Artikel
14.07.2025
Standpunkt: EU-Cybersicherheit (DORA)
Banken ausgewogen vor Cyber-Angriffen schützen
Kernforderungen
- Schutz vor Cyber-Angriffen proportional ausgestalten
- Meldepflichten auf das notwendige Mindestmaß reduzieren
- Banken ausreichend Zeit zur Umsetzung geben
Worum geht es?
Hintergrund
Der 2023 in Kraft getretene Digital Operational Resilience Act (DORA) soll dazu dienen, den Finanzsektor in Europa besser vor Cyberrisiken zu schützen. Seit dem 17. Januar 2025 gelten für mehr als 3.600 Unternehmen des Finanzsektors in Deutschland und für über 20.000 Finanzunternehmen in Europa zusätzliche Meldepflichten und IT-Standards. Anlass für die Verordnung ist die wachsende Gefahr, dass unzureichende, bankenindividuell festgelegte IT-Standards im Finanzwesen verheerende Auswirkungen nicht nur auf den Bankensektor, sondern auch auf die Realwirtschaft und damit auf ganze Volkswirtschaften haben. Da es um die Grundlage des täglichen Wirtschaftens und Zusammenlebens geht, sind in einem so sensiblen Bereich besondere Vorsichtsmaßnahmen geboten, die einen störungsfreien Geschäftsbetrieb garantieren.
Direkt von DORA betroffen sind vor allem Kreditinstitute und Versicherungsunternehmen, aber auch Versicherungsvermittler, Vermögensverwalter, Abschlussprüfer sowie Drittanbieter von Informations- und Kommunikations-technologien (IKT). Die Beaufsichtigung erfolgt durch die europäischen Aufsichtsbehörden (ESA, European Supervisory Authorities).
Ausgangslage
Mit der DORA-Verordnung setzt die EU erstmals europaweit einheitliche IKT-Mindeststandards für Finanzmarktakteure, vor allem in Bezug auf das Risikomanagement. Ziel ist es, dadurch die Widerstandsfähigkeit gegen Cyber-Angriffe zu erhöhen. Dies ist im Grundsatz zu begrüßen. Denn bislang bestanden große Ungleichheiten bei den Sicherheitsstandards je nachdem in welchem Land sich ein Finanzunternehmen befand. Seit dem Inkrafttreten der Verordnung werden zu deren Konkretisierung sukzessive technische Standards veröffentlicht.
Problem
In Bezug auf die Kleinteiligkeit der Ausgestaltung des Regelwerks ist der Gesetzgeber übers Ziel hinausgeschossen. So müssen eine viel zu hohe Anzahl an Vorfällen dokumentiert und bewertet werden, die in der Praxis nicht sicherheitsrelevant sind. Zudem sind die Dokumentations- und Meldeanforderungen für das IKT-Risikomanagement zu detailliert und führen zu großem Aufwand bei den Banken. Auch das Management des IKT-Drittparteienrisikos verursacht viel Bürokratie. Hierbei sind sowohl der Inhalt als auch die Sinnhaftigkeit des Umfangs des Informationsregisters fraglich. Zudem entsteht hoher Druck auf die Banken durch kurze Umsetzungsfristen. Insgesamt berücksichtigen die IKT-Anforderungen viel zu wenig die Größe einer Bank sowie ihr Geschäftsmodell. Diese Faktoren sind jedoch entscheidend, um das damit verbundene Gefahrenpotential für die Finanzstabilität und letztlich auch für die Resilienz ganzer Volkswirtschaften zu quantifizieren. Durch die unverhältnismäßigen Vorgaben entstehen Kosten, die unbegründet sind und keinen verhältnismäßigen Mehrwert für die digitale Sicherheit der Banken und des Finanzsystems insgesamt bieten.
Lösung
„One-size-fits-all“ – Regulierungen können auf dem so vielfältigen Bankenmarkt grundsätzlich keine befriedigende Lösung darstellen. Es muss daher in der Praxis der Bankenaufsicht Berücksichtigung finden, dass das systemische Risiko von Genossenschaftsbanken erheblich geringer ist als das von international vernetzten Großbanken. Gleichzeitig geht es darum, Meldepflichten auf ein Mindestmaß zu reduzieren. Beispielweise müssen Wesentlichkeitsschwellen angepasst werden, sodass keine Flut an irrelevanten Meldungen von IKT-Vorfällen entsteht. Außerdem ist besonders darauf zu achten, dass es gegenüber den Meldestellen nicht zu Doppelabfragen kommt. Bestehende Meldeanforderungen sind deshalb mit neuen Auflagen zusammenzulegen. Zudem sollte den Banken ausreichend Zeit für die Umsetzung der neuen Vorgaben gegeben werden. Verzögerungen bei der Veröffentlichung technischer Standards dürfen nicht zu einer Verkürzung der Umsetzungsfristen führen.
Dr. Angelika Hösl-Sachs
Wirtschaftspolitische Referentin
Stab Politik und Wirtschaft