DORA – Digital Operational Resilience Act

DORA - Digital Operational Resilience Actistockphoto/Dmytro Yarmolin

DORA steht für “Digital Operational Resilience Act” und ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsfähigkeit und Widerstandsfähigkeit von Unternehmen im Finanzsektor zu stärken. Diese Verordnung wurde erstmals im September 2020 von der Europäischen Kommission vorgeschlagen und hat das Ziel, den Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken) im Finanzdienstleistungssektor zu verbessern.

Die Verordnung wurde im November 2022 offiziell vom Rat der Europäischen Union und dem Europäischen Parlament angenommen. DORA gilt für eine Vielzahl von Finanzinstituten, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und weitere. Auch Unternehmen, die kritische IKT-Dienstleistungen für den Finanzsektor erbringen, fallen unter den Anwendungsbereich von DORA.

Die Umsetzung von DORA erfolgt schrittweise. Obwohl die Verordnung bereits in Kraft ist, wird ihre Anwendung erst ab dem 17. Januar 2025 wirksam. Dies gibt den betroffenen Unternehmen Zeit, die notwendigen Anpassungen vorzunehmen.

Die Hauptziele von DORA

  1. Umfassende Behandlung des IKT-Risikomanagements: DORA legt großen Wert auf die Einführung eines umfassenden IKT-Risikomanagements im Finanzsektor. Das beinhaltet die Identifizierung von Risiken, die Bewertung ihrer Auswirkungen auf den Geschäftsbetrieb und die Umsetzung von Maßnahmen zur Reduzierung dieser Risiken.
  2. Harmonisierung der IKT-Risikomanagementvorschriften: Vor DORA gab es in den verschiedenen EU-Mitgliedstaaten unterschiedliche Vorschriften zum IKT-Risikomanagement. DORA strebt eine Harmonisierung dieser Vorschriften an, um ein einheitliches Regelwerk zu schaffen und die Compliance für Finanzinstitute zu erleichtern.
  3. Stärkung der Resilienz des Finanzsystems: Durch die Einführung von strengen Anforderungen an die digitale Betriebsfähigkeit und Cybersicherheit zielt DORA darauf ab, die Widerstandsfähigkeit des gesamten EU-Finanzsystems gegenüber digitalen Störungen und Sicherheitsvorfällen zu stärken.
  4. Schaffung eines europaweiten Regelwerks: DORA schafft ein europaweites Regelwerk für die digitale Betriebsfähigkeit und Cybersicherheit im Finanzsektor. Dies soll dazu beitragen, regulatorische Fragmentierung zu reduzieren und gleichzeitig die Sicherheit des Finanzsektors zu gewährleisten.

Um diese Ziele zu erreichen, setzt DORA strenge Anforderungen an die betroffenen Finanzinstitute. Diese müssen sicherstellen, dass ihre IKT-Systeme robust sind, gut durchdachte Prozesse implementiert sind und klare Vereinbarungen mit IKT-Dienstleistern getroffen werden. Die Verordnung legt außerdem besonderen Wert auf das Risikomanagement von Drittanbietern und die Notwendigkeit eines effektiven Informationsaustauschs über Cyberbedrohungen zwischen den Finanzunternehmen und den Aufsichtsbehörden.

Für wen gilt DORA?

DORA (Digital Operational Resilience Act) gilt für eine breite Palette von Akteuren im Finanzsektor innerhalb der Europäischen Union. Zu den Hauptgruppen, die von DORA erfasst werden, gehören:

  1. Finanzinstitute: Dazu gehören Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Zentralverwahrer, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, (Rück-)Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Schwarmfinanzierungsdienstleister und andere.
  2. IKT-Drittdienstleister: Unternehmen, die IKT-Dienstleistungen für den Finanzsektor erbringen, sind ebenfalls von DORA betroffen. Dazu gehören Cloud-Service-Anbieter, Rechenzentren und andere Unternehmen, die kritische IKT-Dienstleistungen für Finanzinstitute bereitstellen.
  3. Aufsichtsbehörden: Die Regulierung und Aufsicht über die Einhaltung von DORA obliegt den zuständigen nationalen Aufsichtsbehörden in den EU-Mitgliedstaaten. Dazu gehören beispielsweise die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) sowie die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA).
  4. Kritische IKT-Drittanbieter: Unternehmen, die als kritische IKT-Drittanbieter eingestuft werden, unterliegen ebenfalls den Bestimmungen von DORA. Die genauen Kriterien zur Bestimmung dieser kritischen Anbieter werden noch ausgearbeitet, aber sie spielen eine entscheidende Rolle im Kontext der digitalen operationellen Resilienz und werden direkt von den führenden Aufsichtsstellen der ESAs (Europäische Aufsichtsbehörden) überwacht.

Die Verordnung betrifft somit nicht nur traditionelle Finanzinstitute, sondern auch diejenigen, die entscheidende IKT-Dienstleistungen für den Finanzsektor erbringen. Dieser breite Anwendungsbereich zeigt die Absicht von DORA, sicherzustellen, dass alle relevanten Akteure im Finanzsektor die notwendigen Maßnahmen ergreifen, um die digitale Betriebsfähigkeit und Sicherheit zu gewährleisten.

Der zeitliche Ablauf von DORA

  • September 2020: Die Europäische Kommission schlägt DORA erstmals vor.
  • November 2022: Der Rat der Europäischen Union und das Europäische Parlament nehmen DORA offiziell an.
  • 2024: Die Europäische Bankenaufsichtsbehörde (EBA) stellt technische Regulierungsstandards (RTS) bereit, die verschiedene Aspekte von DORA abdecken. Dazu gehören Netzwerksicherheit, Schutzvorrichtungen gegen Eindringen und Missbrauch von Daten, Kontrollen von Zugangs- und Zugriffsrechten, Erkennung anomaler Aktivitäten, Überwachung anomalen Verhaltens, Reaktionsprozesse, IKT-Geschäftsfortführungsplanung, Überprüfung des IKT-Risikomanagementrahmens, Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, Meldungen über schwerwiegende IKT-bezogene Vorfälle und erweiterte Tests von IKT-Tools, -Systemen und -Prozessen.
    Die Europäische Kommission entwickelt einen Aufsichtsrahmen für entscheidende IKT-Anbieter.
  • Januar 2025: Die rechtliche Durchsetzung von DORA beginnt. Ab diesem Zeitpunkt können die zuständigen Behörden in den EU-Mitgliedstaaten Sicherheitsmaßnahmen verlangen, Sicherheitslücken beheben und Sanktionen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorgaben verstoßen.

Wie erfolgt die Durchsetzung von DORA?

DORA sieht vor, dass die EU-Mitgliedstaaten sicherstellen, dass ihre zuständigen nationalen Behörden die Einhaltung der DORA-Anforderungen wirksam überwachen. Die Geldbußen sollen dabei “wirksam, verhältnismäßig und abschreckend” sein, wie es in Artikel 50 Absatz 3 der DORA-Verordnung festgelegt ist.

Die zuständigen Behörden können demnach Geldbußen gegen Finanzunternehmen verhängen, die gegen die DORA-Vorschriften verstoßen. Die Höhe der Geldbuße wird unter Berücksichtigung der Umstände des Einzelfalls festgelegt. Es wird betont, dass die Sanktionen angemessen und darauf ausgerichtet sein sollten, Verstöße zu beheben und zukünftige Verstöße zu verhindern.

Zusätzlich zu Geldbußen können Behörden Maßnahmen wie die Aussetzung oder Kündigung von Verträgen ergreifen.

Es ist wichtig zu beachten, dass die Durchsetzung von DORA nicht nur auf nationaler Ebene erfolgt. Kritische IKT-Drittanbieter, die als entscheidend eingestuft werden, unterliegen der direkten Aufsicht der Europäischen Aufsichtsbehörden (ESAs). Die führenden Aufsichtsstellen der ESAs können Sicherheits- und Abhilfemaßnahmen verlangen und Bußgelder gegen IKT-Anbieter verhängen, die die Vorschriften nicht einhalten. Bußgelder können bis zu 1 Prozent des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im vorangegangenen Geschäftsjahr betragen. Bei anhaltenden Verstößen können Geldbußen täglich für bis zu sechs Monate verhängt werden.

Was können wir für Sie tun?

IAP verfügt als Dienstleister für Wirtschaftsprüfer im Finanzsektor über eine breite Erfahrung in der Entwicklung und Testierung von IT-bezogenen Internen Kontrollsystemen (IKS). Die immer weiterwachsende Landschaft an Anforderungen erfordert einen pragmatischen und flexiblen Ansatz, die Konformität zu diesen Anforderungen nachzuweisen.

Der zentrale Ansatz von iAP ist es für Unternehmen, ein zentrales IKS aufzubauen, aus dem alle Anforderungen heraus nachgewiesen werden können.

Folgende Pakete bieten wir Ihnen an:

  1. SOC2 IKS nach BAIT/DORA
  2. SOC2 IKS nach BSI C5/BAIT/DORA
  3. Cybersecurity Testing (Basis, Standard, Extened)
  4. IKS Aufbau – Basis, Standard, Extended
  5. Notfallmanagement- Konzept und –Testierung (BCM nach ISO22301)

Rufen Sie uns an!

 

Foto: istockphoto/Dmytro Yarmolin

 

/von
Das könnte Dich auch interessieren
IT-Prüfung - JahresabschußprüfungDie Rolle der IT-Prüfung im Rahmen der Jahresabschlussprüfung nach ISA 315 und die Herausforderungen der Prüfungssaison zum Jahresende
Digital Markets Act (DMA), Digital Services Act (DSA), Digitale Dienste Gesetz (DDG)Cybersicherheit und Unternehmenskomplexität
KI - Eine Bedrohung für den Datenschutz?istockphoto.com/ipopbaKI – Eine Bedrohung für den Datenschutz? 
ESMA-Richtlinien für Cloud-First-Strategien: Schlüsselkriterien für auslagernde UnternehmenESMA-Richtlinien für Cloud First-Strategien: Schlüsselkriterien für auslagernde Unternehmen
Was bedeutet die NIS2-Richtlinie für mein Unternehmen?Was bedeutet die NIS2-Richtlinie für mein Unternehmen?
Digital Markets Act (DMA), Digital Services Act (DSA), Digitale Dienste Gesetz (DDG)DMA, DSA, DDG – Fragen und Antworten