Drohendes Audit-Chaos statt Cybersicherheit im Finanzsektor

Die beiden europäischen Rechtsakte DORA und NIS2 sollen die Cybersicherheit im Finanzsektor der EU stärken. Doch das Nebeneinander von zwei Regularien könnte auch zu unnötig viel Bürokratie führen. Besser wäre es, die Auditverfahren zu harmonisieren und Zuständigkeiten zusammenzuführen.

(PDF)
EU GDPR data bits and bytes wave ripplesEU GDPR data bits and bytes wave ripplesmixmagic – stock.adobe.com

Ein Beitrag von Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services

Cyberangriffe sind für Unternehmen aller Branchen eine elementare Gefahr. Im selben Takt der wachsenden Bedrohungslage erlässt die EU neue Verordnungen, Richtlinien und Regularien. Für die Finanzwelt spannend sind aktuell vor allem NIS2 und DORA. Zwar helfen solche Vorgaben, die Resilienz zu stärken, allerdings erhoffen sich betroffene Parteien, wie Banken und ihre Software-Zulieferer häufig mehr gegenseitige Absprachen zwischen den Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, beziehungsweise mehr Abstimmung zwischen den einzelnen Mitgliedsstaaten der europäischen Union.

Was unterscheidet die Rechtsvorschriften?

NIS2 (Network and Information Security 2) soll die Cybersecurity-Anforderungen für viele Bereiche der Grundversorgung und lebenswichtigen Infrastrukturen der EU harmonisieren. Sie stellt grobe Anforderungen, hohe Strafen bis auf Geschäftsleitungsebene, Meldungswege und Einrichtungen für die Cybersecurity in den Vordergrund. Sie ist eine Richtlinie, die bis Oktober 2024 in nationales Recht umzusetzen ist. Jedes Land der EU kann diese Umsetzung allerdings anders realisieren, was multinationalen Unternehmen wie Banken häufig Probleme bereitet. Auch die Wettbewerbssituation kann dadurch in den verschiedenen EU-Ländern verzerrt werden.

DORA (Digital Operational Resiliance Act) ist eine Verordnung, das heißt ein direkt gültiges, europäisches Gesetz und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft. Stellt NIS2 noch das Risikomanagement in den Vordergrund, konzentriert sich DORA mehr auf die Betriebsstabilität im Finanzsektor, sodass diese einem Cyberangriff standhalten kann und Finanzdienstleistungen weiter verfügbar sind. Die Ausgestaltung von Strafen wird hierbei den nationalen Behörden überlassen.

Beide Rechtsvorschriften setzen einen besonderen Schwerpunkt auf die Supply Chain. Software-Zulieferer müssen eng in das Riskmanagement und in die Betrachtung der Betriebsstabilität einbezogen werden. DORA legt hierbei Wert auf Pen-Tests und Sicherheitsüberprüfungen (alle drei Jahre), NIS2 erfordert zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.

Zu viele Zuständigkeiten

Schwierig wird es dann wieder bei den Zuständigkeiten: Für NIS2 entfällt die Prüfkompetenz in Deutschland auf das BSI beziehungsweise die BaFin. Artikel 46 von DORA enthält eine ganze Reihe von Behörden, die darüber hinaus die Einhaltung der Regularien garantieren sollen – bestenfalls die EZB beziehungsweise auch die BaFin.

Für den Bereich der Vertrauensdienste erarbeitet das Europäische Institut für Telekommunikationsnormen (European Telecommunications Standards Institute; ETSI) gerade Anforderungen, die auch NIS2 mit beinhalten, sodass bestenfalls das Auditschema und auch die Meldekette eines Vertrauensdienstes dieselben bleiben könnte. Ein ähnliches Vorgehen wäre auch im Finanzsektor wünschenswert.

Nichts verlangsamt die Maßnahmen gegen eine Cyberbedrohung mehr, als wenn Vorfälle im Dickicht der unterschiedlichen behördlichen Zuständigkeiten untergehen und Unternehmen ganze Meldeorganisationen aufrechterhalten müssen, um im Fall der Fälle aktiv zu werden. Die damit einhergehenden erhöhten Kosten für die geforderte Cyber-Resilienz werden Finanzinstitute und andere NIS2-Betroffene letztlich an ihre Kunden weitergeben müssen. Eine Zusammenführung und Vereinfachung der Zuständigkeiten und Harmonisierung der Audits beziehungsweise Zertifizierungen wäre also auch im Interesse der Verbraucher.

(PDF)

LESEN SIE AUCH

Social networkSocial networkalphaspirit – stock.adobe.comSocial networkalphaspirit – stock.adobe.com
Management

KRITIS, NIS2 und DORA: Sind Versicherungsvermittler ein Teil kritischer Finanz-Infrastruktur?

NIS2 und DORA sind Regulierungen, deren Umsetzung nur in sehr großen Unternehmensstrukturen mit IT-Spezialabteilungen und erheblichen finanziellen Ressourcen gelingen dürfte. Somit ist die Besorgnis im Kreis der Versicherungsvermittler groß, dass die stark Branche, in den pflichtenauslösenden Anwendungsbereich von NIS2 und DORA fällt.

Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.Two business people working on the project to protect cyber security of international company using laptop. Padlock Hologram icons. Teamwork concept.
Digitalisierung

NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden

Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.

Internet security technology concept for business. ConfidentialInternet security technology concept for business. ConfidentialInternet security technology concept for business. Confidential
Cyber

Relyens und Cynerio – neue Cybersicherheitslösung für den europäischen Gesundheitsmarkt

Die Partnerschaft von Relyens und Cynerio zielt darauf ab, einen unübertroffenen Schutz vor Cyberbedrohungen und Schwachstellen zu bieten und so die Kontinuität der Pflege zu gewährleisten sowie die Sicherheit und Privatsphäre der Patienten zu schützen.

Programming code abstract technology background of software deveProgramming code abstract technology background of software deveProgramming code abstract technology background of software deve
Cyber

Grenzüberschreitende Cyber-Koordinierungsübung der G7-Finanzexperten im Finanzsektor

Die zuständigen Behörden der G7-Staaten führen regelmäßig Übungen durch, um sicherzustellen, dass sie ihre Reaktion auf einen weitreichenden Cybervorfall im Finanzsystem wirksam koordinieren und kommunizieren können.

Binaer-Code-Ransomware-154665118-AS-Shutter2UBinaer-Code-Ransomware-154665118-AS-Shutter2UShutter2U – stock.adobe.comBinaer-Code-Ransomware-154665118-AS-Shutter2UShutter2U – stock.adobe.com
Cyber

Ransomware im Finanzsektor: DORA-Verordnung als Chance für Unternehmen

DORA definiert spezifische Anforderungen an das Risikomanagement von Finanzdienstleistern und enthält gesetzliche Regelungen zu zentralen Bereichen, wie der präzisen Meldung von IKT-Vorfällen und dem Risikomanagement durch Dritte.

hacker with access denied messages on computershacker with access denied messages on computersSyda Productions – stock.adobe.comhacker with access denied messages on computersSyda Productions – stock.adobe.com
Finanzen

Weckruf: Hackerangriff auf die weltgrößte Bank

Eine Ransomware-Attacke auf die US-Sparte der ICBC hält die Finanzwelt in Atem. Angreifer verschafften sich Zugang zu den Servern des Bankgiganten und verschlüsselten darin gespeicherte Daten – mit schweren Konsequenzen für den Betriebsalltag. Ein Weckruf für den Finanzsektor!

Mehr zum Thema

Im Mozartsaal des Congress Center Rosengarten wurde auf dem Fondskongress 2025 intensiv über die Auswirkungen der Trump-Präsidentschaft auf die Finanzmärkte diskutiert.Foto: expertenReportIm Mozartsaal des Congress Center Rosengarten wurde auf dem Fondskongress 2025 intensiv über die Auswirkungen der Trump-Präsidentschaft auf die Finanzmärkte diskutiert.Foto: expertenReport
Finanzen

Fondskongress 2025 in Mannheim: Neue Trends und alte Herausforderungen

Der Fondskongress 2025 hat einmal mehr bewiesen, dass die Investmentbranche im stetigen Wandel ist. Zwei Tage lang trafen sich führende Experten, Finanzberater und Asset Manager im Congress Center Rosengarten in Mannheim, um über die Zukunft der Finanzwelt zu diskutieren.

Festgeld bringt Sparerinnen und Sparern im Durchschnitt nicht mehr genug Rendite, um die Inflation auszugleichen, so eine Verivox-Erhebung.geralt / pixabayFestgeld bringt Sparerinnen und Sparern im Durchschnitt nicht mehr genug Rendite, um die Inflation auszugleichen, so eine Verivox-Erhebung.geralt / pixabay
Finanzen

Inflation frisst Sparzinsen auf – Festgeld-Realzins wieder negativ

Festgeld bringt Sparerinnen und Sparern im Durchschnitt nicht mehr genug Rendite, um die Inflation auszugleichen. Laut einer aktuellen Verivox-Auswertung liegt der Realzins erstmals seit einem Jahr wieder im negativen Bereich. Dennoch gibt es Möglichkeiten, sich gegen den schleichenden Wertverlust zu schützen.

LV 1871-Vorstand Hermann SchrögenauerLV 1871LV 1871-Vorstand Hermann SchrögenauerLV 1871
Finanzen

Finanzplanung auf dem Tiefpunkt: Nur 26 Prozent der Deutschen planen ihre Finanzen aktiv

Die finanzielle Absicherung wird in Zeiten unsicherer Rentensysteme und wachsender Altersarmut immer wichtiger. Dennoch haben nur 26,3 Prozent der Menschen in Deutschland einen Finanzplan für 2025, wie eine aktuelle Umfrage der LV 1871 zeigt.

Bei der Geldanlage 2025 steht vor allem Sicherheit im Fokus der Deutschen, so ein Umfrage-Ergebnis (Symbolbild).ChristophMeinersmann / pixabayBei der Geldanlage 2025 steht vor allem Sicherheit im Fokus der Deutschen, so ein Umfrage-Ergebnis (Symbolbild).ChristophMeinersmann / pixabay
Finanzen

Die beliebtesten Geldanlagen 2024/2025

Immobilien, Tagesgeld, Gold und Fonds sind die Favoriten der Deutschen für das kommende Jahr. Sicherheit bleibt der wichtigste Faktor bei der Geldanlage.

Das Fintech Revolut bietet seinen Kunden in Deutschland ab sofort die Möglichkeit, kostenfreie ETF-Sparpläne zu nutzen.viarami / pixabayDas Fintech Revolut bietet seinen Kunden in Deutschland ab sofort die Möglichkeit, kostenfreie ETF-Sparpläne zu nutzen.viarami / pixabay
Finanzen

Revolut startet kostenfreie ETF-Sparpläne in Deutschland

Das Fintech Revolut bietet seinen Kunden in Deutschland ab sofort die Möglichkeit, kostenfreie ETF-Sparpläne zu nutzen. Damit erweitert das Unternehmen sein Angebot im Bereich Kapitalmarktanlagen.

Wie Edelmetalle Selbstständigen dabei helfen können, ihr Kapital zu sichern und in Krisenzeiten stabil zu bleiben, erklärt Heyla Kaya im Gastbeitrag.Heyla KayaWie Edelmetalle Selbstständigen dabei helfen können, ihr Kapital zu sichern und in Krisenzeiten stabil zu bleiben, erklärt Heyla Kaya im Gastbeitrag.Heyla Kaya
Finanzen

Wie Edelmetalle als Krisenversicherung für Selbstständige dienen können

Wie Edelmetalle Selbstständigen dabei helfen können, ihr Kapital zu sichern und in Krisenzeiten stabil zu bleiben, erklärt Heyla Kaya im Gastbeitrag.