Autor/-in
Veröffentlicht am
5 September 2024
Lesezeit
Benötigtes Wissen
Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (DORA) verabschiedet. Sie ist am 17. Januar 2023 in Kraft getreten und gilt ab dem 17. Januar 2025. Die EU-Kommission hat den Vorschlag für DORA am 24. September 2020 als Teil eines Pakets zur Digitalisierung des Finanzsektors vorgelegt, das auch einen Rechtsakt über Märkte für Kryptowerte (MiCAR), eine Pilotregelung für DLT-basierte Marktinfrastrukturen und eine Strategie für digitale Finanzsysteme umfasst.
DORA zielt darauf ab, den Finanzsektor, der in hohem Mass von Informations- und Kommunikationstechnologie (IKT) abhängig ist, vor IKT-Risiken zu schützen, und legt Regeln für das IKT-Risikomanagement, die Meldung von Cybervorfällen, die Prüfung der operationellen Belastbarkeit und die Überwachung von IKT-Risiken durch Dritte fest. Sie harmonisiert die Vorschriften für 20 verschiedene Arten von Finanzinstituten und IKT-Drittdienstleistern, um die Widerstandsfähigkeit gegen schwerwiegende Betriebsstörungen zu gewährleisten. Als «lex specialis» wird DORA alle sich überschneidenden Rechtstexte, wie zum Beispiel die NIS-Richtlinie (Network and Information Security Directive), ersetzen und als Hauptbezugspunkt für die Compliance von Finanzinstituten dienen.
Rechtswirkung in Liechtenstein und mittelbare Auswirkungen auf die Schweiz
Damit DORA im EWR-Mitgliedstaat Liechtenstein Rechtswirkung entfalten kann, bedarf es zunächst eines Beschlusses des Gemeinsamen EWR-Ausschusses und der damit verbundenen Übernahme in das EWR-Abkommen. Eine Übernahme von DORA in das EWR-Abkommen ist derzeit noch nicht erfolgt. Es wird jedoch von einem zeitgleichen Inkrafttreten mit der EU ausgegangen.
Da die Schweiz weder Mitglied der EU noch des EWR ist, muss sie DORA nicht direkt umsetzen – und auch die Verordnung ist in der Schweiz nicht direkt anwendbar. Indirekt betroffen sind jedoch Schweizer IKT-Dienstleister, die Services für Finanzinstitute in der EU erbringen wollen. Dies gilt ungeachtet der Frage, ob es sich um unabhängige Dritte oder um mit einem EU-Finanzinstitut verbundene Gruppengesellschaften handelt. DORA erlegt EU-Finanzunternehmen zusätzliche Pflichten auf, wenn sie mit IKT-Dienstleistern ausserhalb der EU, einschliesslich der Schweiz, zusammenarbeiten.
Empfehlungen: Strategien und Anforderungen
Digitale operationelle Resilienz bedeutet, dass Unternehmen in der Lage sind, ihre operationelle Integrität trotz Störungen der IKT aufrechtzuerhalten. Finanzinstitute müssen ein robustes Programm entwickeln, das ihrer Grösse und ihrem Geschäftsprofil entspricht, um ihre Widerstandsfähigkeit zu bewerten und Schwachstellen zu identifizieren. Dieses Programm muss die Entwicklung der Cyberbedrohungen berücksichtigen und jährliche Tests aller kritischen IKT-Anwendungen und Systeme durch unabhängige, qualifizierte interne oder externe Stellen umfassen. Die Tests sollten Schwachstellenbewertungen, Netzwerksicherheitsanalysen und andere Methoden beinhalten, um eine umfassende Abdeckung und die kontinuierliche Verbesserung zu gewährleisten. Darüber hinaus müssen interne Richtlinien und Verfahren festlegen, welche Probleme vorrangig zu lösen sind, und Bewertungsmethoden sollten sicherstellen, dass alle Schwachstellen vollständig behoben werden.
Soweit Finanzinstitute Dienstleistungen von externen kritischen Dienstleistern in Anspruch nehmen, sind diese in die Resilienzüberlegungen einzubeziehen. Dies bedeutet, dass die Finanzinstitute die Sicherheitsmassnahmen und die Resilienzstrategien ihrer Dienstleister regelmässig überprüfen und sicherstellen müssen, dass diese den eigenen Standards entsprechen.
Beitritt zum Swiss FS-CSC
Die rasante technologische Entwicklung führt dazu, dass sich die Methoden und Strategien von Cyberangriffen laufend verändern. Banken werden in Zukunft noch mehr finanzielle und personelle Ressourcen benötigen, um einen adäquaten Schutz vor Cyberangriffen zu gewährleisten. Der bestehende Fachkräftemangel im Bereich der Cybersicherheit wird sich dadurch weiter verschärfen, weshalb es umso wichtiger ist, entsprechende Spezialisten ins Land zu holen. Die Banken in Liechtenstein sind sich dieser Risiken und der damit verbundenen Herausforderungen bewusst und überwachen sie rund um die Uhr. Sie setzen sowohl Ressourcen als auch künstliche Intelligenz ein, um sie effizient zu managen.
Auch auf Verbandsebene geniesst Cybersicherheit hohe Priorität. Der Liechtensteinische Bankenverband ist dem Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC) beigetreten, um die Zusammenarbeit mit der Schweiz zu stärken und die Cyberresilienz zu erhöhen. Der im April 2022 gegründete Verein bietet Finanzinstituten und Vereinen zusätzliche Ressourcen und Unterstützung zur Verbesserung ihrer Resilienz, eine Plattform für den Austausch von Informationen und Best Practices sowie spezialisierte Schulungen und Unterstützung bei der Entwicklung von Sicherheitsstrategien
Ivica Kuzmic Liechtensteinischer Bankenverband
Panorama
Die Schweiz hat SCION entwickelt, eine sichere Netzwerkarchitektur, die von der ETH Zürich, der SNB und SIX genutzt wird. SCION findet auch international Anwendung und wird von der IETF auf Standardisierung geprüft. Es bietet Routing-Kontrolle und Schutz vor Cyberangriffen.
6 Juni 2024
Focus
Die SNB startet einen Pilotbetrieb mit digitalem Zentralbankgeld (wCBDC) auf der SIX Digital Exchange. Pilotbanken können Transaktionen in wCBDC abwickeln, um Effizienz und Sicherheit zu erhöhen. Der Pilotbetrieb läuft bis Mitte 2024 und soll Abwicklungsrisiken minimieren.
5 Dezember 2023
Talk
Die Einführung von privatem Tokengeld in der Schweiz stellt gemäss Prof. Cornelia Stengel rechtliche Herausforderungen dar. Tokengeld könnte Transaktionskosten senken und die Effizienz steigern. Es bietet Vorteile für den Wertschriftenhandel und erfordert eine geeignete Infrastruktur.
Eine intelligente Banknote kombiniert physisches und digitales Geld. Sie fühlt sich an wie eine normale Note, kann aber durch Scannen eines QR-Codes in ein Wallet übertragen werden. Diese hybride Geldform wurde von Orell Füssli entwickelt und könnte eine Alternative zu CBDCs bieten.
Experts
Seit dem EBICS-Beitritt der Schweiz hat sich das Standard-Transportprotokoll etabliert. Version 3.0 harmonisiert Dialekte und ersetzt proprietäre Protokolle. EBICS bietet hohe Stabilität, unterstützt eBill und Instant Payments und wird von vielen Schweizer Banken genutzt.
15 März 2023
Marktinfrastrukturen müssen mit der Zeit gehen. Cyberrisiken, Kryptowährungen, Stablecoins und CBDCs sind Herausforderung, der sich die Betreiber laufend stellen müssen. Veränderung ist also Programm. Interview mit Dr. Ruth Wandhöfer, Professorin am London Institute of Banking & Finance.
7 Dezember 2022
PAY NEWSLETTER
Treten Sie unserer Community bei und verpassen Sie keine Updates mehr!
Rubriken