Geteiltes Wissen, gestärkte Resilienz: Informationsaustausch über Cyberbedrohungen gemäß Art. 45 DORA

Abstract

Die zunehmende Bedrohung durch Cyberangriffe stellt insbesondere die Finanzbranche vor große Herausforderungen. Der ab dem 17. Januar 2025 geltende Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen in der EU daher zu einem umfassenden Management von IKT-Risiken, um ihre digitale operationale Resilienz zu stärken. Der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen, insbesondere sogenannter Threat Intelligence, spielt eine zentrale Rolle beim Schutz vor Cyberangriffen. Der DORA fördert deshalb den europaweiten Informationsaustausch zwischen Finanzunternehmen durch die erstmalige Schaffung eines einheitlichen gesetzlichen Rahmens. Bisher findet ein solcher Austausch hauptsächlich auf nationaler Ebene statt. Dieser Beitrag beleuchtet den regulatorischen Rahmen für den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen gemäß DORA. Berücksichtigt werden dabei insbesondere Interdependenzen zu dem Recht zum Schutz von Geschäftsgeheimnissen, dem Datenschutzrecht und dem Wettbewerbsrecht. Darüber hinaus werden bestehende Kooperationsformen vorgestellt, wie die Allianz für Cybersicherheit, der Verein Cyber Security Sharing and Analytics, die European Cloud User Coalition und die TIBER-DE Community.

The escalating threat of cyberattacks poses significant challenges, particularly for the financial sector. The Digital Operational Resilience Act (DORA), which comes into force in the EU on January 17, 2025, therefore obliges financial entities to implement a comprehensive ICT risk management framework to bolster their digital operational resilience. The exchange of information and intelligence about cyber threats, in particular so-called threat intelligence, plays a central role in protecting against cyber attacks. DORA facilitates the Europe-wide exchange of information among financial entities by establishing a unified legal framework for the first time. Until now, this exchange has primarily occurred at the national level. This article explores the regulatory framework governing the exchange of cyber threat information and intelligence under DORA. Particular attention is paid to the interdependencies with trade secret protection law, data protection law, and competition law. Furthermore, existing cooperative frameworks are presented, including the Alliance for Cyber Security, the Cyber Security Sharing and Analytics Association, the European Cloud User Coalition, and the TIBER-DE Community.