DORA greift ab Januar 2025: Diese Unternehmen sind betroffen

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union und seit dem 17. Januar 2023 in Kraft. Ab dem 17. Januar 2025 wird sie angewendet. DORA ist Teil eines umfassenden EU-Pakets zur Digitalisierung und soll insbesondere die Finanzmärkte widerstandsfähiger gegenüber den wachsenden Bedrohungen durch Cyberangriffe machen.
Kategorien:

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union und seit dem 17. Januar 2023 in Kraft. Ab dem 17. Januar 2025 wird sie angewendet. DORA ist Teil eines umfassenden EU-Pakets zur Digitalisierung und soll insbesondere die Finanzmärkte widerstandsfähiger gegenüber den wachsenden Bedrohungen durch Cyberangriffe machen.

Hintergrund und Notwendigkeit von DORA

Die Digitalisierung hat in den letzten Jahren den Finanzsektor stark verändert. Banken, Versicherungen, Zahlungsdienstleister und andere Finanzinstitute setzen zunehmend auf digitale Technologien, um ihre Dienstleistungen effizienter und kundenfreundlicher zu gestalten. Gleichzeitig sind diese Technologien jedoch anfällig für Cyberangriffe, technische Störungen und andere operative Risiken.

Die EU hat erkannt, dass die operative Widerstandsfähigkeit der Finanzbranche nicht nur eine Herausforderung für die Unternehmen selbst ist, sondern auch eine Bedrohung für die Stabilität des gesamten Finanzsystems darstellen kann. Ein schwerwiegender IT-Ausfall oder ein Cyberangriff auf ein großes Finanzinstitut könnte zu weitreichenden Störungen führen und das Vertrauen der Verbraucher und Märkte erschüttern.

Die COVID-19-Pandemie und die damit verbundene Zunahme von Cyberangriffen auf den Finanzsektor haben diese Risiken weiter verdeutlicht. Insbesondere wurde deutlich, dass viele Finanzunternehmen trotz bestehender Cybersicherheitsrichtlinien und Notfallpläne immer noch anfällig sind.

Daher war die Einführung einer EU-weiten Verordnung wie DORA notwendig, um die digitalen Risiken besser zu managen und den Finanzsektor auf IT-bezogene Krisen vorzubereiten.

Ziele von DORA

Die zentralen Ziele von DORA sind:

  1. Schutz vor Cyberangriffen und IT-Störungen:
    DORA soll sicherstellen, dass Finanzunternehmen die Risiken im Zusammenhang mit der Nutzung von IKT-Systemen effektiv erkennen, bewerten, managen und mindern können.
  2. Harmonisierung der regulatorischen Anforderungen:
    Durch die Einführung einheitlicher Anforderungen an die digitale Resilienz will die EU sicherstellen, dass es keine regulatorischen Unterschiede zwischen den Mitgliedsstaaten gibt. Dies soll insbesondere für grenzüberschreitende Finanzdienstleister von Vorteil sein.
  3. Verbesserte Zusammenarbeit und Überwachung:
    DORA verpflichtet Finanzinstitute, sich bei Vorfällen besser mit den zuständigen Behörden und anderen Akteuren der Branche abzustimmen.
  4. Verpflichtung zu robusten IKT-Systemen:
    Unternehmen sollen sicherstellen, dass ihre IKT-Systeme robust genug sind, um den Betrieb auch bei IT-Störungen oder Cyberangriffen aufrechtzuerhalten.

Diese Unternehmen fallen unter den Digital Operational Resilience Act

DORA richtet sich an eine breite Palette von Finanzunternehmen und IKT-Dienstleistern. Nach Artikel 2 Absatz 1 DORA fallen in den Geltungsbereich:

a) CRR-Kreditinstitute,
b) Zahlungsinstitute,
c) Kontoinformationsdienstleister,
d) E-Geld-Institute,
e) Wertpapierfirmen,
f) Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
g) Zentralverwahrer,
h) zentrale Gegenparteien,
i) Handelsplätze,
j) Transaktionsregister,
k) Verwalter alternativer Investmentfonds,
l) Verwaltungsgesellschaften
m) Datenbereitstellungsdienste,
n) Versicherungs- und Rückversicherungsunternehmen,
o) Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
p) Einrichtungen der betrieblichen Altersversorgung,
q) Ratingagenturen,
r) Administratoren kritischer Referenzwerte,
s) Schwarmfinanzierungsdienstleister,
t) Verbriefungsregister
u) IKT-Dienstleister

Da viele Finanzunternehmen heutzutage auf externe IKT-Dienstleister zurückgreifen, nimmt DORA auch Drittanbieter ins Visier. Diese Dienstleister müssen die gleichen Sicherheits- und Resilienzanforderungen erfüllen wie die Finanzinstitute selbst.

Ausnahmen gelten nach Artikel 2 Absatz 3 DORA für die folgenden Unternehmen:

  • Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
  • Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
  • Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
  • gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
  • Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Kernelemente von DORA

DORA umfasst eine Reihe von spezifischen Anforderungen und Maßnahmen, die Finanzinstitute umsetzen müssen. Zu den wichtigsten Elementen gehören:

  1. IKT-Risikomanagement
    Finanzinstitute müssen über ein robustes Risikomanagement verfügen, das speziell auf die Risiken in Zusammenhang mit IKT-Systemen ausgerichtet ist. Dazu gehört unter anderem:
  2. Identifizierung von Schwachstellen und Bedrohungen in den IKT-Systemen.
  • Implementierung von Schutzmaßnahmen zur Vermeidung oder Minderung von Risiken.
  • Regelmäßige Bewertung der Wirksamkeit dieser Maßnahmen.
  1. Abhängigkeit von Drittanbietern
    Da viele Finanzinstitute IKT-Dienstleistungen von externen Anbietern beziehen, ist die Abhängigkeit von Drittanbietern ein zentrales Thema in DORA. Die Verordnung sieht vor, dass auch die Risiken in Zusammenhang mit Drittanbietern bewertet und überwacht werden. Finanzunternehmen müssen sicherstellen, dass ihre externen Dienstleister die gleichen Sicherheitsstandards erfüllen wie sie selbst.
  2. Notfallpläne und Business Continuity
    Ein zentraler Aspekt von DORA ist die Sicherstellung der Geschäftskontinuität im Falle eines Cybervorfalls oder einer IT-Störung. Finanzinstitute müssen umfassende Notfallpläne entwickeln, die auch Szenarien wie Cyberangriffe, technische Ausfälle oder Naturkatastrophen berücksichtigen. Diese Pläne müssen regelmäßig getestet und aktualisiert werden.
  3. IKT-Dokumentation und Informationsaustausch
    Finanzinstitute müssen IKT-Vorfälle dokumentieren und den zuständigen Behörden melden. Ein wesentlicher Bestandteil von DORA ist der Informationsaustausch über Bedrohungen und Schwachstellen. Dies soll die gesamte Branche dabei unterstützen, sich besser gegen Cyberangriffe zu wappnen.
  4. Aufsicht und Sanktionen
    DORA gibt den zuständigen Aufsichtsbehörden in den EU-Mitgliedstaaten umfassende Befugnisse zur Überwachung und Durchsetzung der Verordnung. Bei Nichteinhaltung können hohe Geldbußen verhängt werden.


Lese-Tipp: NIS-2-Richtlinie –  diese Unternehmen sind betroffen

Vorteile und Herausforderungen von DORA für Unternehmen

Vorteile von Dora sind:

  • Erhöhte Sicherheit und Widerstandsfähigkeit:
    Durch die Einführung einheitlicher Sicherheitsstandards wird die digitale Widerstandsfähigkeit des Finanzsektors in der EU gestärkt.
  • Konsistenz und Klarheit:
    Die Harmonisierung der Anforderungen verringert den regulatorischen Flickenteppich und sorgt für klare Regeln in allen Mitgliedstaaten.
  • Verbraucherschutz:
    Kunden können sich darauf verlassen, dass ihre Daten und Vermögenswerte besser geschützt sind, auch in Krisenzeiten.
  • Erhöhte Marktstabilität:
    Indem Finanzinstitute widerstandsfähiger gegen IT-Ausfälle und Cyberangriffe werden, trägt DORA zur Stabilität des gesamten Finanzsystems bei.


Die betroffenen Unternehmen müssen sich aber auch einigen Herausforderungen stellen:

  • Kosten:
    Die Umsetzung der DORA-Vorgaben kann mit erheblichen Kosten verbunden sein, insbesondere für kleinere Unternehmen, die möglicherweise nicht über die notwendigen Ressourcen verfügen.
  • Abhängigkeit von Drittanbietern:
    Die Überwachung von Drittanbietern kann komplex und schwierig sein, insbesondere wenn globale Cloud-Anbieter wie Amazon Web Services oder Microsoft involviert sind.
  • Komplexität der Anforderungen:
    DORA verlangt ein hohes Maß an technischer und organisatorischer Umsetzung, was für viele Unternehmen eine Herausforderung darstellen kann.

EU-Aufsichtsbehörden erarbeiten konkrete Standards für DORA-Anwendung

Durch die Einführung einheitlicher Anforderungen an das Risikomanagement, den Schutz vor Cybervorfällen und die Zusammenarbeit zwischen den beteiligten Akteuren soll DORA sicherstellen, dass Finanzunternehmen und ihre IKT-Systeme widerstandsfähiger gegen die zunehmenden digitalen Bedrohungen werden. Auch wenn die Umsetzung mit Herausforderungen verbunden sein kann, soll DORA langfristig dazu beitragen, die Stabilität und Sicherheit des Finanzmarktes zu erhöhen.

Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.

Quelle: Verordnung über die digitale operationale Resilienz im Finanzsektor vom 14. Dezember 2022

Tags:
Share this post :
de_DEGerman