Syn­er­gien zwi­schen DORA und DSGVO: Ein um­fas­sen­der Ansatz zur Datensicherheit.

Wie der Digital Ope­ra­ti­on Re­si­li­ence Act (DORA) und die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) zu­sam­men­wir­ken, um Fi­nanz­un­ter­neh­men vor di­gi­ta­len Be­dro­hun­gen zu schüt­zen und die Si­cher­heit per­so­nen­be­zo­ge­ner Daten zu ge­währ­leis­ten. DORA, die NIS-2 für Finanzdienstleistungsunternehmen.

1   Ein­lei­tung

Mit der Ver­ord­nung (EU) 2022/2554 des eu­ro­päi­schen Par­la­ments und des Rates vom 14.12.2022 über die di­gi­ta­le ope­ra­tio­na­le Re­si­li­enz im Fi­nanz­sek­tor und zur Än­de­rung der Ver­ord­nun­gen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ver­pflich­tet die Eu­ro­päi­sche Union Fi­nanz­un­ter­neh­men zur Stär­kung ihrer di­gi­ta­len ope­ra­tio­na­len Resilienz.

Der Digital Ope­ra­tio­nal Re­si­li­ence Act (DORA) ist eine fi­nanz­sek­tor­über­grei­fen­de eu­ro­päi­sche Ver­ord­nung und bündelt und har­mo­ni­siert Re­ge­lun­gen be­stehen­der sek­to­ra­ler eu­ro­päi­scher Ver­ord­nun­gen und Richtlinien.

Was sind Finanzsektoren?
Neben dem Kre­dit­ge­wer­be gehören zum Fi­nanz­sek­tor Ka­pi­tal­an­la­ge­ge­sell­schaf­ten, Lea­sing­ge­sell­schaf­ten, Private-Equity-Un­­ter­­neh­­men, Ver­mö­gens­ver­wal­tun­gen, Ver­si­che­rungs­un­ter­neh­men sowie die Zen­tral­ban­ken. Unter „fi­nanz­sek­tor­über­grei­fend“ wird dabei eine stär­ke­re Ver­net­zung der un­ter­schied­li­chen Sek­to­ren verstanden.

Eines der Haupt­zie­le des DORA ist es, dass Fi­nanz­un­ter­neh­men die volle Kon­trol­le über die Risiken be­hal­ten, die mit dem Einsatz von In­­­for­­ma­­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gien (IKT) ver­bun­den sind. Dazu müssen die Un­ter­neh­men ein um­fas­sen­des IKT-Ri­­si­­ko­­ma­­na­ge­­ment ein­füh­ren. Das IKT-Ri­­si­­ko­­ma­­na­ge­­ment schreibt vor, dass Fi­nanz­un­ter­neh­men be­stimm­te An­for­de­run­gen er­fül­len müssen. Wie das IKT-Ri­­si­­ko­­ma­­na­ge­­ment aus­zu­se­hen hat, wird nicht vor­ge­schrie­ben. Der Digital Ope­ra­tio­nal Re­si­li­ence Act zielt also darauf ab, die di­gi­ta­le Wi­der­stands­fä­hig­keit von Fi­nanz­un­ter­neh­men zu stärken.

2   We­sent­li­che An­for­de­run­gen des DORA

Die we­sent­li­chen An­for­de­run­gen des DORA sind:

1. IKT-Ri­­si­­ko­­ma­­na­ge­­ment:

Un­ter­neh­men müssen robuste Stra­te­gien und Ver­fah­ren für das Ma­nage­ment von In­­­for­­ma­­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie­ri­si­ken (IKT-Risiken) ent­wi­ckeln und implementieren.

2. IKT-Si­cher­heits­­an­­for­­de­run­­gen:

Ein­füh­rung und Auf­recht­erhal­tung von Si­cher­heits­maß­nah­men, die auf dem neu­es­ten Stand der Technik ba­sie­ren, um IT-Systeme und Daten zu schützen.

3. Be­richts­pflich­ten bei IKT-Vor­­­fäl­­len:

Ver­pflich­tung zur Meldung si­gni­fi­kan­ter IKT-Vor­­­fäl­­le an die zu­stän­di­gen Be­hör­den in­ner­halb de­fi­nier­ter Fristen.

4. Über­wa­chung von Dritt­dienst­leis­tern:

Strenge Vor­schrif­ten zur Über­wa­chung und Kon­trol­le von Dritt­an­bie­tern, die kri­ti­sche IT-Diens­t­­leis­­tun­­gen erbringen.

5. Re­­si­­li­enz-Tests:

Re­gel­mä­ßi­ge Durch­füh­rung von Tests zur Über­prü­fung der Wi­der­stands­fä­hig­keit ge­gen­über ICT-Be­­dro­hun­­gen, ein­schließ­lich Pe­ne­tra­ti­ons­tests und anderen Simulationen.

Obwohl die grund­le­gen­den Ziele und Prin­zi­pi­en der IT-Si­cher­heit und des Ri­si­ko­ma­nage­ments in den ver­schie­de­nen Sek­to­ren ähnlich sind, gibt es spe­zi­fi­sche An­pas­sun­gen und An­for­de­run­gen, die auf die be­son­de­ren Be­dürf­nis­se und Risiken des je­wei­li­gen Sektors zu­ge­schnit­ten sind. VAIT, KAIT und ZAIT haben viele ge­mein­sa­me Ziele, un­ter­schei­den sich jedoch in der Art und Weise, wie diese Ziele um­ge­setzt werden, um den bran­chen­spe­zi­fi­schen Her­aus­for­de­run­gen gerecht zu werden.

3   Re­gu­la­to­ri­sche Leit­li­ni­en für IT in der Fi­nanz­bran­che: BaFin-Run­d­­schrei­­ben zu IT-Ma­­na­ge­­ment und Informationssicherheit

Der Einsatz von In­for­ma­ti­ons­tech­nik (IT) in den Un­ter­neh­men, auch unter Ein­be­zie­hung von IT-Ser­­vices, die durch IT-Diens­t­­leis­­ter be­reit­ge­stellt werden, hat eine zen­tra­le Be­deu­tung. Die von der Bun­des­an­stalt für Fi­nanz­dienst­leis­tungs­auf­sicht (BaFin)² ver­öf­fent­lich­ten Rund­schrei­ben ent­hal­ten Hin­wei­se zur Aus­le­gung der Vor­schrif­ten über die Ge­schäfts­or­ga­ni­sa­tio­nen, soweit sie sich auf die tech­­nisch-or­­ga­­ni­­sa­­to­ri­­sche Aus­stat­tung der Un­ter­neh­men be­zie­hen. Die Rund­schrei­ben geben einen fle­xi­blen und pra­xis­na­hen Rahmen vor, ins­be­son­de­re für das Ma­nage­ment der IT-Res­­sour­cen, für das In­for­ma­ti­ons­ri­si­ko­ma­nage­ment und das In­for­ma­ti­ons­si­cher­heits­ge­setz.¹

Die BaFin hat für die ein­zel­nen Sek­to­ren nach­ste­hen­de Rund­schrei­ben mit IT-An­­for­­de­run­­gen veröffentlicht:

• BAIT – Bank­auf­sicht­li­che An­for­de­run­gen an die IT https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=2
• VAIT – Ver­si­che­rungs­auf­sicht­li­che An­for­de­run­gen an die IT https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1810_vait_va_Aktualisierung_2022.pdf?__blob=publicationFile&v=2
• KAIT – Ka­pi­tal­ver­wal­tungs­auf­sicht­li­che An­for­de­run­gen an die IT https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1911_kait_wa.pdf?__blob=publicationFile&v=2
• ZAIT – Zah­lungs­diens­te­auf­sicht­li­che An­for­de­run­gen an die IT https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1121_BA_ZAIT.pdf?__blob=publicationFile&v=2

4   Ge­mein­sa­me Ziele und Prin­zi­pi­en der Sektoren

Die Grund­prin­zi­pi­en und Ziele der IT-Si­cher­heit und des Ri­si­ko­ma­nage­ments sind in den ver­schie­de­nen Fi­nanz­sek­to­ren ähnlich.

Die Ge­mein­sam­kei­ten sind:

1. IT-Si­cher­heit:
   • Schutz der IT-Systeme und Datenintegrität
   • Prä­ven­ti­on und Abwehr von Cyberangriffen
2. Ri­si­ko­ma­nage­ment:
   • Sys­te­ma­ti­sche Iden­ti­fi­zie­rung, Be­wer­tung und Steue­rung von IT-Risiken
   • In­te­gra­ti­on von IT-Risiken in das Gesamt-Risikomanagement
3. Com­pli­ance:
   • Ein­hal­tung ge­setz­li­cher und re­gu­la­to­ri­scher Anforderungen
   • Re­gel­mä­ßi­ge Über­wa­chung und Berichterstattung

Die Ziele und Prin­zi­pi­en ähneln sich für die ein­zel­nen Sek­to­ren. So wie es in den Bran­chen un­ter­schied­li­che Pro­zes­se gibt, so sind auch un­ter­schied­li­che und bran­chen­spe­zi­fi­sche An­for­de­run­gen und Schwer­punk­te zu be­rück­sich­ti­gen. So sind im KAIT z.B. Li­qui­da­ti­ons­ri­si­ken und Si­cher­heit von Bank­sys­te­men re­le­vant, im VAIT sind dies z.B. das Scha­den­ma­nage­ment und die In­te­gri­tät der IT-Systeme. Beim ZAIT dagegen stehet u.a. die Trans­ak­ti­ons­si­cher­heit im Vordergrund.

5   Schnitt­stel­len zwi­schen DORA und DSGVO

Es gibt wich­ti­ge Schnitt­stel­len zwi­schen DORA und dem Da­ten­schutz­recht, der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO). Beide Re­ge­lun­gen ver­fol­gen das Ziel, Da­ten­si­cher­heit und Daten­schutz zu ge­währ­leis­ten, wenn auch aus un­ter­schied­li­chen Perspektiven.

Im Fol­gen­den werden die wich­tigs­ten Schnitt­stel­len und ihre Aus­wir­kun­gen dargestellt:

5.1  Schutz per­so­nen­be­zo­ge­ner Daten

	DORA	DS-GVO
Fokus:	Si­cher­stel­lung der ope­ra­ti­ven Re­si­li­enz von Fi­nanz­un­ter­neh­men gegen di­gi­ta­le Be­dro­hun­gen, was in­di­rekt auch den Schutz per­so­nen­be­zo­ge­ner Daten umfasst.	Schutz der Pri­vat­sphä­re und per­so­nen­be­zo­ge­ner Daten von na­tür­li­chen Personen.
An­for­de­run­gen:	Ein­füh­rung ro­bus­ter Si­cher­heits­maß­nah­men, die auch den Schutz von Da­ten­in­te­gri­tät und Ver­trau­lich­keit umfassen.	Vor­schrif­ten über die Ver­ar­bei­tung, Spei­che­rung und den Schutz per­so­nen­be­zo­ge­ner Daten.
Schnitt­stel­le:	Beide Re­ge­lun­gen er­for­dern die Im­ple­men­tie­rung von Si­cher­heits­maß­nah­men, die si­cher­stel­len, dass (per­so­nen­be­zo­ge­ne) Daten vor un­be­fug­tem Zugriff, Verlust oder Miss­brauch ge­schützt sind.

5.2  Meldung von Sicherheitsvorfällen

	DORA	DS-GVO
An­for­de­run­gen:	Ver­pflich­tet Fi­nanz­un­ter­neh­men, er­heb­li­che IKT-Si­cher­heits­­­vor­­­fäl­­le in­ner­halb kurzer Zeit an die zu­stän­di­gen Auf­sichts­be­hör­den zu melden.	Ver­pflich­tet Un­ter­neh­men, Da­ten­schutz­ver­let­zun­gen, die zu einem Risiko für die Rechte und Frei­hei­ten na­tür­li­cher Per­so­nen führen, in­ner­halb von 72 Stunden an die Da­ten­schutz­be­hör­den zu melden.
Ziel:	Mi­ni­mie­rung der Aus­wir­kun­gen von Si­cher­heits­vor­fäl­len auf die ope­ra­ti­ve Re­si­li­enz und den Finanzmarkt.	Schutz der Pri­vat­sphä­re und der Rechte be­trof­fe­ner Personen.
Schnitt­stel­le:	Beide Re­ge­lun­gen legen Wert auf eine schnel­le Meldung von Vor­fäl­len, um die Aus­wir­kun­gen auf be­trof­fe­ne Per­so­nen und Un­ter­neh­men zu mi­ni­mie­ren. Un­ter­neh­men müssen Me­cha­nis­men ein­füh­ren, um si­cher­zu­stel­len, dass sowohl Da­ten­schutz­ver­let­zun­gen als auch ICT-Si­cher­heits­­­vor­­­fäl­­le ef­fi­zi­ent ge­mel­det werden.

5.3  Ri­si­ko­ma­nage­ment

	DORA	DS-GVO
An­for­de­run­gen:	Ent­wick­lung und Im­ple­men­tie­rung eines um­fas­sen­den IKT-Ri­­si­­ko­­ma­­na­ge­­ments zur Iden­ti­fi­zie­rung, Be­wer­tung und Steue­rung von Risiken, ein­schließ­lich derer, die per­so­nen­be­zo­ge­ne Daten be­tref­fen könnten.	Er­for­dert die Durch­füh­rung von Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zu­n­­gen (DSFA) für Ver­ar­bei­tungs­vor­gän­ge, die vor­aus­sicht­lich ein hohes Risiko für die Rechte und Frei­hei­ten na­tür­li­cher Per­so­nen darstellen.
Schnitt­stel­le:	Beide Re­ge­lun­gen er­for­dern ein sys­te­ma­ti­sches Ri­si­ko­ma­nage­ment, das die Iden­ti­fi­zie­rung und Be­wer­tung von Risiken umfasst, ein­schließ­lich derer, die sich auf per­so­nen­be­zo­ge­ne Daten auswirken.

5.4  Tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men (TOM)

	DORA	DS-GVO
An­for­de­run­gen:	Fi­nanz­un­ter­neh­men müssen ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men im­ple­men­tie­ren, um die Wi­der­stands­fä­hig­keit ihrer IT-Systeme sicherzustellen.	Un­ter­neh­men müssen tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men treffen, um ein dem Risiko an­ge­mes­se­nes Min­dest­schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten zu gewährleisten.
Schnitt­stel­le:	Beide Re­ge­lun­gen ver­lan­gen die Im­ple­men­tie­rung ge­eig­ne­ter Maß­nah­men, um die Si­cher­heit und den Schutz von IT-Sys­­te­­men und Daten zu gewährleisten.

5.5  Kon­trol­len und Audits

	DORA	DS-GVO
An­for­de­run­gen:	Re­gel­mä­ßi­ge Über­prü­fung und Au­di­tie­rung der IKT-Ri­­si­­ko­­ma­­na­ge­­ment- und Sicherheitsprozesse.	Ver­pflich­tet Un­ter­neh­men zur re­gel­mä­ßi­gen Über­prü­fung der Ein­hal­tung der Da­ten­schutz­be­stim­mun­gen und zur Durch­füh­rung von Datenschutz-Audits.
Schnitt­stel­le:	Beide Re­ge­lun­gen fordern eine re­gel­mä­ßi­ge Über­prü­fung und Au­di­tie­rung, um die Wirk­sam­keit der im­ple­men­tier­ten Maß­nah­men sicherzustellen.

6   Zu­sam­men­fas­sung

Die Schnitt­stel­len zwi­schen DORA und DSGVO zeigen, dass beide Re­ge­lun­gen auf die Si­cher­stel­lung der Da­ten­in­te­gri­tät, Ver­trau­lich­keit und Ver­füg­bar­keit ab­zie­len, wenn auch mit un­ter­schied­li­chem Schwer­punkt. Während DORA primär auf die ope­ra­ti­ve Re­si­li­enz und IT-Si­cher­heit im Fi­nanz­sek­tor fo­kus­siert ist, legt die DSGVO den Schwer­punkt auf den Schutz per­so­nen­be­zo­ge­ner Daten. Die Im­ple­men­tie­rung von Maß­nah­men zur Ein­hal­tung beider Re­ge­lun­gen er­for­dert einen in­te­grier­ten Ansatz, der sowohl IT-Si­cher­heits- als auch Da­ten­schutz­aspek­te berücksichtigt.

Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbst­ver­ständ­lich gerne zur Ver­fü­gung – per E-Mail consulting@adorgasolutions.de oder te­le­fo­nisch unter 0173 8198864.