Mit Thema Cybersecurity und den damit verbundenen Gefahren sollte sich JEDER laufend auseinandersetzen. Dies gilt für jedes Individuum zum Schutz seiner Daten und jedes Unternehmen. Besondere Verantwortung in unserer Gesellschaft tragen Unternehmen, die kritische Infrastrukturen betreiben – und darunter besonders auch Finanzdienstleister.
Der Gesetzgeber ist weiter aktiv: Trotz aller Bemühungen gibt es immer wieder spektakuläre Cyberangriffe (siehe Cyber-Security: Finanzdienstleister verstärkt im Visier von Hackern) und sind Anlass für weitere gesetzliche Regelungen. Der Kampf gegen Cyberkriminalität geht 2024 in eine neue, entscheidende Runde.
Zurückzuführen ist es auf zwei Regelungsbereiche, die im Jahr 2024 eine neue Brisanz erhalten. Zum einen gilt es DORA, die Richtlinie, die sich an Unternehmen mit kritischen Infrastrukturen und darunter u. a. Finanzdienstleister richtet, bis Anfang 2025 umzusetzen. Hier gibt es also für die betroffenen Unternehmen im Jahr 2024 noch einiges zu tun.
Zum anderen sorgt die NIS2-Richtlinie dafür, dass bis zum Oktober 2024 viele neue Sektoren die gesetzlichen Bestimmungen gegen Cyberkriminalität einzuhalten haben. Hierunter fallen etliche Unternehmen, die oft nicht einmal wissen, dass sie davon betroffen sind.
Dieser Beitrag soll auf den Handlungsbedarf aufmerksam machen – und auch wachrütteln.
DORA bringt Finanzdienstleister auf eine höhere Sicherheitsstufe
An wen wendet sich die DORA-Richtlinie?
Die EU-Verordnung 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) gilt für alle auf EU-Ebene regulierten Finanzunternehmen. Darunter fallen Finanzinstitute, Finanzmarktinfrastrukturen wie beispielsweise die Betreiber von Handelsplattformen, aber auch Dienstleister für Informations- und Kommunikationstechnologien sowie Drittparteien, die für Finanzinstitute wesentliche Dienste erbringen wie z. B. Datenverarbeitung.
Maßnahmen zur Stärkung der digitalen operationalen Resilienz
Das Ziel von DORA ist es, die digitale operationale Resilienz des gesamten europäischen Finanzsektors zu stärken.
Zu den wesentlichen Aspekten zählt hier das Risikomanagement von Informations- und Kommunikationstechnologien. Durch DORA sind Finanzdienstleistungsunternehmen verpflichtet, ein Rahmenwerk für die Steuerung von IKT-Risiken einzurichten. Diese umfasst eine regelmäßige Risikoanalyse, die Identifizierung kritischer IKT-Systeme sowie die Entwicklung von Strategien zur Reduzierung dieser. Im Kapitel III wird in Artikel 17 bis 23 die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle geregelt.
Ein weiterer wichtiger Aspekt stellt das Testen der digitalen operationellen Resilienz einschließlich Penetrationstests sowie Notfallübungen dar, die im darauffolgenden Kapitel beschrieben werden. Unternehmen sind verpflichtet, die Wirksamkeit ihrer IKT-Sicherheitsmaßnahmen und Verfahren in regelmäßigen Abständen zu testen und zu überprüfen. Anhand dieser Tests soll sichergestellt werden, dass die Systeme auch unter extremen Bedingungen funktionsfähig bleiben.
Auch die Überwachung und Steuerung der IKT-Dienstleister spielt eine zentrale Rolle. So müssen Unternehmen sicherstellen, dass ihre Dienstleister ebenfalls robuste Sicherheitsmaßnahmen implementieren und regelmäßige Audits durchführen.
Dies stellt Finanzdienstleistungsunternehmen vor neue Herausforderungen, die es zu bewältigen gilt. Denn werden diese hohen Anforderungen nicht erfüllt, so drohen Sanktionen.
Verschärfung der Sanktionen bei Nicht-Einhaltung der Richtlinien
Die angewendeten Sanktionen und Maßnahmen, die bei Nicht-Einhaltung der Richtlinien angewendet werden können, müssen wirksam, verhältnismäßig und abschreckend sein. Neben den verwaltungsrechtlichen Sanktionen können die Behörden auch strafrechtlich gegen die Unternehmen vorgehen.
Gemäß Art. 35 Abs. 8 können Zwangsgelder gegen IKT-Dienstleister bei Nichterfüllung der Richtlinien erhoben werden. Die Höhe ist begrenzt auf ein Prozent des durchschnittlichen weltweiten Tagesumsatzes, den ein IKT-Drittdienstleister im letzten Geschäftsjahr erwirtschaftet hat.
Werden verwaltungsrechtliche Sanktionen erhoben, so müssen diese auf der Webseite der zuständigen Behörde veröffentlicht werden.
Verstöße gegen die DORA-Richtlinien können zu verstärkten Überwachungsmaßnahmen sowie zu häufigeren Audits durch die zuständigen Aufsichtsbehörden führen und dadurch einen höhere administrative sowie finanzielle Belastung beim Unternehmen verursachen. Neben den rechtlichen und finanziellen Konsequenzen kann es jedoch auch zu Reputationsschäden kommen, die das Vertrauen der Kunden, Investoren und Geschäftspartner nachhaltig beeinträchtigt.
Schaffung einer einheitlichen Regelung mit DORA
Mit der Einführung von DORA wird das Ziel verfolgt, eine spezifische, umfassende sowie einheitliche Regelung für die digitale operationelle Resilienz im Finanzsektor sicherzustellen. Vor DORA gab es verschiedene Richtlinien und Verordnungen wie z.B. die NIS2-Richtlinie, PSD2, GDPR, die BAIT oder die EBA-Guidelines, die sich mit den Themen Cybersicherheit, der Schaffung eines sicheren Zahlungsmarktes oder dem Schutz von personenbezogenen Daten beschäftigten. Es gab jedoch bis dahin keine Verordnung, die sich speziell und ausschließlich mit der digitalen Resilienz von Finanzdienstleistungsunternehmen auseinandersetzte. Die bereits bestehenden Richtlinien werden durch DORA somit perspektivisch abgelöst (BAIT), ergänzt oder erweitert, um den besonderen Herausforderungen des digitalen Zeitalters im Finanzsektor gerecht zu werden.
NIS2 erfasst eine große Menge neuer Unternehmen
Welche Unternehmen fallen in den Geltungsbereich von NIS2
Wie DORA verfolgt auch die NIS2-Richtlinie („The Network and Information Security Directive“) das Ziel, die Resilienz gegenüber digitalen Bedrohungen zu stärken. Sie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen.
Während DORA den Finanzsektor im Fokus hat, konzentriert sich NIS2 auf die kritischen Infrastrukturen. Die NIS2-Richtlinie gilt für Unternehmen aus den 18 definierten Sektoren, die mehr als 50 Mitarbeiter haben und einen Jahresumsatz von über 10 Mio. EUR erwirtschaften. Schätzungen zufolge betrifft dies demnach zwischen 25.000 und 40.000 Unternehmen in Deutschland. Da Unternehmen keine offizielle Benachrichtigung erhalten werden, ob Sie zu den von NIS2 betroffenen Unternehmen zählen, müssen diese selbst entscheiden, ob die Richtlinie für sie gilt. Die Überwachung obliegt in Deutschland dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Auch die Wirtschaftsprüfer werden entsprechende Hinweise geben.
Verschärfung der bestehenden Regeln mit NIS2
Im Januar 2023 trat die NIS2 in Kraft und löste damit die NIS1-Richtlinie von 2016 ab. NIS2 sorgt für eine erhebliche Erweiterung und Verschärfung der bestehenden Richtlinie mit dem Ziel die Resilienz und Cybersicherheit in der gesamten EU weiter zu stärken. Im Vergleich zu NIS1 umfasst NIS2 zum einen mehr Sektoren. Der Grund hierfür besteht darin, dass die Klassifizierung der Sektoren in „wesentlich“ wie beispielsweise bei Energie, Verkehr und Gesundheitswesen sowie in „wichtig“ wie bei Postdiensten oder Abfallwirtschaft erfolgte. Damit zählen nicht mehr nur offensichtliche Betreiber kritischer Infrastrukturen, sondern auch Lebensmittelproduzenten und -händler, Online-Marktplätze oder auch Unternehmen aus dem Entsorgungssektor zu den 18 klassifizierten Kategorien. Neben dem Anstieg der betroffenen Unternehmen bringt NIS2 auch noch weitere Änderungen mit.
So fordert NIS2 im Vergleich zu NIS1 detailliertere und strengere Sicherheitsanforderungen ein und verschärft die Berichtspflichten im Falle eines Sicherheitsvorfalls. NIS2 fordert, eine Reihe von Schutzmaßnahmen einzuführen bzw. zu verschärfen wie Risikoanalysen, Maßnahmen zur Verbesserung der Business Continuity sowie weitere spezifische technische und organisatorische Maßnahmen zur Risikominderung. Die Richtlinie unterscheidet jedoch die Mindestvoraussetzungen anhand der Unternehmensgröße.
Des Weiteren ist in NIS2 die Meldepflicht strenger geregelt als bisher in NIS1. So verlangt diese nun von einer größeren Anzahl an Unternehmen eine detailliertere und schnellere Berichterstattung über Sicherheitsvorfälle. Diese müssen innerhalb von 24 Stunden, nachdem sie erkannt wurden, an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden. Innerhalb von 72 Stunden muss dann eine erste Bewertung erfolgen und innerhalb eines Monats ein detaillierter Abschlussbericht.
Schließlich werden umfassende Anforderungen an das Risikomanagement gestellt, die auch explizit die Sicherheit in der Lieferkette berücksichtigen. Dadurch müssen sich nun auch mittelgroße und kleine Firmen an die Richtlinien halten – und zwar genau dann, wenn sie als Lieferant für die direkt betroffenen Organisationen tätig sind. Um die gesamte Lieferkette zu schützen, sind sie gezwungen, ebenso strenge Sicherheitsmaßnahmen einzuhalten und umzusetzen.
Welche Sanktionen gibt es?
In NIS2 sind nun auch die Sanktionen harmonisiert worden, um die Durchsetzungskraft zu stärken. So gibt es nun klare Vorgeben für Bußgelder und Sanktionen bei Verstoß gegen die Richtlinien, die in den Artikeln 34, 35 und 36 erläutert werden. Verstöße können mit einem Höchstbetrag von mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes bei Einrichtungen in Sektoren hoher Kritikalität geahndet werden. Einrichtungen anderer kritischer Sektoren können mit einem Höchstbetrag von mindestens 7 Mio. EUR oder 1,4 % ihres weltweiten Umsatzes belastet werden. Die NIS2-Richtlinie nimmt auch die Geschäftsleitung stärker in die Verantwortung, da diese nun persönlich für die entstandenen Schäden aufgrund der Verletzung Ihrer Überwachungspflichten haftbar gemacht werden können.
Fazit: Gefährdungspotenzial ist in jedem Fall evident
Zusammenfassend eine Übersicht, weshalb sich Unternehmen im Jahr 2024 mit dem Thema Cybersicherheit auseinandersetzen sollten:
Mit den Richtlinien DORA sowie NIS2 wird die Relevanz der Resilienz wichtiger Wirtschaftssektoren gegenüber Cyberangriffen deutlich. Durch die Schaffung einheitlicher Regelungen, die sich gezielt an Finanzdienstleister sowie an Dienstleister für die Informations- und Kommunikationstechnologie wenden, wird die Bedeutung dieser Branche, aber auch die Bedrohung, der sie ausgesetzt ist, deutlich. Mit der Verschärfung der Sanktionen, der In-die-Pflicht-Nahme der Geschäftsführer sowie der von den Unternehmen geforderten Schutzmaßnahmen sollen die Risiken minimiert werden und das Kundenvertrauen gestärkt. Da nun auch eine Vielzahl an weiteren Branchen mit diesen Anforderungen konfrontiert werden, müssen sie sich mit dieser Thematik auseinandersetzen und auch die gewünschten Maßnahmen ergreifen.
Zählen Sie zu den Unternehmen, die ihre Sicherheitsstandards verbessern und dieses in die richtigen Hände geben möchten? Dann wenden Sie sich gerne an uns. Denn NAVAX Software GmbH ist spezialisiert auf die Bereitstellung von IT-Infrastrukturen für Finanzdienstleister und Wirtschaftsunternehmen und bietet Ihnen die Übernahme des Betriebs als Software as a Service in voller Compliance zu den gesetzlichen Richtlinien.
Bereits seit Jahren steht daher das Thema Cybersecurity im Fokus unseres Handelns. Modernste Lösungen (SIEM / Security Information and Event Management) und Services (SOC / Security Operations Center) stellen starke Verteidigungslinien gegen die schnell anwachsenden kriminellen Energien des heutigen digitalen Zeitalters dar.
Wir freuen uns über Ihre Kontaktaufnahme und beraten Sie gerne bei der Sicherstellung Ihrer digitalen Resilienz.