Cybersicherheit im Finanzsektor – Welche Auswirkungen hat DORA auf IT-Dienstleiser im Bankensektor? 

Rechtsgrundlage 

Mit DORA (Digital Operational Resilience Act, https://eur-lex.europa.eu/eli/reg/2022/2554/oj) verfolgt die Europäische Union das Ziel, ein einheitliches Regelwerk für den gesamten Finanzsektor in Bezug auf IKT-Risiken und Cybersicherheit zu schaffen. Damit soll der europäische Finanzmarkt vor technischen Risiken geschützt werden. Die DORA-Verordnung findet ab dem 17. Januar 2025 Anwendung. Sie ist in Bezug auf Cybersicherheit für die Finanzbranche lex spezialis und gilt damit vorrangig zur NIS2-Richtlinie. 

Zielgruppe 

DORA richtet sich in erster Linie an Finanzunternehmen und regelt die Anforderungen an das IKT-Risikomanagement. 

Darüber hinaus hat DORA auch erhebliche Auswirkungen auf den Teil der IT-Branche, der sogenannte IKT-Dienstleistungen für den Finanzsektor erbringt (IKT-Dienstleister). Hierbei wird weiter unterschieden zwischen Drittanbietern (IKT-Drittdienstleister) und gruppeninternen Dienstleistern (gruppeninterne IKT-Dienstleister) unterschieden. 

Darüber hinaus gibt es sogenannte kritische IKT-Drittdienstleister (Art. 31 DORA). Das sind Dienstleister, die von der ESA nach den Kriterien des Art. 31 Abs. 2 DORA als kritisch eingestuft wurden. Näheres regeln delegierte Rechtsakte. Kritische ITK-Drittdienstleister werden über ihre Einstufung informiert.  

IKT-Dienstleistungen 

Die Definition der betroffenen Dienstleistungen ist sehr weit gefasst. Diese umfassen „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“. 

Auswirkung auf IKT-Drittdienstleister 

Während sich der weit überwiegende Teil der Regelungen von DORA (wie schon bei der MaRisk) sich an die Finanzunternehmen richtet und diese in die Pflicht nimmt, setzt DORA auch für Dienstleister neue Maßstäbe. 

Dies geschieht zunächst indirekt im Kapitel V mit Regelungen, die Finanzunternehmen zum Management des IKT-Drittparteienrisikos zu beachten haben. Zu den Risiken zählen mögliche Abhängigkeiten aber auch Risiken aus vertraglichen Vereinbarungen. Es wird klargestellt, dass die Finanzunternehmen selbst in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen aus der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich sind. Hieraus leitet sich eine umfangreiche Steuerungs- und Überwachungspflicht ab. Diese besteht vor allem im Management der Risiken, sich aus der Einbindung Dritter ergeben.  

In der Folge sehen sich IKT-Drittdienstleister mit zusätzlichen vertraglichen Anforderungen konfrontiert. Diese ergeben sich insbesondere aus Art. 30 DORA, einem umfangreichen Katalog von zu regelnden Vertragsbestimmungen. 

Darüber hinaus fallen kritische IKT-Drittdienstleister künftig direkt unter den Aufsichtsrahmen von DORA (Kapitel V, Abschnitt II, Artikel 31 bis 44). Dies hat zur Folge, dass die Aufsichtsbehörde direkt auf die kritischen IKT-Drittdienstleister zugreifen kann (z.B. Auskunftsersuchen, Untersuchungen vor Ort). Bei nicht kritischen IKT-Dienstleistern kann dies nur auf Grundlage von vertraglich vereinbarten Pflichten zwischen dem IKT-Drittdienstleister und dem Finanzunternehmen erfolgen (z.B. Auditrechte). 

Anforderungen an Verträge 

Da also nur ein Teil der IKT-Dienstleister (die kritischen) der direkten Regulierung durch die Aufsicht unterliegt, kommt den vertraglichen Regelungen eine hohe Bedeutung zu. Dies ist an sich nicht neu, da bereits die MaRisk Vorgaben für die Vertragsbeziehungen bei Auslagerungen gemacht haben. Neu ist die Definition der erfassten IKT-Drittdienstleistungen sowie der Detailierungsgrad der erforderlichen Vertragsbestandteile sowie deren Manifestierung auf Gesetzesebene. 

Während Art. 30 DORA zwar vorgibt, welche Bereiche geregelt werden müssen, ist nicht für alle Regelungspunkte zwingend vorgeschrieben, wie sie zu regeln sind. Teilweise ergeben sich bestimmte Mindestanforderungen an die Regelungen allerdings auch aus anderen finanzaufsichtsrechtlichen Regelungen.  

Zudem ist Art. 30 DORA zweistufig aufgebaut, so dass es allgemeine Anforderungen für alle IKT-Dienstleistungen gibt und erhöhte Anforderungen für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Hierbei bezieht sich der Begriff kritisch nicht auf den Dienstleister selbst, sondern auf die Kritikalität der Dienstleistungen. 

Eine erste Folge dürfte sein, dass vertragliche Regelungen künftig deutlich umfangreicher sein müssen. Dies bezieht sich nicht nur auf die „typischen“ Vertragsklauseln, sondern auch auf die Spezifizierung von z.B. Leistungsinhalten, Leistungsorten, Verfügbarkeiten. Zudem wird dem Datenschutz eine besondere Stellung eingeräumt. 

Allgemeine Auswirkung auf die Leistungserbringung 

Die Übertragung von Aufgaben und Anforderungen an Dienstleister wird aber vor allem dazu führen, dass Dienstleister einen höheren Aufwand und damit zusätzliche Kosten haben werden. Um diese abzudecken, wird es notwendig sein, die Vertragsgestaltung eng mit der Preisgestaltung zu verknüpfen. 

Interview zu Cybersicherheit mit Stephan Schmidt in der NJW

Die Neue Juristische Wochenschrift (NJW), die wohl renommierteste deutsche Fachzeitschrift, hat die globale IT-Panne durch ein CrowdStrike-Update Mitte Juli zum Anlass genommen, um mit unserem Mainzer Partner Stephan Schmidt über das Thema Cybersicherheit und aktuelle Regulierungsvorhaben hierzu zu sprechen.

Das Interview ist in Heft 33/2024 erschienen und hier auch online verfügbar.

IT-Compliance: Neuauflage des juristischen Leitfadens von Trend Micro klärt aktuelle Fragen

Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.

Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.

„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“

Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024

TCI Partner Stephan Schmidt spricht auf 3. Cyber-Sicherheitskongress

Cybersicherheit ist Chefsache und Cybersicherheit gehört auf die Mainstage.

Am 18.04.24 um 10:30 Uhr wird der Mainzer TCI Partner Stephan Schmidt daher in Ingelheim beim 3. Cyber-Sicherheitskongress des BVMW Mainz -Bingen auf der Mainstage über „Neue Regelungen im Cybersicherheitsrecht – Neue Anforderungen an Unternehmen und Geschäftsführung“ sprechen.

Zudem gibt es im Rahmen eines Kamingesprächs Gelegenheit ihm und anderen Experten Fragen zur NIS-2 Richtlinie, dem geplanten aber verzögerten deutschen Umsetzungsgesetz (NIS2UmsuCG), weiteren europäischen Rechtsakten zur Cybersicherheit und allen aktuellen Fragen des IT-Sicherheitsrechts zu stellen.

Anmeldung sind über die Kongressseite möglich.

K&R: Neue europäische Anforderungen im Cybersicherheitsrecht – die NIS2-Richtlinie im Überblick

Stephan Schmidt erläutert in der Fachpublikation Kommunikation und Recht 11/2023 die neuen europäische Anforderungen im Cybersicherheitsrecht und gibt einen Überblick über die NIS2-Richtlinie.

(mehr …)

Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) umgesetzt haben. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren.

(mehr …)
Pra­xis­se­mi­nar „IT-Si­cher­heits­recht für Be­hör­den“ am 27.02.2018 von Cars­ten Ger­lach

Am 27. Februar 2018 referiert unser auf IT-Recht spezialisierter Kollege Carsten Gerlachin Berlin zum Thema „IT-Sicherheitsrecht für Behörden“ für das Führungskräfte-Forum des Behörden-Spiegels.

Das IT-Sicherheitsrecht ist eine unübersichtliche Querschnittsmaterie – daran ändert auch das IT-Sicherheitsgesetz nichts. Rechtliche Maßstäbe und Regelungen für die Sicherheit der Informationstechnologie finden sich verstreut in diversen Gesetzen und Verordnungen, so z. B. in den Datenschutzgesetzen, im Strafgesetzbuch, aber auch im Gesellschaftsrecht. Gleichwohl ist ein Überblick über den rechtlichen Rahmen der IT-Sicherheit für Führungskräfte und IT-Verantwortliche in Behörden unerlässlich. IT-Schutz ist Managementpflicht – bei Nichtbeachtung drohen schlimmstenfalls strafrechtliche Konsequenzen!

Das Seminar wendet sich an alle, die mit dem Betrieb und der Absicherung von EDV und IT-Systemen oder dem Schutz von Daten und IT-Infrastruktur verantwortlich betraut sind. Diese „IT-Entscheider“ erhalten einen Überblick über den Rechtsrahmen der IT-Sicherheit anhand praxisrelevanter Leitfragen:

  • Was muss ich umsetzen? Zu welchen Maßnahmen bin ich überhaupt gesetzlich verpflichtet? Was ändert sich durch das IT-Sicherheitsgesetz?
  • Welche Folgen drohen, wenn ich gebotene Maßnahmen nicht umsetze? Welcher ggf. persönlichen Haftung unterliege ich z. B. bei unzureichenden oder gänzlich fehlenden IT-Sicherheitsmaßnahmen?
  • Was darf ich umsetzen? Welche Sicherheitsmaßnahmen sind rechtlich zulässig? Welche Grenzen stecken die Gesetze?
  • Welche rechtlichen Folgen können sicherheitsrelevante Vorfälle haben? Welche zivil- und strafrechtlichen Konsequenzen haben Sicherheitsvorfälle?

Themenüberblick:

Was ist „IT-Sicherheitsrecht“?  – Rechtsgrundlagen und Rechtsquellen

Warum muss ich tätig werden? – IT-Sicherheit als Managementpflicht

  • Fehlende Schutzmaßnahmen als Straftat und Ordnungswidrigkeit
  • Bußgelder und Schadenersatzansprüche

Was muß ich umsetzen? – Rechtliche Verpflichtungen und Vorgaben

  • Technische und organisatorische Datenschutzmaßnahmen
  • Datenschutz- und IT-Sicherheitskonzepte
  • Behördliche und betriebliche Datenschutzbeauftragte
  • Mitarbeiterschulungen
  • Schutz der Telekommunikation / Fernmeldegeheimnis
  • IT-Sicherheit beim Outsourcing und der Auftragsdatenverarbeitung
  • IT-Sicherheit beim Cloud Computing
  • Lizenz-Compliance
  • Der IT-Sicherheitsbeauftragte
  • Berücksichtigung von IT-Sicherheit im Vergabeverfahren

Was darf ich umsetzen? – Rechtliche Grenzen typischer Sicherheitsmaßnahmen

  • Grundlagen des Beschäftigtendatenschutz
  • Überwachung von E-Mails und Internet-Verkehr
  • Einsatz von Spamfiltern, Virenscannern und Firewalls
  • Logfiles: Protokollierung und Auswertung des Datenverkehrs
  • Videoüberwachung
  • Einsatz von Backup- und Archivierungssystemen

Was passiert bei Störfällen? – Rechtliche Folgen bei sicherheitsrelevanten Vorfällen

  • Die „data breach notification“
  • Strafrechtlicher Schutz: Ausspähen und Abfangen von Daten, Datenveränderung und Datenunterdrückung, Computersabotage
  • Zivilrechtlicher Schutz: Schadensersatz und Unterlassung

Anmeldung

Hinweise zur Anmeldung finden Sie auf der Website des Führungskräfte-Forums.