DORA–Verordnung

Geschrieben von Yannick Garbsch, veröffentlicht am 26.02.2024

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Am 17. Januar trat diese in Kraft. Mit dieser Verordnung versucht der europäische Gesetzgeber die IT-Sicherheit hinsichtlich des Finanzsektors zu stärken.

Hintergrund und Chronologie

Die Themen IT-Sicherheit und Cyberrisiken gewinnen durch die zunehmende Digitalisierung des Bankgeschäfts stetig an Bedeutung. Aus diesem Grund ist es für den Finanzsektor von enormer Bedeutung, sich präventiv auf Cyberangriffe vorzubereiten und die Cyber-Resilienz zu stärken.

Bereits während der Evaluierung der Richtlinie über Netz- und Informationssicherheit (NIS2) 2019 erkannte die EU, dass es aufgrund steigender Digitalisierung der Wirtschaft weiterer Ergänzungen bedarf.

Ergänzend zur Stärkung der IT-Sicherheit von Finanzunternehmen wurde von der Kommission im September 2020 ein Vorschlag für eine Verordnung über die Betriebsstabilität digitaler Systeme (DORA) vorgelegt. Im Mai 2022 kam es zu einer Einigung in EU-Rat und EU-Parlament, ehe im November 2022 die finale Verfassung der DORA (Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act)) von Rat und Parlament verabschiedet wurde. Am 27. Dezember 2022 wurde die Verordnung im Amtsblatt der Europäischen Union veröffentlicht. Am 17. Januar 2023 trat DORA in Kraft.

Was ist DORA?

DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), ist eine EU-Verordnung, welche die Stärkung der IT-Sicherheit von Finanzunternehmen bezweckt. Mit ihr verfolgt die EU das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen.

Im Fokus der Verordnung steht der Aspekt digitale operationale Resilienz. Gemäß Art. 3 Nr. 1 der Verordnung bedeutet digitale operationale Resilienz:

„die Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen.“

Vereinfacht beschrieben sollen Finanzunternehmen ihren Betrieb so gestalten, dass im Falle einer schwerwiegenden Betriebsunterbrechung, welche die Sicherheit des Netzes und der Informationssysteme gefährden könnte, die Aufrechterhaltung eines widerstandfähigen Betriebs sichergestellt ist.

Regelungsinhalt der DORA-Verordnung

DORA verfolgt das Ziel, die digitale operationale Resilienz des gesamten europäischen Finanzsektors zu stärken. Um dies Ziel zu erreichen, werden in Art. 1 Abs. 1 lit. a) folgende sechs Anforderungen an die Finanzunternehmen gestellt:

  • Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT):
  • Meldung schwerwiegender IKT-bezogener Vorfälle und — auf freiwilliger Basis — erheblicher Cyberbedrohungen an die zuständigen Behörden
  • Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle durch in Artikel 2 Absatz 1 Buchstaben a bis d aufgeführte Finanzunternehmen an die zuständigen Behörden
  • Tests der digitalen operationalen Resilienz
  • Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen
  • Maßnahmen für das solide Management des IKT-Drittparteienrisikos

Übersicht des Regelungsinhaltes: In Kapitel 1 des DORA sind allgemeine Bestimmungen zu finden. Kapitel 2 regelt das IKT-Risikomanagement. In Kapitel 3 befinden sich Vorschriften zur Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle. Kapitel 4 bezieht sich auf das Testen der digitalen operationalen Resilienz, während Kapitel 5 besondere Vorschriften zum Management des Drittparteien-Risikos regelt. Die Möglichkeit zum Informationsaustausch zwischen Unternehmen ist im 6 Kapitel zu finden. Die Zuständigkeiten innerhalb der Verordnung sind in Kapitel 7 geregelt. In den Kapiteln 8, 9 der Verordnung befinden sich die Befugnis zum Erlass delegierter Rechtsakte sowie die Übergangs- und Schlussbestimmungen.

Wer ist betroffen?

Art. 2 I DORA eröffnet den Anwendungsbereich für Unternehmen aus 21 Tätigkeitsbereichen. Hierzu zählen:

  • Kreditinstitute
  • Zahlungsinstitute
  • E-Geld-Institute
  • bestimmte Anbieter von Krypto-Dienstleistungen und Emittenten von wertreferenzierten Token
  • Versicherungs- und Rückversicherungsunternehmen und auch IKT-Drittdienstleister

Diese Unternehmen werden in der Verordnung, bis auf die IKT-Drittdienstleister, gemäß Art. 2 Abs. 2 DORA als Finanzunternehmen bezeichnet.

In Art. 2 Abs. 3 DORA werden wiederum folgende Unternehmen aus dem Anwendungsbereich der DORA genommen:

  • Verwalter alternativer Investmentfonds im Sinne von Art. 3 Abs. 2 der Richtlinie 2011/61/EU;
  • Versicherungs- und Rückversicherungsunternehmen im Sinne von Art. 4 der Richtlinie 2009/138/EG
  • Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
  • gemäß den Art. 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen, kleine oder mittlere Unternehmen handelt; „Kleinunternehmen“ ist gem. Art. 3 Nr. 63 DORA ein Finanzunternehmen, das 10 oder mehr, aber weniger als 50 Personen beschäftigt und dessen Jahresumsatz beziehungsweise -bilanzsumme 2 Mio. EUR überschreitet, nicht jedoch 10 Mio. EURO; ein „mittleres Unternehmen“ ist gem. Art. 3 Nr. 64 ein Finanzunternehmen, das kein Kleinunternehmen ist, das weniger als 250 Personen beschäftigt und dessen Jahresumsatz 50 Mio. EURO und/oder dessen Jahresbilanzsumme 43 Mio. EURO nicht überschreitet
  • Postgiroämter im Sinne von Art. 2 Abs. 5 Nummer 3 der Richtlinie 2013/36/EU

Die Ausnahmen sind Ausdruck des Proportionalitätsprinzips, das ausdrücklich in Art. 4 DORA aufgenommen ist. Hiermit soll eine Balance zwischen den Anforderungen, dem Gesamtrisikoprofil und der Art der Dienstleistung, die das jeweilige Finanzunternehmen anbietet, sichergestellt sein.

Umsetzung der DORA

Die DORA-Verordnung ist nach Art. 64 DORA bereits am 17. Januar in Kraft getreten. Am 17.01.2025 gilt die Verordnung unmittelbar für alle Finanzinstitute in den EU-Mitgliedstaaten (Art. 288 II AEUV). Da sie als EU-Verordnung formuliert wurde, ist sie unmittelbar gültig und muss nicht in nationales Recht überführt werden.

Bis zum Ablauf der Umsetzungsfrist werden die EU-Wertpapieraufsichtsbehörde (ESMA), die EU-Bankenaufsichtsbehörde (EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) gemeinsam technische Regulierungsstandards (RTS), Implementierungsstandards (ITS) und Leitlinien erarbeiten, um DORA zu konkretisieren. Bisher haben die drei Europäischen Aufsichtsbehörden (am 17.01.2024) folgende endgültige Entwürfe technischer Regulierungs- und Implementierungsstandards veröffentlicht:

  • RTS zum IKT-Risikomanagementrahmen (Art. 15)
  • RTS zum vereinfachten IKT-Risikomanagementrahmen (Art. 16 Abs. 3)
  • RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Art. 18 Abs. 3)
  • RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen (Art. 28 Abs. 10) und
  • ITS zur Erstellung einer Standardvorlage für das Informationsregister (Art. 28 Abs. 9)

ISO27001 und DORA

Sowohl DORA als auch ISO27001 verfolgen das Ziel, Sicherheit und Resilienz digitaler Systeme zu verbessern. Beide Rahmenwerke legen den Fokus darauf, dass Organisationen oder Unternehmen erforderliche Maßnahmen ergreifen, um ihre Systeme vor Bedrohungen zu schützen.

Allerdings unterscheiden sich DORA und ISO27001 im Ausgangspunkt. DORA ist eine verbindliche EU-Verordnung, die auf den Finanzsektor abzielt und verbindliche Anforderungen an die operative Widerstandsfähigkeit von Unternehmen und Dienstleistern in diesem Bereich stellt. ISO27001 ist hingegen ein internationaler Standard für Informationssicherheitsmanagementsysteme (ISMS) und kann von Organisationen oder Unternehmen freiwillig implementiert werden. ISO27001 bietet einen Rahmen für die Implementierung eines ISMS, DORA legt hingegen verbindliche Vorschriften hinsichtlich operativer Widerstandsfähigkeit des Finanzsektors fest.

Mit der Erfüllung des ISO27001 Standards ist nicht gleichzeitig ein Großteil der DORA-Anforderungen erfüllt. Allerdings hat ein ISO27001 Zertifikat im Rahmen des von DORA geforderten Risikomanagements im Bereich der Informations- und Kommunikationstechnologie (IKT) Bedeutung.

Fahrplan für Sie

Für die EU-Verordnung DORA besteht zwar eine Umsetzungsfrist bis 17.01.2025. Allerdings sollte bereits jetzt mit der Umsetzung der Vorgaben begonnen werden. Wir raten Ihnen, wie folgt vorzugehen:

1. Anwendung: Studieren Sie den Anwendungsbereich der DORA und bestimmen Sie für Ihr Unternehmen, ob dieses dem Anwendungsbereich der DORA unterfällt. Falls ja, beachten Sie die folgenden weiteren Schritte.

2. Gap-Analyse: Führen Sie eine Gap-Analyse durch. Hierdurch können Sie den aktuellen Stand Ihres Unternehmens hinsichtlich digitaler operationaler Resilienz ermitteln und konkrete Abweichungen von den DORA-Anforderungen zu Tage bringen.

3. Roadmap: Ermitteln Sie auf Basis der Erkenntnisse aus der Gap-Analyse Prioritäten und Aufwände, die erforderlich sind, um die DORA-Anforderungen zu erfüllen und bestehende Abweichungen zu beseitigen.

4. Umsetzung: Beginnen Sie mit der praktischen Umsetzung der durch DORA gesetzten Anforderungen.

5. RTS und ITS: Beachten Sie während der Umsetzungsfrist des Weiteren die Regulierungsstandards, die Implementierungsstandards sowie die Leitlinien der drei Europäischen Aufsichtsbehörden, da diese die Vorgaben der DORA konkretisieren.

Fazit

Die Umsetzungsfrist der DORA läuft bis zum 17.01.2025. Allerdings sollten Sie aufgrund des Umfangs an verbindlichen Anforderungen, die DORA stellt, bereits mit der Umsetzung beginnen. Hierfür können Sie sich an unserem oben genannten Fahrplan orientieren. Wir stehen Ihnen gerne beratend zur Seite – kontaktieren Sie uns!