Cyberangriffe sind für Unternehmen aller Branchen eine elementare Gefahr. Im selben Takt der wachsenden Bedrohungslage erlässt die EU neue Verordnungen, Richtlinien und Regularien. Für die Finanzwelt spannend sind aktuell vor allem NIS2 und DORA. Zwar helfen solche Vorgaben, die Resilienz zu stärken, allerdings erhoffen sich betroffene Parteien, wie Banken und ihre Software-Zulieferer häufig mehr gegenseitige Absprachen zwischen den Parteien, die die verschiedenen Gesetze und Richtlinien ausarbeiten, beziehungsweise mehr Abstimmung zwischen den einzelnen Mitgliedsstaaten der europäischen Union.
Was unterscheidet die Rechtsvorschriften?
NIS2 (Network and Information Security 2) soll die Cybersecurity-Anforderungen für viele Bereiche der Grundversorgung und lebenswichtigen Infrastrukturen der EU harmonisieren. Sie stellt grobe Anforderungen, hohe Strafen bis auf Geschäftsleitungsebene, Meldungswege und Einrichtungen für die Cybersecurity in den Vordergrund. Sie ist eine Richtlinie, die bis Oktober 2024 in nationales Recht umzusetzen ist. Jedes Land der EU kann diese Umsetzung allerdings anders realisieren, was multinationalen Unternehmen wie Banken häufig Probleme bereitet. Auch die Wettbewerbssituation kann dadurch in den verschiedenen EU-Ländern verzerrt werden.
DORA (Digital Operational Resiliance Act) ist eine Verordnung, das heißt ein direkt gültiges, europäisches Gesetz und tritt 2025 in den Mitgliedsstaaten unmittelbar und unverändert in Kraft. Stellt NIS2 noch das Risikomanagement in den Vordergrund, konzentriert sich DORA mehr auf die Betriebsstabilität im Finanzsektor, sodass diese einem Cyberangriff standhalten kann und Finanzdienstleistungen weiter verfügbar sind. Die Ausgestaltung von Strafen wird hierbei den nationalen Behörden überlassen.
Beide Rechtsvorschriften setzen einen besonderen Schwerpunkt auf die Supply Chain. Software-Zulieferer müssen eng in das Riskmanagement und in die Betrachtung der Betriebsstabilität einbezogen werden. DORA legt hierbei Wert auf Pen-Tests und Sicherheitsüberprüfungen (alle drei Jahre), NIS2 erfordert zumindest in Deutschland alle zwei Jahre ein Sicherheitsaudit.
Zu viele Zuständigkeiten
Schwierig wird es dann wieder bei den Zuständigkeiten: Für NIS2 entfällt die Prüfkompetenz in Deutschland auf das BSI bzw. die BaFin. Artikel 46 von DORA enthält eine ganze Reihe von Behörden, die darüber hinaus die Einhaltung der Regularien garantieren sollen – bestenfalls die EZB bzw. auch die BaFin.
Für den Bereich der Vertrauensdienste erarbeitet das Europäische Institut für Telekommunikationsnormen (European Telecommunications Standards Institute; ETSI) gerade Anforderungen, die auch NIS2 mit beinhalten, sodass bestenfalls das Auditschema und auch die Meldekette eines Vertrauensdienstes dieselben bleiben könnte. Ein ähnliches Vorgehen wäre auch im Finanzsektor wünschenswert. Nichts verlangsamt die Maßnahmen gegen eine Cyberbedrohung mehr, als wenn Vorfälle im Dickicht der unterschiedlichen behördlichen Zuständigkeiten untergehen und Unternehmen ganze Meldeorganisationen aufrechterhalten müssen, um im Fall der Fälle aktiv zu werden. Die damit einhergehenden erhöhten Kosten für die geforderte Cyber-Resilienz werden Finanzinstitute und andere NIS2-Betroffene letztlich an ihre Kunden weitergeben müssen. Eine Zusammenführung und Vereinfachung der Zuständigkeiten und Harmonisierung der Audits bzw. Zertifizierungen wäre also auch im Interesse der Verbraucher.
Swisscom Trust Services ist der einzige europäische Anbieter, der eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) zur Verfügung stellt. Als führender Anbieter von Vertrauensdiensten in Europa ermöglicht Swisscom Trust Services seinen Partnern und Endkunden, innovative Geschäftsmodelle umzusetzen, durch die Bereitstellung identitätsbasierter Services, die ohne Medienbruch komplett digital ablaufen können. Der Signing Service erlaubt Partnern und Endkunden eine unkomplizierte Erweiterung der eigenen Business-Lösungen um eine elektronische Signatur unter Berücksichtigung branchenspezifischer Anforderungen und Compliance-Vorschriften. Dadurch entstehen Möglichkeiten, Prozesse rechtskonform zu digitalisieren, die bisher noch auf Papier erledigt werden mussten. Dabei kann es um die Unterzeichnung verschiedener Verträge (beispielsweise einen Arbeitsvertrag), den Abschluss einer Versicherung, Bankgeschäfte (Kontoeröffnung, Kreditantrag) oder das Abzeichnen von Protokollen gehen. Der Smart Registration Service ist die zentrale Komponente für Identifikation und Registrierung von Nutzern. Verschiedene Identifikationsmethoden (SRS Video, SRS Bank, SRS Direct oder SRS eID) werden in einem Service gebündelt und erlauben die einfache rechtskonforme Identifikation für elektronische Signaturen.
Die Swisscom Trust Services AG ist ein einhundertprozentiges Tochterunternehmen der Swisscom, dem führenden Telekommunikationsunternehmen der Schweiz.
Swisscom Trust Services AG
Konradstrasse 12
CH8005 Zürich
http://trustservices.swisscom.com/
Telefon: +49 (69) 506079-244
E-Mail: SwisscomDE@hotwireglobal.com
