Die Digital Operational Resilience Act (DORA) wurde am 14. Dezember 2022 verabschiedet und tritt am 17. Januar 2025 in Kraft. Ziel der Verordnung ist es, ein harmonisiertes hohes Maß an cyberoperativer Widerstandsfähigkeit innerhalb der Informations- und Kommunikationstechnologie (IKT) der europäischen Finanzindustrie sicherzustellen. Im Kern reguliert DORA die Beziehungen zwischen Finanzinstituten und externen IKT-Dienstleistern, insbesondere bei der Bewertung kritischer Abhängigkeiten und der Einhaltung spezifischer Resilienzstandards.
Die Smart Payment Association (SPA) argumentiert in ihrem Positionspapier, dass die physische Personalisierung von Zahlungskarten nicht in den Geltungsbereich von DORA gehört. Das Papier liefert eine detaillierte Begründung dieser Position.
Schlüsselargumente der SPA
1. Kartenpersonalisierung als industrieller Prozess
Nach Artikel 3(21) von DORA umfasst der Begriff „IKT-Dienstleistungen“ digitale und datenbezogene Dienste, die über vernetzte Systeme bereitgestellt werden. Die Personalisierung von Zahlungskarten ist ein rein industrieller Prozess, bei dem Kartendaten offline in personalisierten Karten integriert werden. Dieser Vorgang findet in spezialisierten Produktionszentren statt und ist somit weder ein IKT-Dienst noch ein Teil der Bank- oder Zahlungssysteme.
2. Keine Integration in Zahlungsverkehrssysteme
Zahlungskartensysteme sind hochgradig vernetzte Infrastrukturen, deren Funktionsfähigkeit von Echtzeitkommunikation abhängt. Im Gegensatz dazu agieren Personalisierungszentren autonom und sind nicht mit diesen Systemen verbunden. Störungen im Personalisierungsprozess haben daher keinerlei Auswirkungen auf die Leistung oder Verfügbarkeit von Zahlungssystemen.
3. Offline und sicher isoliert
Die Personalisierung erfolgt offline und ist streng isoliert von den IKT-Systemen der Banken. Datenübertragungen zwischen Banken und Personalisierungszentren erfolgen über geschützte End-to-End-Verbindungen. Nach Abschluss der Personalisierung werden die Daten gelöscht, wodurch jegliche Rückwirkung auf die Bankensysteme ausgeschlossen wird. Dies minimiert potenzielle Risiken für die Bankensysteme erheblich.
4. DORA’s Fokus auf Netzwerke und IKT-Systeme
DORA wurde entwickelt, um systemische Risiken durch die Interkonnektivität von IKT-Systemen in der Finanzindustrie zu adressieren. Da Personalisierungszentren keine vernetzten IKT-Systeme darstellen, können sie keine technischen oder systemischen Risiken erzeugen, wie sie von DORA reguliert werden sollen. Eine Verzögerung im Kartenversand ist ein logistisches Problem und nicht mit den cyberoperativen Risiken vergleichbar, die DORA adressiert.
Zusammenfassung und Schlussfolgerungen
Das zentrale Anliegen von DORA besteht darin, die Widerstandsfähigkeit von Finanzdienstleistungen gegenüber Cybervorfällen und systemischen Risiken zu stärken. Personalisierungszentren sind weder Netzwerkinfrastrukturen noch essentielle Komponenten von Zahlungssystemen und fallen daher außerhalb des Anwendungsbereichs der Verordnung. SPA fordert deshalb, die Kartenpersonalisierung explizit von den DORA-Vorgaben auszunehmen.
Mit dieser Position unterstreicht die SPA die Notwendigkeit, regulatorische Vorgaben zielgerichtet zu gestalten, um deren Effektivität und Anwendbarkeit zu maximieren, ohne industrielle Prozesse unnötig zu regulieren.