IT-Sicherheit: DORA kommt – und niemand will sie sehen

Rückblick auf die vergangene Woche

Regulierung nervt. Immer. Die Umsetzung komplexer Vorschriften kostet Zeit, Kraft, Nerven – und oft auch viel Geld. Glaubt man als Unternehmen, endlich alle Vorgaben erfüllt zu haben, passiert es nicht selten, dass plötzlich irgendwelche Schlaumeier aus Berlin oder Brüssel um die Ecke kommen und eine noch bessere Idee präsentieren. Das Ganze geht dann von vorne los. Nun ist es bereits schon so, dass die Finanzbranche die vielleicht bestregulierte Branche überhaupt ist. MiFID II und MiFIR definieren auf mehr als 250 Seiten in 152 Artikeln mit all ihren Unterkategorien die aktuell geltenden Regeln für Wertpapierdienstleistungen und Handelsplätze. Und diese beiden Richtlinien sind nur ein kleines Pflänzchen im großen bunten Garten der Regulierungen. Dazu zählen unter anderem die Aufsichtsregeln für Banken und der Bankenaufsicht, die Gesetze für Ausfallrisiken, der Einlegerschutz, Vorgaben für Derivatekontrakte und Clearinghäuser, die gesetzliche Regelung des Zugangs zu Finanzierungen an den Kapitalmärkten, die europaweite Harmonisierung der Tätigkeit von Versicherungsunternehmen, die Regulierung der Zahlungsdienste und der Aktionsplan für ein nachhaltiges Finanzwesen. Jede der Richtlinien und Gesetze zieht zahllose Artikel, Paragrafen, Unterabschnitte, Interpretationen der Marktteilnehmer und Klarstellungen durch die Aufsichtsbehörden nach sich. Und es kommen immer neue Gesetze und Anforderungen hinzu.

Allein der aktuelle Regierungsentwurf zum Finanzmarktdigitalisierungsgesetz (FinmadiG) umfasst 23 Artikel auf 236 Seiten. Nur mal so zum Vergleich: Das Atomgesetz regelt auf nur 46 Seiten in fünf Artikeln und 58 Paragrafen die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren. Okay, das Atomgesetz wird in Deutschland bald komplett obsolet werden. Davon abgesehen, wird an diesem Beispiel aber die Dimension und Bedeutung klar, die der Gesetzgeber einer möglichst lückenlosen Finanzmarktregulierung beimisst.

Angesichts des Regulierungseifers in Brüssel ist es kein Wunder, dass der eine oder andere in der Finanzbranche mittlerweile mit Ohrenschutz und Scheuklappen vor seinem Bloomberg-Monitor sitzt und jede neue Ankündigung stoisch ignoriert. In der Hoffnung, sie möge ohne Folgen an ihm vorbeiziehen. Das Problem dabei: Die Taktik funktioniert nicht. Es ist vielmehr so, dass es eher meistens noch schlimmer kommt, wenn man zu spät erkennt, dass man sich längst auf einen bestimmten Stichtag hätte vorbereiten sollen, an dem eine Richtlinie, die man geflissentlich ignoriert hatte, in Kraft tritt.

Und so scheint es sich diesmal mit der EU-Verordnung DORA zu verhalten. In der vergangenen Woche hat die BaFin noch einmal dringlich darauf hingewiesen, dass im nächsten Jahr in Deutschland mehr als 3.600 Unternehmen DORA anwenden müssen. Die Verordnung soll den Finanzsektor besser gegen Cyberrisiken schützen. Denn sie will vereinheitlichte europaweite Verhaltensregeln für das Management von Risiken der Informations- und Kommunikationstechnologie (IKT) schaffen. So gut wie alle bereits heute beaufsichtigten Institute und Unternehmen und auch zahlreiche andere Anbieter müssen die Vorgaben beachten. Stichtag für die Anwendung ist der 17. Januar 2025. Hört man sich in der Branche um, geht es vielen mit der Verordnung so wie mit dem Besuch der ungeliebten Verwandtschaft. Ach so, wann kommt Tante Dora nochmal? Kann ich da nicht ganz, ganz schlimmen Husten haben? Können wir das nicht verschieben? Außerdem sind doch schon Onkel Anton und die Neffen da.

Onkel Anton ist im übertragenen Sinne der Anforderungskatalog, mit dem die IT-Sicherheit der Finanzbranche in Deutschland gewährleistet wird. Die Neffen BAIT, VAIT, KAIT und ZAIT stehen für die Regeln, mit denen Banken, Versicherer, Kapitalverwaltungsgesellschaften und Zahlungsdienstleister die Sicherheit ihrer IT-Infrastruktur sicherstellen sollen, inklusive Strategie, Governance und Risikomanagement. Insbesondere Letzteres wird immer wichtiger angesichts zunehmender Hackeraktivitäten aus Russland und China. Dessen sind sich auch die Finanzdienstleister bewusst. Theoretisch wäre deshalb auch eine europäische Harmonisierung sinnvoll.

DORA liefert hier jedoch, so hört man allenthalben aus der Branche, leider keinen sinnvollen Beitrag. Im Gegenteil. Die Verordnung wird seit vier Jahren auf EU-Ebene diskutiert und ist auch in ihrer jetzigen Fassung längst nicht mehr auf der Höhe der Zeit. Anstatt für mehr Klarheit, Einheitlichkeit und Transparenz zu sorgen, schafft DORA vor allem mehr Bürokratie und neue Verwaltungsschleifen von den betroffenen Unternehmen über die nationalen Aufsichtsbehörden nach Brüssel und wieder zurück.

Doch es hilft nicht, zu lamentieren. Am 17. Januar 2025 wird es an der Tür klingeln. Tante Dora wird kommen. Und es hat keinen Zweck, sich in der Besenkammer zu verstecken. Die Zeit drängt. Wer seinen IT-Keller noch nicht EU-konform aufgeräumt hat, sollte dies nun schleunigst tun.

Ausblick auf interessante Termine in dieser Woche

Am Dienstag treffen sich Bundeslandwirtschaftsminister Cem Özdemir, die Schriftstellerin und Umweltschützerin Karen Duve, der Schriftsteller und Bauer Reinhard Kaiser-Mühlecker und die Schriftstellerin und Bäuerin Nata?a Kramberger im Humboldt-Forum im Rahmen einer Veranstaltung des PEN Berlin, um öffentlich über die jüngsten Vorkommnisse zu reden. Das Diskussionsforum trägt den Titel „Protestbauern, Bauernproteste“. Hinweis: Der Eintritt ist frei, Traktoren müssen außerhalb des Humboldt-Forums verbleiben und dürfen nicht in den Veranstaltungsraum gefahren werden.

Am Mittwoch ist der sogenannte Equal Pay Day, der internationale Aktionstag für die Entgeltgleichheit zwischen Männern und Frauen. Der Equal Pay Day wurde erstmals 2008 auf Initiative der Business and Professional Women (BPW) Germany in Deutschland begangen. Entstanden ist der „Tag für gleiche Bezahlung“ in den USA. Der Equal Pay Day markiert den Tag, bis zu dem Frauen nach Berechnungen der Aktivistinnen umsonst arbeiten, wenn man die Verdienstlücke zwischen den Geschlechtern in jährliche Arbeitszeit umrechnet. Kritiker bemängeln, der Equal Pay Day vermittele – wider besseren Wissens der Organisatorinnen – den Eindruck, dass Frauen bei gleicher Arbeit hauptsächlich aufgrund von geschlechtsspezifischer Diskriminierung schlechter bezahlt würden. Tatsächlich sei der Lohnunterschied aber zum Großteil damit zu erklären, dass Frauen öfter in Teilzeit und in eher schlechter bezahlten Berufen (z. B. im sozialen und Bildungsbereich) arbeiten. Die Diskussion darüber, ob der Equal Pay Day korrekt berechnet, überflüssig oder ein wichtiger Tag ist, der zum Nach- und Umdenken anregen sollte, wird wohl auch am Mittwoch geführt werden.

Am Donnerstag tagt der EZB-Rat und gibt seine neue Zinsentscheidung bekannt. Erwartet wird, dass man von dem Gremium am Donnerstag nichts erwarten kann. Mittlerweile haben die Räte den Ruf weg, die Zeichen der Zeit nicht rechtzeitig zu erkennen. Als die Inflation Europa überrollte, hat die Europäische Zentralbank monatelang gezögert, die Zinsen zu erhöhen. Um dann plötzlich zehn Zinserhöhungen in Folge zu beschließen. Jetzt wiederholt sich das Szenario mit umgekehrten Vorzeichen. Die Inflation sinkt in Richtung zwei Prozent – also dem Zielwert der EZB. Und was passiert? Vermutlich auch erstmal nichts. Oder es kommt doch ganz anders. Der Zug jedenfalls rollt.

Am Freitag veröffentlicht die Europäische Statistikbehörde Eurostat das Bruttoinlandsprodukt für die Euroländer und die EU im vierten Quartal 2023. Damit wird dann auch endgültig das BIP für das Jahr 2023 komplett errechnet werden können.