Neue EU-Verordnung verpflichtet Versicherer zu mehr IT-Sicherheit

Digitale Technologien spielen eine zentrale Rolle für Versicherungen. Um die IT-Sicherheit in den Unternehmen zu stärken, hat die Europäische Union im Januar 2023 eine Verordnung zur digitalen operationalen Resilienz (DORA) verabschiedet, die ab Januar 2025 von nahezu allen Finanzinstitutionen angewendet werden muss. Der Fokus von DORA liegt auf Informations- und Kommunikationstechnologie (IKT)-Systemen, die Geschäftsabläufe aufrechterhalten, wie beispielsweise den Abschluss von Versicherungsprodukten. DORA zielt darauf ab, dass im Falle eines Cyberangriffs oder einer anderen schwerwiegenden Betriebsstörung die Unternehmen stabil und funktionsfähig bleiben können.

Die Verordnung ist sehr weitreichend und betrifft nicht nur klassische Finanzunternehmen wie Versicherungen und Banken, sondern mitunter auch deren IKT-Drittdienstleister, einschließlich Cloud-Dienstleister und Rechenzentren. Die europäischen Vorgaben gelten unmittelbar und sind von den Unternehmen umzusetzen. Zusätzliche nationale Sonderregelungen, wie die jährliche Prüfpflicht der DORA-Einhaltung als Bestandteil der Jahresabschlussprüfung sollen im Finanzmarktdigitalisierungsgesetz (FinmadiG) verankert werden.

Umfassendes IKT-Risikomanagement erforderlich

Damit Finanzunternehmen ihre Funktionsfähigkeit gewährleisten können, müssen sie ihre IKT-Risiken effektiv steuern. Dazu sind die betroffenen Unternehmen aufgefordert, ein umfassendes IKT-Risikomanagementsystem einzuführen. In der Praxis bedeutet das, dass neue Verantwortlichkeiten und Schnittstellen festgelegt werden müssen. Unternehmen sollen unter anderem eine Resilienzstrategie entwickeln, Richtlinien zur Informationssicherheit und Geschäftskontinuität dokumentieren sowie Pläne zur Reaktion und Wiederherstellung von IKT-Systemen vorhalten. Um Versicherungsunternehmen realistisch zu bewerten, sind in regelmäßigen Abständen Prüfungen und Tests durch interne und externe Experten gefordert. Die Unternehmen sollen sich nicht nur vor externen Angriffen schützen, sondern auch schwerwiegende IT-Probleme meistern, die nicht durch kriminelle Absichten verursacht werden.

Strenge Vorgaben für die Meldung von IKT-Vorfällen

Wenn sich ein IKT-Vorfall als schwerwiegend herausstellt, muss dies der Aufsichtsbehörde spätestens nach 24 Stunden und mit einer ausführlichen Beschreibung gemeldet werden. Dabei sind die vom Gesetzgeber festgelegten Klassifizierungskriterien umfangreich und betreffen unterschiedliche Unternehmensbereiche. Sie umfassen unter anderem die potenzielle Anzahl betroffener Kunden sowie die möglichen finanziellen Auswirkungen. Zusätzlich muss der Inhalt der Erst-, Zwischen- und Abschlussmeldungen unternehmensweit zusammengetragen und dokumentiert werden.

Risiken durch zunehmende Nutzung von Drittdienstleistern

Um alle Anforderungen regelkonform zu gewährleisten, sind große personelle und finanzielle Ressourcen erforderlich. Insbesondere im Bereich des Managements von Drittanbieterrisiken, etwa von Service-Providern, verlangt DORA den Unternehmen umfassende Anforderungen ab. Entsprechend dem Prinzip der Letztverantwortung müssen sich Finanzunternehmen noch stärker mit internen Risiken aber auch mit Risiken aus der Beauftragung von Drittanbietern und deren Unterbeauftragung befassen. Auch die IKT-Drittanbieter selbst werden durch den neu eingeführten Überwachungsrahmen stärker in den Fokus der regulatorischen Kontrolle genommen. Sie können als sogenannte kritische IKT-Drittdienstleister künftig Überprüfungen und Maßnahmen der Europäischen Aufsichtsbehörden unterliegen. Kriterien für solche Dienstleister sind zum Beispiel die systemische Relevanz oder die funktionelle Abhängigkeit der Finanzunternehmen vom IKT-Drittdienstleister.

Umsetzungsfrist ist knapp bemessen

Mit der Einführung von DORA wollen die europäischen Gesetzgeber eine neue Ära der IT-Sicherheit und operativen Widerstandsfähigkeit einleiten. Technische Details zu den regulatorischen Vorgaben sind noch nicht final. Auch wenn viele der Anforderungen für deutsche Versicherungsunternehmen bereits aus dem bisherigen VAIT-Rundschreiben der BaFin bekannt sind, bleibt der Aufwand für die Umsetzung erheblich. Besonders kleinere und mittlere Versicherungsunternehmen mit begrenzten Personalressourcen stehen vor großen Herausforderungen. Zwar enthält DORA den Grundsatz der Proportionalität, doch lässt der Detailgrad der Anforderungen oft wenig Raum für eine angepasste Umsetzung. Seit der Verabschiedung im Jahr 2023 werden die Details sukzessive ausgearbeitet und kommuniziert. Die Frist zur Umsetzung bis zum 17. Januar 2025 ist daher knapp bemessen.

Mehrfache Meldepflichten für Versicherungsgruppen möglich

Während DORA die Cybersicherheit speziell für den Finanzsektor regelt, erfasst die NIS2-Richtlinie beziehungsweise das kommende nationale NIS2-Umsetzungsgesetz branchenübergreifend sogenannte kritische Infrastrukturen. Die EU-Richtlinie NIS2 legt damit ebenfalls EU-weite Mindeststandards für IT-Sicherheit fest, die bis Oktober 2024 in deutsches Recht umgesetzt werden müssen. Aufgrund der inhaltlichen Überschneidung beider Regulierungen werden Finanzunternehmen, die unter DORA fallen, weitestgehend von NIS2 ausgenommen. Trotzdem bestehen mittelbar Wechselwirkungen. So fallen gruppeninterne IT-Dienstleister weiterhin unter NIS2.

Im Umkehrschluss können auch NIS2-Regelungen für Versicherungsgruppen relevant werden: IT-Vorfälle müssten beispielsweise laut DORA über die Versicherungsunternehmen beziehungsweise von allen betroffenen Konzerngesellschaften an die BaFin gemeldet werden. Die IT-Tochter der Versicherungsgruppe müsste wiederum gemäß NIS2 an das Bundesamt für Sicherheit in der Informationstechnik melden. Inhalt, Verfahren und Form der Meldungen sind derzeit nicht identisch – mit der Folge, dass derselbe Vorgang unterschiedlich und mehrfach zu melden wäre.