Q&A zu Compliance

Ziel des DOR-Gesetzes ist es, einen Rechtsrahmen für die digitale betriebliche Widerstandsfähigkeit zu schaffen, bei dem alle Unternehmen sicherstellen müssen, dass sie allen Arten von IKT-bezogenen Störungen und Bedrohungen standhalten, darauf reagieren und sich davon erholen können, und nicht nur IT-Sicherheitsstörungen, Bedrohungen wie z. B. DDOS-Angriffe oder ähnliche. Die Anforderungen sind in allen EU-Mitgliedstaaten einheitlich.

Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on Digital Operational Resilience for the financial sector

• Das DOR-Gesetz ist ab dem 17. Januar 2023 gültig.
• Das DOR-Gesetz wird ab dem 17. Januar 2025 in Kraft sein. 
   

Ab wann ist die Verordnung in Kraft, d.h. bis wann muss ich sie einhalten?

• Als Finanzinstitut müssen Sie die Vorschriften bis zum Datum des Inkrafttretens der DORA erfüllen, d.h. bis zum 17. Januar 2025.
   

Dies ist schwer zu sagen. Zwei Grundsätze gelten auch bei DORA: der Grundsatz der Verhältnismäßigkeit und der risikobasierte Ansatz. Es hängt alles von der Größe Ihrer Einrichtung, der Komplexität der Prozesse, dem Risiko und der IKT-Umgebung ab.  Es sollte davon ausgegangen werden, dass die IT-Abteilung (von Betrieb, Entwicklung, Architektur bis hin zu IT-Sicherheit und Risiko), das Risikomanagement (allgemeines RM und insbesondere operatives Risikomanagement und Cybersicherheits-Risikomanagement), die Compliance-Abteilung, die Beschaffungsabteilung, die Outsourcing-Abteilung und andere hier nicht aufgeführte Abteilungen beteiligt sein werden.  

Wir helfen Ihnen gerne dabei. Unser Standardansatz ist dreistufig und wir können nicht nur Beratungsdienste, Audits und Konformität, sondern auch technische und Sicherheitsdienste anbieten - also ein Komplettpaket: 

• Reifegradbewertung
• Entwicklung eines Fahrplans 
• Einführung

Wenn Sie vollständig konform sind mit z.B.: ISO 27K oder NIST800 sind, sind Sie bereits gut aufgestellt.  Sie müssen nur noch eine Reifegradbewertung für die DORA-Konformität durchführen, aber Sie sollten mehr oder weniger nur einige spezifische Anforderungen von DORA in Berichtsbereichen oder Genehmigungen von Aufsichtsbehörden überprüfen müssen.  

Wenn Sie mit keiner Zertifizierung konform sind, müssen Sie alle drei oben genannten Phasen durchführen. Es muss immer entschieden werden, welchen Grad an Widerstandsfähigkeit ich unter Berücksichtigung meiner Risikobereitschaft und der für die Gewährleistung der Widerstandsfähigkeit verfügbaren Ressourcen erreichen möchte. DORA lässt einen gewissen Spielraum für Umgehungslösungen usw., aber diese müssen sehr gut dokumentiert sein und Sie müssen Argumente parat haben. 

DORA verfolgt den berüchtigten risikobasierten Ansatz. Es ist gut, seine Risiken, deren Wesentlichkeit und Wahrscheinlichkeit zu kennen und darauf aufbauend einen Plan zu haben, wie man sie angehen kann.  
 

Die DORA erwähnt die Arbeit "Outsourcing" überhaupt nicht. Sie erwähnt jedoch IKT-Systeme und Dienstleistungen, die wichtige oder kritische Aktivitäten, Prozesse und Funktionen eines Finanzinstituts unterstützen.  Die Auslagerungsrichtlinien arbeiten auch mit dem Institut der Kritikalität und Wichtigkeit. Hier liegt also die Schnittmenge.  

Nicht alle Auslagerungen sind kritisch oder wichtig, d.h. sie unterstützen keine kritischen oder wichtigen Funktionen. Nicht alle IKT-Dienstleistungen, die von Drittanbietern erbracht werden und kritische oder wichtige Funktionen unterstützen, sind Outsourcing.  

Dies führt zu der unangenehmen Tatsache, dass die Finanzinstitute viel mehr IKT-Dienstleistungen kontrollieren müssen als vor DORA, aber in ähnlicher Weise wie unter den Auslagerungsrichtlinien.  

Die DORA-Anforderungen an IKT-Dienstleistungen von Drittanbietern, die kritische oder wichtige Funktionen unterstützen, sind etwas höher als die Auslagerungsrichtlinien. 

Das hängt davon ab, welche Dienstleistungen Sie erbringen, die in den Anhängen I und II der Richtlinie aufgeführt sind. 
Erbringen Sie eine der aufgeführten Dienstleistungen in einem oder mehreren EU-Mitgliedstaaten? 
Wenn Sie beide Fragen mit "Ja" beantwortet haben, unterliegen Sie sehr wahrscheinlich der NIS2.  Sie müssen auch Ihre Größe einschätzen und sehr genau überlegen, wo, d. h. in welchem Mitgliedstaat Sie Ihre in Anhang I und/oder II aufgeführten Dienstleistungen erbringen.  Jeder EU-Mitgliedstaat hat seine eigenen spezifischen Bedingungen, die strenger sein können als die Richtlinie selbst (z. B. Deutschland, Tschechische Republik). 

Die Richtlinie ist ab dem 16. Januar 2023 in Kraft. Die EU-Mitgliedstaaten müssen sie jedoch in lokales Recht umsetzen, das die Gesetzgebungsverfahren durchlaufen und auf lokaler Ebene spätestens am 17. Oktober 2024 verabschiedet werden muss (es sei denn, der Mitgliedstaat zahlt eine Geldstrafe an die EU für die verspätete Verabschiedung lokaler Vorschriften). Es wird erwartet, dass es eine Übergangszeit von zwölf Monaten geben wird, d.h., dass die lokalen Vorschriften ab Oktober 2025 vollständig in Kraft treten, aber das hängt von Land zu Land ab. 

Die Anforderungen sind ähnlich wie die des DOR-Gesetzes. Es ist notwendig, eine angemessene Cybersicherheits-Governance und ein Risikomanagement einzurichten, das Bewusstsein und Schulungen für die Mitarbeiter, aber vor allem für die Mitglieder der gesetzlichen Organe umfasst, und nicht zu vergessen, Linien und Verfahren für die Meldung von Cybersicherheitsvorfällen einzurichten, aber nicht nur intern innerhalb des Unternehmens, sondern auch an Ihr lokales CSERT, CSIRT.  

Nein, KI und Cloud sind nicht standardmäßig Outsourcing. 

Wann ist es Outsourcing? 

Ob es sich bei KI um Outsourcing handelt, hängt von mehreren Faktoren ab, die sich in drei Gruppen unterteilen lassen: a) Art der KI-Rolle, b) in das KI-Modell einbezogene Daten, c) vertragliche Risiken, Drittanbieter. 

Das KI-Gesetz ist noch in Vorbereitung.  Dennoch ist es ratsam, es bereits jetzt zu befolgen, um später, wenn es in Kraft tritt (im Jahr 2026), bereit zu sein, ohne abrupte Änderungen vornehmen zu müssen. 
Wir müssen uns jedoch auch andere Regelungen ansehen, die bereits jetzt gültig sind.  Wenn Sie sich die obigen Fragen zu den drei Gruppen von KI-Faktoren beantworten, erhalten Sie auch Antwort auf diese Frage zur Regulierung. 
Sie müssen mit der Regulierung für den Datenschutz (GDPR, DSG, EDPB-Empfehlungen usw.), der Outsourcing-Regulierung, falls Outsourcing der Fall ist (ESA-Leitlinien, BWG usw.), rechnen und überlegen, ob die KI einige Ihrer wichtigen, kritischen Aktivitäten, Funktionen und Prozesse unterstützt, und wenn ja, mit den DORA-Anforderungen in Einklang bringen. 
Sie können auch internationale Standards für KI heranziehen, wie z. B.: NIST AI RM Framework, ISO 42001. 

Am besten beantworten Sie die Fragen zu den KI-Faktoren (Art der Rolle von KI, b) Daten, die in das KI-Modell einfließen, c) vertragliche Risiken, Drittanbieter) im Rahmen der geltenden Vorschriften, die Sie selbst anleiten werden.  

Viele Institutionen nutzen bereits Datalakes und Databricks mit KI. Es ist völlig in Ordnung, Sie müssen sich nur noch einmal die 3 oben aufgeführten Fragen beantworten, und die Antworten sollten Ihnen den Weg weisen.