DORA EU-Recht: Ein Kurzüberblick über die Änderungen im Datenrecht zum Jahreswechsel

Mittwoch, 1.1.2025

Business Intelligence, Künstliche Intelligenz, IT-Sicherheit

DORA EU-Recht

Nachdem im Januar 2024 der EU Data Act in Kraft getreten ist, gibt es auch dieses Jahr zum Jahreswechsel eine rechtliche Änderung, die den deutschen Finanzsektor im Bereich Daten und KI massiv betrifft.

Mit dem Digital Operational Resilience Act (kurz: DORA) über die digitale operationale Resilienz im Finanzsektor wird ab dem 17. Januar 2025 eine neue Verordnung der Europäische Union zur finanzsektorweiten Regulierung für die Themen Cybersicherheit, IKT-Risiken auch aktiv angewendet, die seit Januar letzten Jahres in Kraft getreten ist. Laut der BaFin soll die Verordnung wesentlich dazu beitragen “den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken”.

Um den Überblick für deutsche Firmen und Entwickler:innen im Datenbereich zu erleichtern, geben wir in diesem Artikel einen Kurzüberblick über interessante Quellen in Zusammenhang mit der DORA.

Zusammenfassung der DORA

Der Originaltext der EU-Verordnung findet sich unter Verordnung (EU) 2022/2554 und wurde von der Bundesanstalt für Finanzdienstleistungen (BaFin) zusätzlich rechtlich eingeordnet und zusammengefasst. Zusätzlich wurde von der BaFin eine Aufsichtsmitteilung zu Umsetzungshinweise für die DORA veröffentlicht, um die Anforderungen auch für Nicht-Juristen übersichtlicher zu gestalten und Hinweise zu geben, wie die Anforderungen umgesetzt werden können. Als Nicht-Jurist empfiehlt es sich, die letzte Quelle näher anzuschauen, da sie deutlich zugänglicher geschrieben ist.

In diesen Umsetzungshinweisen stellt die BaFin die DORA mit bereits geltenden deutschen Recht (BAIT/VAIT/KAIT/ZAIT) gegenüber und gibt mit Abbildung 1 eine hilfreiche Übersichtsgrafik über die thematischen Inhalte der DORA. In rot markiert hebt die BaFin die zwei Bereiche “IKT-Risikomanagement” und “IKT Drittparteienrisikomanagement” hervor.

In Kapitel zwei der Aufsichtsmitteilung folgenden dann konkrete Hinweise zur Umsetzung. Im Anhang gibt die BaFin Mindestvertragsinhalte zwischen IKT-Drittdienstleister und Finanzunternehmen inkl. der relevanten Passagen aus der DORA tabellarisch an. Zu jedem Vertragsinhalt listet die BaFin das Oberthema des Inhalts, den Vertragsinhalt, die Fundstelle in der DORA, den Auszug auf dem Rechtstext sowie eine kwF-Kennzeichnung, die angibt, ob die Anforderung nur bei kritischen oder wichtigen Funktionen erforderlich sind. Diese tabellarische Übersicht ist äußerst hilfreich, um einen Überblick zu gewinnen.

DORA EU-Recht wichtige Elemente

Abbildung 1: Wesentliche Elemente in DORA, Quelle: BaFin Umsetzungsrichtlinie für die DORA, Seite 5

Wo sind Data-Themen im Finanzsektor von der DORA betroffen?

Die Berührungspunkte zwischen Datenbanken und Data Science im Finanzsektor mit der DORA sind reichlich. Da Kernthemen der DORA das IKT-Risikomanagement und das IKT-Drittparteienrisikomanagement sind, ist der Datenbereich hier besonders betroffen, da häufig Standardsoftware eingekauft wird - zum Beispiel Datenbankmanagement-Systeme, Cloud-Anbieter, Reporting-Tools oder andere Tools zur Verwaltung von Daten im Bereich Data Catalogues oder Data Lineage. Im Folgenden stellen wir ein paar konkrete Punkte vor, bei denen Datenbankadministrator:innen, Datenbankentwickler:innen oder Führungskräfte im Bereich Daten von den Änderungen der DORA betroffen sind.

Hinweis: Die folgende Auflistung hat keinen Anspruch an Vollständigkeit und soll Datenexpert:innen und Datennutzer:innen nur einen ersten Überblick geben. Es fehlt zum Beispiel die Forderung nach Verschlüsselung von Daten während der Verarbeitung, das Thema gestärkter Netzwerksicherheit und die Pflicht zum Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT). Für eine vollständige Einordnung sei an die Quellen der BaFin oder EU verwiesen.

Formulierung von Verträgen mit Drittdienstleistern

Mit der DORA werden auch Anforderungen an Verträge mit IKT-Drittdienstleitern europaweit rechtlich bindend. Hier bietet der Anhang der Aufsichtsmitteilung zu Umsetzungshinweise für die DORA eine wichtige Quelle, wie Verträge zu gestalten sind.

Formulierung einer Ausstiegsstrategie (Exit-Strategie)

Laut Art. 30 Absatz 3 der DORA “muss es dem Finanzunternehmen durch den ITK-Dienstleister ermöglicht werden zu einem anderen ITK-Drittdienstleister zu wechseln oder auf eine interne Lösung umzustellen”. Dafür muss eine Exit-Strategie durch das Finanzunternehmen erstellt werden. Die Vorgaben hierfür werden mit der DORA deutlich ausgeweitet. Im Bereich Cloud-Dienste gibt es hier Empfehlungen zur Vorbereitung einer Exit-Strategie bei Nutzung von Cloud Dienstleistungen vom Bundesamt für Sicherheit und Informationstechnologie. Konkrete Beispiele für Exit-Strategien sind aber schwer zu finden und werden in den nächsten Jahren ein wichtiges Thema bleiben.

Kommunikation und zeitnahe Erkennung und Behandlung von Schwachstellen

Durch die DORA soll auch die Kommunikation und die zeitnahe Erkennung und Behandlung von Schwachstellen verbessert werden. So schreibt die BaFin in ihrere Aufsichtsmitteilung zu Umsetzungshinweisen, dass “Finanzunternehmen mindestens eine Person mit der Umsetzung der Kommunikationsstrategie für IKT-bezogene Vorfälle zu beauftragen haben, die zu diesem Zweck die entsprechende Aufgabe gegenüber der Öffentlichkeit und den Medien wahrnimmt”.

Außerdem gilt ab dem 17.01.2025 für Finanzunternehmen

  • “die Pflicht zur Meldung schwerwiegender IKT bezogener Vorfälle gemäß Art. 19 Abs. 1 DORA”. Dabei erklärt die BaFin, welche Vorfälle als schwerwiegend klassifiziert werden in folgendem Fachartikel.

  • “die Möglichkeit zur freiwilligen Meldung erheblicher Cyberbedrohungen gemäß Art. 19 Abs. 2 DORA”

  • “die Pflicht zur Vorlage des Informationsregisters mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleistern bereitgestellten IKT-Dienstleistungen gemäß Art. 28 Abs. 3 UAbs. 4 DORA.”

Laut BaFin (Kapitel 7.3) betrifft dies nicht nur klassische ITK-Dienstleistungen, sondern auch fremdbezogene und quelloffene Softwarebibliotheken. In diese Regel würde also auch die Nutzung von Python-Bibliotheken im Bereich Data Science fallen. Außerdem müssen “unterstützt durch geeignete Verfahren hierzu anomale Aktivitäten und Verhaltensweisen erkannt (Art. 10 Abs. 1 DORA), Frühwarnindikatoren (Art. 17 Abs. 3 lit. a DORA) identifiziert und alle Erkennungsmechanismen regelmäßig getestet (Art. 25 DORA) werden, welche in einem vordefinierten Zeitraum innerhalb und außerhalb der regulären Arbeitszeit abzuarbeiten sind (Art. 23 Abs. 2 lit. c RTS RMF). Dafür sollten ausreichende technische und organisatorische Ressourcen eingeplant werden.” Die Einreichung der zuvor genannten Meldungen erfolgt über das BaFin-Portal zur Melde- und Veröffentlichungsplattform (MVP-Portal).

Bezüglich Kommunikation und Behandlung von Schwachstellen wird durch die DORA ebenfalls der Umgang mit Log-Dateien in Kapitel 7.3 Aufsichtsmitteilung zu Umsetzungshinweise für die DORA erklärt. Betroffen sind Aufbewahrungsdauer für Logs und der Schutz von Logs gegen Manipulation.

Berechtigungsmanagement

Das Berechtigungsmanagement wird durch die DORA verschärft. Dies betrifft zum Beispiel die Rollen- und Rechtevergabe in Datenbanken und wird in Kapitel 8 der Aufsichtsmitteilung beschrieben. Als wichtigste Änderung hebt die BaFin in diesem Kapitel die Neuerung im Bereich der Rezertifizierung von Rechten hervor. “Diese soll für alle Berechtigungen, die kritische oder wichtige Funktionen betreffen, in einem halbjährlichen Zyklus erfolgen! (Art. 21 Abs. 1 lit. e Ziffer iv RTS RMF). Für alle anderen Rechte gilt ein jährlicher Überprüfungsrhythmus (siehe Umsetzungshinweise zur DORA-Implementierung, Seite 31 von 41). Hierbei muss nicht zwischen fachlichen und technischen Zugriffen unterschieden werden.“

Diese Änderung ist besonders für Datenbankadministratoren interessant, da diese Aufgabe neu in ihren Verantwortungsbereich fällt.

Fazit

Ohne rechtliche Hilfe wird es immer schwerer für Data Scientists neben dem Arbeitsalltag die verschiedenen Gesetze im Bereich Daten zu kennen. Wenn auch die genaue Einordnung der Gesetzte bei Rechtsanwälten und der BaFin bleiben sollte, lohnt es sich trotzdem für Data Scientists die aktuellen Entwicklungen im Blick zu behalten. Dabei sind besonders die rechtlichen Einordnungen der BaFin hilfreich und für Nicht-Juristen deutlich verständlicher als die tatsächlichen Gesetztestexte.

Auf den ersten Blick bringt die DORA dabei viele neue Anforderungen und somit einiges an Arbeit mit sich. Aber es gibt auch viele Vorteile. Das neu eingeführte IKT-Vorfallmeldewesen hilft europäischen Banken besser zusammenzuarbeiten. Ist einer Bank ein kritischer Fehler aufgefallen und wird dieser direkt gemeldet, wissen auch direkt andere Banken von dem Fehler und haben sofort die Chance zu korrigieren, bevor es zu einem deutlich aufwändigeren Sicherheitsvorfall kommt. Insgesamt liefert die DORA auch viele Denkanstöße die eigenen Sicherheitsanforderungen zu verbessen und somit deutlich resilienter gegenüber Cyberangriffen zu werden.

Wenn Ihnen dieser Blog-Artikel gefallen hat, schauen Sie gerne unsere weiteren Blogartikel zum Thema Querschnittsverbindungen zwischen Recht und IT an:
zurück zur Blogübersicht

Diese Beiträge könnten Sie ebenfalls interessieren

Keinen Beitrag verpassen – viadee Blog abonnieren

Jetzt Blog abonnieren!

Kommentare

Dr. Ina Humpert

Dr. Ina Humpert

Dr. Ina Humpert ist IT-Beraterin mit Schwerpunkt Data und Business Intelligence bei der viadee IT-Unternehmensberatung. Sie bringt umfangreiche Erfahrung sowohl in den Bereichen Datenmanagement, Datenanalyse als auch Data Engineering mit und unterstützt somit Unternehmen bei der effektiven Nutzung ihrer Daten.

Ina Humpert auf LinkedIn Ina Humpert bei Xing

viadee Münster
Anton-Bruchausen-Straße 8, 48147 Münster, Tel: +49 251 77777 0

viadee Köln
Konrad-Adenauer-Ufer 7, 50668 Köln, Tel: +49 221 788807 0

viadee Dortmund
Sebrathweg 7, 44149 Dortmund, Tel.: +49 231 494985 0

www.viadee.de

Service
Kontakt Blog Termine