DORA-Compliance für luxemburgische Finanzunternehmen: Was Sicherheitsteams wissen müssen

DORA: Die Verordnung, die alles für die Finanz-IT verändert

Der Digital Operational Resilience Act (DORA) ist die Antwort der Europäischen Union auf eine einfache, aber entscheidende Frage: Kann das Finanzsystem einen schwerwiegenden ICT-Ausfall verkraften? Nach Jahren hochkarätiger Vorfälle — darunter Cloud-Ausfälle, die Zahlungssysteme lahmlegten, Ransomware-Angriffe auf Finanzinstitute und Lieferkettenangriffe, die mehrere Unternehmen gleichzeitig betrafen — kamen die europäischen Regulierungsbehörden zu dem Schluss, dass die bestehenden Rahmenbedingungen unzureichend waren.

DORA trat am 16. Januar 2023 in Kraft und gilt ab dem 17. Januar 2025. Anders als eine Richtlinie (die in nationales Recht umgesetzt werden muss) ist DORA eine Verordnung, die unmittelbar und einheitlich in allen EU-Mitgliedstaaten einschließlich Luxemburg gilt. Es gibt keine Unklarheiten hinsichtlich der Anwendbarkeit, keine Wartezeiten für nationale Umsetzung und keinen Spielraum für eine abgeschwächte Implementierung.

Für Luxemburg, das Europas größte Investmentfondsbranche beherbergt und ein bedeutendes Zentrum für Bank-, Versicherungs- und Zahlungsdienstleistungen ist, hat DORA weitreichende Auswirkungen. Nahezu jedes von der CSSF beaufsichtigte Unternehmen fällt in den Anwendungsbereich.

Die wesentliche Verschiebung: DORA wandelt das ICT-Risikomanagement von einer fakultativen „Best Practice" in eine gesetzlich vorgeschriebene Verantwortung auf Vorstandsebene mit Durchsetzungsbefugnissen um. Ihr ICT-Risikomanagement-Rahmen ist nicht länger nur eine IT-Angelegenheit; er ist eine regulatorische Verpflichtung.

Wer fällt in den Anwendungsbereich?

DORA gilt für eine breite Palette von Finanzunternehmen, darunter:

• Kreditinstitute (Banken)
• Zahlungsinstitute und E-Geld-Institute
• Wertpapierfirmen
• Verwaltungsgesellschaften (UCITS und AIFM)
• Versicherungs- und Rückversicherungsunternehmen
• Anbieter von Krypto-Asset-Dienstleistungen
• Zentralverwahrer
• Transaktionsregister
• Ratingagenturen
• Crowdfunding-Dienstleister
• Kritische IKT-Drittdienstleister (Cloud-Anbieter, Rechenzentrumsbetreiber, als kritisch eingestufte Softwareanbieter)

Diese letzte Kategorie ist besonders bedeutsam. DORA weitet die Regulierungsaufsicht auf die Technologieanbieter aus, von denen Finanzunternehmen abhängig sind. Wenn Sie Cloud-Dienste, Managed Hosting oder kritische Software für luxemburgische Finanzunternehmen erbringen, können Sie als kritischer IKT-Drittdienstleister eingestuft werden und einer direkten Aufsicht unterliegen.

Die fünf Säulen von DORA

DORA ist um fünf Kernbereiche strukturiert. Sicherheitsteams müssen jeden einzelnen und seine praktischen Implikationen verstehen.

Säule 1: IKT-Risikomanagement-Rahmen

Die Artikel 5 bis 16 verpflichten Finanzunternehmen zur Einführung eines umfassenden IKT-Risikomanagement-Rahmens, der Folgendes umfasst:

• Governance: Das Leitungsorgan (Vorstand bzw. Aufsichtsrat) muss den IKT-Risikomanagement-Rahmen festlegen, genehmigen, überwachen und dafür Verantwortung übernehmen. Die Mitglieder des Leitungsorgans müssen ausreichende Kenntnisse über ICT-Risiken unterhalten, auch durch regelmäßige Schulungen.
• IKT-Risikomanagementstrategie: Eine dokumentierte Strategie, die das Risikoakzeptanzniveau, klare Ziele und IKT-Sicherheitsrichtlinien festlegt.
• Asset-Klassifizierung: Vollständige Bestandsaufnahme und Klassifizierung von ICT-Assets, Informations-Assets und ihren gegenseitigen Abhängigkeiten.
• Schutz und Prävention: Richtlinien und Werkzeuge für die ICT-Sicherheit, einschließlich Zugangsverwaltung, Verschlüsselung, Netzwerksicherheit und Schwachstellenmanagement.
• Erkennung: Mechanismen zur Erkennung anormaler Aktivitäten, einschließlich Sicherheitsüberwachung, Alarmierung und regelmäßiger Tests.
• Reaktion und Wiederherstellung: IKT-Betriebskontinuitätspläne, IKT-Reaktions- und Wiederherstellungspläne, Sicherungsrichtlinien und regelmäßig getestete Wiederherstellungsverfahren.
• Lernen und Weiterentwicklung: Nachbesprechungen nach Vorfällen, Integration von Bedrohungsinformationen und kontinuierliche Verbesserung des Rahmens.

Für luxemburgische Unternehmen, die bereits dem CSSF-Rundschreiben 20/750 (zu ICT-Risiken) entsprechen, ist ein Großteil dieser Struktur vertraut. DORA ist jedoch präziser und führt spezifische Anforderungen ein, die über das bestehende Rundschreiben hinausgehen.

Säule 2: Management IKT-bezogener Vorfälle

Die Artikel 17 bis 23 etablieren einen harmonisierten Rahmen für die Klassifizierung und Meldung von Vorfällen:

• Klassifizierungskriterien: Vorfälle müssen anhand festgelegter Kriterien klassifiziert werden, darunter die Anzahl betroffener Kunden, die Dauer, die geografische Ausbreitung, Datenverluste, die Kritikalität betroffener Dienste und die wirtschaftlichen Auswirkungen.
• Meldefristen: Schwerwiegende IKT-bezogene Vorfälle müssen der zuständigen Behörde (CSSF für die meisten luxemburgischen Unternehmen) innerhalb strenger Fristen gemeldet werden:
  • Erstmeldung: innerhalb von 4 Stunden nach Klassifizierung des Vorfalls als schwerwiegend (und spätestens 24 Stunden nach der Entdeckung)
  • Zwischenbericht: innerhalb von 72 Stunden
  • Abschlussbericht: innerhalb eines Monats
• Freiwillige Meldung: Unternehmen können erhebliche Cyberbedrohungen freiwillig melden, nicht nur tatsächlich eingetretene Vorfälle.

Die 4-Stunden-Frist für die Erstmeldung ist äußerst anspruchsvoll und deutlich strenger als die 24-stündige Frühwarnung gemäß NIS2. Finanzunternehmen müssen über vorbereitete Meldungsvorlagen, klare Eskalationspfade und eingeübte Meldeverfahren verfügen, um diese Anforderung erfüllen zu können.

Säule 3: Tests der digitalen operationellen Resilienz

Die Artikel 24 bis 27 verpflichten Finanzunternehmen zur regelmäßigen Überprüfung ihrer ICT-Systeme und -Werkzeuge. Hier werden Penetrationstests und Red Teaming zu regulatorischen Anforderungen und nicht nur zu Best Practices.

Grundlegende Tests (alle im Anwendungsbereich befindlichen Unternehmen):

• Schwachstellenbewertungen und -scans
• Bewertungen aus Open-Source-Informationen (OSINT)
• Netzwerksicherheitsbewertungen
• Lückenanalysen
• Überprüfungen der physischen Sicherheit
• Quellcode-Überprüfungen (sofern durchführbar)
• Szenariobasierte Tests
• Kompatibilitätstests
• Leistungstests
• End-to-End-Tests
• Penetrationstests

Erweiterte Tests (Threat-Led Penetration Testing, TLPT):

Systemrelevante Finanzunternehmen müssen mindestens alle 3 Jahre TLPT-Tests auf Basis des TIBER-EU-Rahmens durchführen. TLPT ist im Wesentlichen eine Red-Team-Übung, die durch reale, unternehmensspezifische Bedrohungsinformationen gesteuert wird. Sie muss von qualifizierten externen Testern durchgeführt werden (mit begrenzten Ausnahmen für interne Red Teams unter strengen Bedingungen).

Die CSSF wird in Abstimmung mit der EZB für bedeutende Institute festlegen, welche Unternehmen TLPT durchführen müssen. Wenn Sie eine systemrelevante Bank, ein Versicherer oder eine Finanzmarktinfrastruktur in Luxemburg sind, müssen Sie damit rechnen, benannt zu werden.

Säule 4: IKT-Drittanbieter-Risikomanagement

Die Artikel 28 bis 44 sind wohl der transformativste Aspekt von DORA. Sie verpflichten Finanzunternehmen zu:

• Führung eines Registers aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern, klassifiziert nach Kritikalität.
• Durchführung einer Due Diligence vor dem Abschluss von IKT-Outsourcing-Vereinbarungen, einschließlich der Bewertung der IKT-Risikomanagementfähigkeiten des Anbieters.
• Aufnahme verbindlicher Vertragsklauseln in alle IKT-Servicevereinbarungen, die Folgendes abdecken: SLAs, Datenspeicherort und -verarbeitung, Prüfungsrechte, Verpflichtungen zur Vorfallsmeldung, Ausstiegsstrategien und Kooperation mit Regulierungsbehörden.
• Überwachung des Konzentrationsrisikos: Bewertung, ob das Unternehmen übermäßig von einem einzigen ICT-Anbieter abhängig ist, und Aufrechterhaltung von Substitutionsplänen.

Für luxemburgische Verwaltungsgesellschaften und Fondsadministratoren, die stark auf ausgelagerte Technologieplattformen angewiesen sind, erfordert diese Säule eine gründliche Überprüfung bestehender Verträge und Anbieterbeziehungen. Viele bestehende Vereinbarungen müssen angepasst werden, um die von DORA vorgeschriebenen Klauseln aufzunehmen.

Säule 5: Informationsaustausch

Artikel 45 ermutigt (verpflichtet aber nicht) Finanzunternehmen zur Teilnahme an vertrauenswürdigen Vereinbarungen zum Austausch von Cyberbedrohungsinformationen. In Luxemburg bietet die MISP-Plattform von CIRCL eine hervorragende Grundlage dafür, und es gibt bereits mehrere branchenspezifische Austauschgruppen.

DORA vs. NIS2: Das Zusammenspiel verstehen

Es gibt erhebliche Unklarheit darüber, wie DORA und NIS2 zusammenwirken. Das Schlüsselprinzip lautet lex specialis: DORA ist die sektorspezifische Verordnung für Finanzunternehmen, und wo sie mit NIS2 in Konflikt steht oder spezifischere Anforderungen stellt, hat DORA Vorrang.

In der Praxis bedeutet dies:

• Finanzunternehmen im Anwendungsbereich von DORA sind von den Cybersicherheitsanforderungen von NIS2 ausgenommen (nicht jedoch von anderen NIS2-Pflichten wie der Meldepflicht gegenüber zuständigen Behörden)
• Die Anforderungen an die Vorfallsmeldung gemäß DORA (Erstmeldung innerhalb von 4 Stunden) sind strenger als gemäß NIS2 (Frühwarnung innerhalb von 24 Stunden)
• Die Testanforderungen von DORA sind umfassender als die allgemeine Sicherheitstestpflicht gemäß NIS2

Finanzunternehmen sollten NIS2 jedoch nicht vollständig außer Acht lassen. Wenn ein Finanzunternehmen auch Dienste erbringt, die unter NIS2 fallen (zum Beispiel wenn eine Bank auch ein Rechenzentrum für Dritte betreibt), können beide Verordnungen für verschiedene Teile des Unternehmens gelten.

Praktische Umsetzungsschritte für luxemburgische Unternehmen

Schritt 1: Lückenanalyse (Monate 1-2)

Gleichen Sie Ihren aktuellen IKT-Risikomanagement-Rahmen mit den Anforderungen von DORA ab. Wenn Sie bereits dem CSSF-Rundschreiben 20/750 entsprechen, verfügen Sie über eine Grundlage, sollten aber Lücken in Bereichen wie TLPT-Bereitschaft, IKT-Drittanbieter-Register und der Präzision Ihrer Business-Continuity-Tests erwarten.

Schritt 2: ICT-Asset-Bestandsaufnahme und -Klassifizierung (Monate 2-3)

Erstellen oder aktualisieren Sie eine umfassende Bestandsaufnahme aller ICT-Assets, Informations-Assets und ihrer gegenseitigen Abhängigkeiten. DORA verlangt, dass Sie nicht nur wissen, was Sie haben, sondern auch, wie Systeme voneinander und von Drittanbieterdiensten abhängen.

Schritt 3: Überprüfung von Drittanbieterverträgen (Monate 3-6)

Prüfen Sie alle IKT-Dienstleisterverträge auf die von DORA vorgeschriebenen Klauseln. Priorisieren Sie kritische und wichtige IKT-Anbieter. Dies wird voraussichtlich der zeitaufwändigste Schritt sein, da die Nachverhandlung von Verträgen mit großen Anbietern (Cloud-Plattformen, Kernbankensysteme) Monate dauern kann.

Schritt 4: Verbesserung der Incident-Response (Monate 3-4)

Aktualisieren Sie Ihren Vorfallsklassifizierungsrahmen entsprechend den DORA-Kriterien. Bereiten Sie Meldungsvorlagen für die CSSF vor. Testen Sie Ihre Fähigkeit, die 4-Stunden-Frist für die Erstmeldung einzuhalten, durch eine Tischübung.

Schritt 5: Konzeption des Testprogramms (Monate 4-6)

Entwickeln Sie ein Programm für Tests der digitalen operationellen Resilienz, das alle Anforderungen aus Artikel 25 von DORA abdeckt. Planen Sie Penetrationstests, Schwachstellenbewertungen und szenariobasierte Tests. Wenn Sie für TLPT benannt werden könnten, beginnen Sie frühzeitig mit der Einbindung qualifizierter TIBER-EU-Anbieter und Bedrohungsanalyseteams.

Schritt 6: Einbindung und Schulung des Leitungsorgans (laufend)

DORA legt dem Leitungsorgan ausdrücklich Verantwortung auf. Stellen Sie sicher, dass die Mitglieder des Leitungsorgans ICT-Risikoschulung erhalten, die Anforderungen von DORA verstehen und den IKT-Risikomanagement-Rahmen genehmigen. Regelmäßige Berichte an das Leitungsorgan über ICT-Risiken sollten eingeführt werden, sofern noch nicht vorhanden.

Die Erwartungen der CSSF

Die CSSF ist bei der Kommunikation ihrer Erwartungen an die DORA-Compliance proaktiv vorgegangen. Luxemburgische Finanzunternehmen sollten CSSF-Veröffentlichungen verfolgen, an Branchenbriefings teilnehmen und mit ihren CSSF-Ansprechpartnern bei Umsetzungsfragen in Kontakt treten.

Bereiche, auf die die CSSF besondere Aufmerksamkeit gelenkt hat, umfassen:

• IKT-Drittanbieter-Konzentrationsrisiko in der Fondsbranche, wo mehrere große Plattformanbieter einen erheblichen Teil des Marktes bedienen
• Cloud-Outsourcing-Vereinbarungen, aufbauend auf den bestehenden CSSF-Leitlinien zum Cloud Computing
• Qualität der Vorfallsmeldungen mit Schwerpunkt auf der Ursachenanalyse in den Abschlussberichten
• Verantwortlichkeit des Leitungsorgans für Entscheidungen im IKT-Risikomanagement

Der Weg nach vorne

DORA stellt einen grundlegenden Wandel in der Art und Weise dar, wie der europäische Finanzsektor ICT-Resilienz angeht. Für luxemburgische Unternehmen ist die Herausforderung real, aber handhabbar — insbesondere für Organisationen, die bereits in die Einhaltung des CSSF-Rundschreibens 20/750 und die ISO-27001-Zertifizierung investiert haben.

Der Schlüssel liegt darin, jetzt anzufangen, die Lücken mit dem höchsten Risiko zu priorisieren und ein nachhaltiges Compliance-Programm aufzubauen — und nicht eine Last-Minute-Checkboxübung. Unternehmen, die DORA als Chance begreifen, ihre operationelle Resilienz wirklich zu verbessern, werden besser aufgestellt sein als jene, die es als Compliance-Last behandeln.