DORA im Versicherungsbereich

Digitale operationale Resilienz im Versicherungsbereich

Informations- und Kommunikationstechnologien (IKT) sorgen dafür, dass der Finanzsektor am Laufen gehalten wird. Die zunehmende Digitalisierung und Vernetzung verstärken aber auch das IKT-Risiko, das das Finanzsystem anfälliger für Cyberbedrohungen oder IKT-Störungen macht. Mit dem Digital Operational Resilience Act (DORA) wird ein einheitlicher Rechtsrahmen für alle Finanzunternehmen geschaffen. Dadurch sollen die IKT-Kapazitäten und die digitale operationale Resilienz der Finanzunternehmen weiterentwickelt werden, um operativen Ausfällen standzuhalten.

Die wichtigsten Melde- und Anzeigepflichten für Versicherungsunternehmen sind im folgenden Dokument zusammengefasst:

DORA: Anzeigen/Meldungen (Dateiformat: pdf, Dateigröße: 407,6 KB, Sprache: Deutsch)

IKT-Vernetzungen: DORA-Informationsregister

Versicherungsunternehmen führen und aktualisieren im Rahmen ihres IKT-Risikomanagementrahmens auf Unternehmensebene sowie auf teilkonsolidierter und konsolidierter Ebene ein Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht.

Für die Vorlage bezüglich der Einmeldung des Informationsregisters an die österreichische Finanzmarktaufsicht (FMA): DORA – IKT-Risikomanagement.

IT-Verflechtungen

Auf Basis der Visualisierung der Vernetzungen der IT-Dienstleisterlandschaft im Versicherungssektor werden potentielle Konzentrationsrisiken dargestellt und weitere Ableitungen für die aufsichtliche Strategie und Praxis getroffen. Siehe dazu auch Bericht der FMA 2022 zur Lage der österreichischen Versicherungswirtschaft, Kapitel 2.10 (Verflechtungen: IT-Provider).

IKT-bezogene Vorfälle

  • Ein „IKT-bezogener Vorfall“ ist ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.
  • Als „schwerwiegender IKT-bezogener Vorfall“ gilt ein IKT-Vorfall, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen.
  • Eine „erhebliche Cyberbedrohung“ ist eine Cyberbedrohung, deren technische Merkmale darauf hindeuten, dass sie das Potenzial haben könnte, einen schwerwiegenden IKT-bezogenen Vorfall oder einen schwerwiegenden zahlungsbezogenen Betriebs- oder Sicherheitsvorfall zu verursachen.
  • Als „Cyberangriff“ gilt ein böswilliger IKT-bezogener Vorfall, der auf den Versuch eines Angreifers zurückgeht, einen Vermögenswert zu zerstören, freizulegen, zu verändern, zu deaktivieren, zu entwenden oder auf unberechtigte Weise auf diesen Vermögenswert zuzugreifen oder ihn auf unberechtigte Weise zu nutzen.

Siehe dazu auch Bericht der FMA 2021 zur Lage der österreichischen Versicherungswirtschaft, Kapitel 2.13.2 (IKT-bezogene Vorfälle – Cybervorfälle).

Tests der operationellen Resilienz

  • Cyber Exercise: Durch eine realitätsbezogene Simulation eines Cyberangriffs werden die unternehmensindividuellen Maßnahmen zur Sicherstellung der Cyberresilienz getestet und Verbesserungsmöglichkeiten evaluiert.
  • FMA-Assessment zu Mitigationsmaßnahmen: Ziel des Assessments ist die Evaluierung der Sicherheitsmaßnahmen, die Versicherungsunternehmen zur Bewältigung eines ausgewählten Cybervorfallszenarios gesetzt haben.
  • FMA-Cyber-Maturity Level Assessment: Die FMA setzt seit 2019 ein selbst entwickeltes Tool zur Messung und Evaluierung der Cyberresilienz der österreichischen Versicherungsunternehmen ein. Siehe dazu etwa FMA, Fakten, Trends & Strategien 2021, Beitrag „Cyber Maturity Level Assessment“ oder FMA, Digitalisierung am österreichischen Finanzmarkt 2021, Kapitel 10 (FMA-Cyber Maturity Level Assessment).
  • FMA-Cloud Maturity Level AssessmentDieses Tool hat die FMA im Jahr 2019 zur Evaluierung der von Versicherungsunternehmen und Pensionskassen getroffenen Vorkehrungen beim Cloud-Einsatz entwickelt. Siehe dazu auch FMA, Digitalisierung am österreichischen Finanzmarkt 2021, Kapitel 11 (FMA-Cloud Maturity Level Assessment).

Threat-Led Penetration Testing

Ein hohes Niveau an digitaler operationaler Resilienz setzt voraus, dass IKT-Systeme sowie die Mitarbeitenden mit IKT-bezogenen Zuständigkeiten regelmäßig auf die Effizienz ihrer Fähigkeiten für Prävention, Erkennung, Reaktion und Wiederherstellung hin getestet werden, um potenzielle IKT-Schwachstellen aufzudecken und zu beseitigen. Diese Tests haben eine breite Palette von Instrumenten und Maßnahmen zu umfassen, die von der Bewertung grundlegender Anforderungen (z.B. Bewertungen und Überprüfungen der Schwachstellen, Analysen von Open-Source-Software, Bewertungen der Netzwerksicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, soweit durchführbar, Szenario-basierte Tests, Kompatibilitätstests, Leistungstests oder End-to-End-Tests) bis hin zu erweiterten Tests anhand von Threat-Led Penetration Testing (TLPT) reichen. Diese erweiterten Tests sollten nur für Finanzunternehmen vorgeschrieben werden, die aus IKT-Perspektive ausgereift genug sind, um sie angemessen durchführen zu können. Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk Threat Intelligence-Based Ethical Red Teaming-EU (TIBER-EU). Die im Versicherungsbereich für die Durchführung dieser erweiterten Tests (TLPT) zuständige Behörde ist die FMA.