-Vorgaben ist ein Kommunikationsmechanismus zwischen Finanzaufsichtsbehörden und kritischen IKT-Dienstleistern vorgesehen, was die Steuerung von IKT-Drittrisiken anbetrifft. Microsoft arbeitet unter solchen Aspekten bereits eng mit seinen Geschäftskunden und auch den Aufsichtsbehörden zusammen – einschließlich Audits und behördlicher Überprüfungen.

Innovative Lösungen für den EU-Finanzsektor und weitere Märkte

Unser übergeordnetes Ziel ist es, mit Aufsichtsbehörden weltweit zusammenzuarbeiten und frühzeitig die regulatorischen Rahmenbedingungen aufzugreifen, die Raum für Innovation schaffen, die Sicherheit bei Finanzdienstleistern erhöhen und zugleich die Resilienz im gesamten Finanzwirtschaftssystem zu stärken. Seit über einem Jahrzehnt pflegen wir intensive Kooperationen mit führenden Einrichtungen in der Branche und bauen auf einen kontinuierlichen Dialog mit den Regulierungsbehörden. Dies versetzt uns in eine gute Ausgangsposition, um neue Anforderungen unmittelbar anzugehen und unsere eigenen Prozesse entsprechend anzupassen.

Wir werden auch in Zukunft eng mit den relevanten Behörden zusammenarbeiten, um sicherzustellen, dass diese regulatorischen Ziele erreicht werden. Davon profitieren auch Sie als Finanzdienstleister und Microsoft-Kunde, da wir Sie bei der Innovation und Entwicklung neuer Produkte und Services in der Cloud unterstützen. So sind Sie auf der sicheren Seite, was die langfristige Compliance für Ihre cloudbasierten Lösungen angeht.

Weiterführende Informationen

Erfahren Sie mehr darüber, wie Microsoft Ihre Organisation bei den Compliance-Anforderungen im Zusammenhang mit Cloud-Diensten unterstützt. Um bei allen Neuerungen auf dem Laufenden zu bleiben, empfehlen wir Ihnen unsere Webseite zur Microsoft Cloud for Financial Services.

Außerdem interessant: Auf Finanzdienstleister kommt nicht nur die Umsetzung der DORA-Verordnung zu – auch im Bereich Kritischer Infrastrukturen ergeben sich mit dem 1. Mai 2023 wichtige Änderungen. In unserem neuen Whitepaper zum Thema „IT-Sicherheit für KRITIS-Betreiber erfahren Sie mehr über die Rahmenbedingungen und die Aufgaben, die jetzt für Sie anstehen.

Und kennen Sie schon unseren Microsoft FSI Newsletter? Damit schicken wir Ihnen etwa alle zwei Monate aktuelle Informationen rund um neue Entwicklungen und Trends in Ihrer Branche direkt in Ihr Postfach. Hier können Sie den Newsletter unverbindlich abonnieren.

1 Digitalisierung des Finanzwesens: vorläufige Einigung über die Verordnung über digitale Betriebsstabilität – Consilium (europa.eu)

Susanne Mehrtens
Senior Industry Marketing Manager, Financial Services

Related posts