DORA ist da: EU-Verordnung zur IT-Sicherheit im Finanzsektor

DORA: Noch mehr gesetzliche Regelungen für mehr Sicherheit

Der Digital Operational Resilience Act, kurz DORA-Verordnung genannt, soll die IT-Sicherheit im Finanzsektor stärken beziehungsweise gewährleisten. Die Übergangsregelung vom 16. Januar 2023 wurde jetzt durch die verbindliche Verordnung abgelöst, die bereits seit dem 17 Januar für alle Finanzunternehmen und deren IT-Dienstleister:innen gilt – eine Tatsache, um die es ähnlich wie bei der KI-Kompetenz-Pflicht eher weniger lauten Wirbel gab, so dass viele erst jetzt davon erfahren (oder wenn es erste Probleme gibt).

Ziel der DORA-Verordnung: Sie soll sicherstellen, dass Banken, Versicherungen, Finanzdienstleister und auch deren IT-Dienstleister widerstandsfähig gegenüber Cyberangriffen, Systemausfällen oder anderen IT-Risiken sind. Damit soll das gesamte Finanzsystem stabil bleiben. Für diese Firmen gilt DORA.

Das regelt DORA konkret:

1. IT-Risikomanagement:Unternehmen müssen klar nachvollziehbare Prozesse zur Identifikation, Bewertung und Reduzierung von IT-Risiken haben und sämtliche IT-Systeme müssen widerstandsfähig gegen Angriffe und Ausfälle sein.
2. Meldepflichten für IT-Vorfälle: Größere IT-Sicherheitsvorfälle müssen schnell und transparent an die Behörden gemeldet werden.
3. Regeln für externe IT-Dienstleister: Cloud-Anbieter und andere IT-Dienstleister von Finanzunternehmen unterliegen strengeren Kontrollen, es gibt außerdem diesbezüglich eine EU-Aufsichtsbehörde.
4. Resilienz-Tests (Stresstests): Unternehmen müssen regelmäßig testen, ob ihre IT-Systeme gegen Angriffe und Ausfälle gewappnet sind.

Unter den europäischen Aufsichtsbehörden sollen dank besserer Kommunikation miteinander und transparentem Austausch Cyberbedrohungen schneller abgewehrt werden.

Wer von DORA betroffen ist in der Steuerbranche

Besonders relevant ist die DORA-Verordnug für Steuerkanzleien mit digitalisierten Prozessen wie beispielsweise Online-Mandantenportalen und Anbieter von Software aus den Bereichen Finanzen und Steuern, die von Banken oder Finanzdienstleistern genutzt werden – aber auch für Steuerkanzleien, die mit Banken, Versicherungen oder anderen Finanzunternehmen zusammenarbeiten.

Datenschutz und Datensicherhei bei Lexware Office

Die Daten bei Lexware Office werden in mehreren nach DIN ISO 27001 geprüften hochsicheren Rechenzentren gesichert. Zusätzlich werden Datenschutz und Datensicherheit regelmäßig von einer unabhängigen Wirtschaftsprüfungsgesellschaft gemäß IDW PS 880, IDW RS FAIT 1 und GoBD überprüft und bestätigt.

Das müssen Sie jetzt tun und wissen: DORA in 3 Schritten

Gilt DORA für Ihre Kanzlei? Unter Artikel 2 werden für den DORA-Geltungsbereich Details wie die Größe des Unternehmens, die Art der von Ihnen angebotenen Dienstleistungen und Ihre Präsenz in der EU berücksichtigt. Hier prüfen, ob Sie betroffen sind, dann empfehlen wir folgende Schritte:

1. Bestandsaufnahme Cybersicherheit intern

• Gleichen Sie Ihre vorhandene IT-Umgebung mit den DORA-Richtlinien ab und identifizieren Sie die Schwachstellen, um zu sehen, wo Sie in Sachen Cybersicherheit noch nachrüsten müssen.
• Anschließend schließen Sie nach Möglichkeit auch übergangslos die gefundenen Lücken – und erstellen Sie einen Plan:
• Artikel 8 von DORA legt fest, dass Sie Risiken regelmäßig überwachen und bewerten und eine aktuelle Übersicht Ihrer Informationsbestände führen müssen.

2. Drittanbieter, insbesondere als kritisch eingestufte

• Wenn Sie mit externen Finanzdienstleistungs- oder Software-Firmen zusammenarbeiten, insbesondere mit solchen, die gemäß Artikel 31 als kritisch eingestuft sind, dann stellen Sie sicher, dass diese die DORA-Vorgaben vollständig erfüllen.
• Eine Due-Diligence-Prüfung ist empfehlenswert,
• und auch hier benötigen Sie einen Plan, um laufende Überwachung der Vorgaben sicherzustellen.
• Führen Sie gründliche Aufzeichnungen über alles, was mit allen Compliance-Bemühungen zusammenhängt – Risikobewertungen, Vorfallsberichte, Testergebnisse.

3. Pläne für den IT-Sicherheits-Ernstfall

• Legen Sie fest, wie ein Sicherheitsrisiko oder ein Zwischenfall definiert werden und strukturieren Sie einen transparenten Prozess für die Abwicklung von Vorfällen.
• Klassifizieren Sie mögliche Probleme und erstellen Sie Reaktionspläne für verschiedene Risikostufen sowie deren Abwicklung im Fall der Fälle.
• Legen Sie außerdem einen Kommunikationsplan fest, mit dem sichergestellt wird, dass alle Beteiligten involviert werden. Dieses Dokument dient auch als Nachweis gegenüber Aufsichtsbehörden.

***

Gemäß Artikel 26 von DORA müssen Sie außerdem mindestens alle zwei Jahre „Threat-Led Penetration Testing“ (TLPT) der Sicherheitsvorkehrungen an allen Live-Produktionssystemen durchführen. Wie diese Stresstests ablaufen, hat die BAFIN Bundesanstalt für Finanzdienstleistungsaufsicht detailliert erklärt.

Es gibt innerhalb der EU bereit viele unterschiedliche Regelungen zur IT-Sicherheit im Finanzsektor. Warum nun also noch eine? Ganz einfach: DORA soll ein einheitliches Gesetz bieten, das für alle Finanzunternehmen in der EU gleichermaßen gilt. Das Ziel ist, Standards zu setzen, durch die Cyberangriffe und IT-Ausfälle weniger Schäden verursachen können.