Gastbeitrag in der Börsen-Zeitung vom 9.11.2022 mit Henriette Peucker, Stellvertreterin des Hauptgeschäftsführers des Bankenverbands.
Mit dem russischen Krieg in der Ukraine und den gegen Moskau verhängten Sanktionen steigt die Anzahl von Cyberattacken sichtbar. Auch wenn Angriffe auf die kritische Infrastruktur westlicher Staaten bislang keine gravierenden Auswirkungen hatten, dürften geopolitisch motivierte Hackerattacken in den kommenden Monaten und Jahren weiter an Bedeutung und Bedrohungspotenzial hinzugewinnen. Die Widerstandsfähigkeit von Unternehmen und staatlichen Einrichtungen muss daher deutlich gestärkt werden. Besonders auch Banken müssen ausreichend geschützt sein.
Der umfassende Rechtsrahmen, der dies in Europa für den Finanzsektor sicherstellen soll, ist der „Digital Operational Resilience Act“, auch Dora genannt. Hier werden die unterschiedlichen Sicherheitsanforderungen an Banken und andere Finanzdienstleister zusammengefasst. Ministerrat und Europäisches Parlament haben sich auf einen Entwurf geeinigt. Wie sehen die Banken das neue europäische Regelwerk zur Cybersicherheit im Finanzsektor?
Aus Bankensicht wird mit Dora ein stabiler Rahmen geschaffen, der die IT-Sicherheit des Finanzsektors erhöht. Zugleich überwindet Dora den bisherigen Flickenteppich an nationalen Vorschriften. Dadurch werden Doppelarbeiten vermieden und Kapazitäten für eine noch wirkungsvollere Cyberabwehr freigesetzt. Ressourcen, die bislang in den Compliance-Abteilungen gebunden waren, können verlagert werden, um die Widerstandsfähigkeit gegen Cyberangriffe zu festigen.
Die Harmonisierung der regulatorischen Vorgaben zur IT-Sicherheit erfolgt dabei auf zwei Ebenen: Zunächst wird die Vielzahl der gegenwärtig noch existierenden nationalen wie europäischen Anforderungen an die Banken in einem Werk zusammengefasst. Dies betrifft unter anderem die Leitlinien der Europäischen Bankenaufsicht zur IT-Sicherheit, das Rahmenwerk zu bedrohungsgeleiteten Penetrationstests (Tiber-DE) oder auch die Richtlinie zur Netz- und Informationssicherheit (NIS-RL1). Dadurch wird es keine Doppelregulierung mehr geben, keine Mehrfachmeldungen, keinen unnötigen Aufwand, um Regulierung A und Regulierung B zusammenzuführen. Dora fasst als „lex specialis“ alle Regulierungsanforderungen zur IT für den Finanzsektor zusammen, so dass keine weiteren Anforderungen aus anderen Bereichen mehr auf die Finanzinstitute zukommen.
In der Folge, und dies ist die zweite Ebene, gelten mit Dora einheitliche Regeln in ganz Europa. Dafür muss die bestehende nationale Regulierung so angepasst werden, dass es keine zusätzlichen oder konterkarierenden Regeln gibt. Diese Anpassungen sind mit einigen Herausforderungen verbunden, denn Dora umfasst zwar sämtliche Aspekte der IT-Sicherheit im Finanzsektor, angrenzende Bereiche der Informations- oder Cybersicherheit unterliegen aber auch weiterhin den derzeitigen Regulierungen. Die BaFin steht vor der nicht unerheblichen Aufgabe, diese Bereiche sauber zu trennen, um eine Doppelregulierung zu vermeiden. Denn nur durch ein lückenloses Ineinandergreifen der einzelnen Puzzleteile lassen sich größtmögliche Stabilität und Sicherheit im Finanzsystem erreichen.
Mit den Umsetzungen der Vorgaben durch Dora bis zum Jahresende 2024 warten auf die IT-Abteilungen der Banken große Aufgaben. Die Zeit ist dabei knapp bemessen. Zwar werden in der Verordnung bereits konkrete Anforderungen genannt, einige Details stehen aber bislang nicht fest. Sie müssen von den drei europäischen Finanzaufsichtsbehörden, den ESAs, noch erarbeitet werden. Mit sogenannten technischen Standards konkretisieren die ESAs dann einzelne Anforderungen der Verordnung, beispielsweise die Frage, wann, von wem und in welchem Format Cyberangriffe gemeldet werden müssen.
Zu enge Umsetzungsfrist
Die Behörden wollen sich für die Erarbeitung dieser Standards bis zu 18 Monate Zeit nehmen. Diese lange Frist mag auch darauf zurückzuführen sein, dass die drei ESAs bisher nur selten gemeinsam Vorgaben erarbeiten haben, um sie dann der Kommission zur Freigabe vorzulegen. Viel wird im weiteren Verlauf also vom effizienten Zusammenspiel der Behörden abhängen.
Der Zeitraum zur Umsetzung für die Banken würde bei Ausnutzung der 18-Monats-Frist auf nur wenige Monate schmelzen. Denn erst wenn die technischen Spezifika feststehen, können die Banken ihre Arbeiten zur Anpassung der Systeme starten: von der Planung über die Projektkonzeption bis hin zur Umsetzung. Da der Arbeitsmarkt für IT-Fachkräfte nahezu leergefegt ist, können Banken auch nicht kurzfristig ihr Personal zur Umsetzung aufstocken.
Aufgrund der Fülle der Anforderungen wäre ein Zeitraum von zwölf Monaten zur Umsetzung für die Banken angemessen. Das heißt, Aufsicht und Kommission sollten bis Ende 2023 alle regulatorischen und technischen Standards verabschiedet haben, damit die Banken diese bis Ende 2024 umsetzen können. Die Arbeiten müssen schließlich im laufenden Betrieb und zusätzlich zu den ohnehin angesetzten Projekten gestemmt werden. Eine sorgfältige Umsetzung ist entscheidend für den Erfolg des Prozesses. Das Ziel eines stabilen, sicheren Finanzmarktes Europa liegt in unser aller Interesse.
Widerstandsfähigere Banken
Unter dem Strich steht: Dora ist ein Schritt in Richtung Harmonisierung der IT-Regulierung, der für die Branche enorm wichtig ist. EU-weite Sicherheitsstandards, harmonisierte Tests und einheitliche Meldestrukturen sind entscheidend für die Vertiefung des europäischen digitalen Binnenmarktes. Vor allem aber: Dora wird die Effizienz bei der Abwehr von Cyberangriffen deutlich steigern und die Widerstandsfähigkeit der Banken stärken.