DORA – Die wichtigsten Informationen für Unternehmen

Der Digital Operational Resilience Act (DORA) ist die Verordnung 2022/2554 der Europäischen Union, die darauf abzielt, die digitale operationale Widerstandsfähigkeit des Finanzsektors in der EU zu stärken. 

Die EU-Verordnung legt neue Standards und Anforderungen für das Risikomanagement und die IT-Sicherheit fest. Dazu gehören Maßnahmen zur Erkennung, Prävention, Bewältigung und zum Umgang mit IT-Risiken sowie zur Verbesserung der Reaktionsfähigkeit bei Zwischenfällen. 

DORA zielt darauf ab, ein einheitliches, hohes Maß an digitaler Resilienz im Finanzsektor der EU zu gewährleisten. Auf diese Weise soll die Sicherheit und Stabilität der gesamten Finanzmärkte verbessert werden.

Die Einführung von DORA ist eine Reaktion auf die wachsende Abhängigkeit des Finanzsektors von digitalen Technologien und die steigende Bedrohung durch Cyberangriffe und IT-Ausfälle. Vorfälle im Bereich Informations- und Kommunikationstechnologie (IKT) können weitreichende Folgen haben und die Stabilität ganzer Finanzmärkte gefährden. 

DORA soll dazu beitragen, diese Risiken zu mindern – indem es Finanzinstitute dazu verpflichtet, ihre digitale Resilienz systematisch zu stärken und aufrechtzuerhalten. Die EU-Verordnung sorgt dafür, dass alle Unternehmen im Finanzsektor klare Vorgaben und strenge Anforderungen an das Krisen- und Risikomanagement im digitalen Bereich umsetzen. 

Dies verbessert nicht nur die Reaktionsfähigkeit bei Zwischenfällen, sondern auch das Vertrauen in die digitale Sicherheit des europäischen Finanzmarktes.

DORA tritt am 17. Januar 2025 in Kraft. Bis zu diesem Zeitpunkt müssen alle betroffenen Akteure im Finanzsektor die Vorgaben vollständig umgesetzt haben. 

Bis zu diesem Tag haben Finanzinstitute und IT-Dienstleistern noch Zeit, um die notwendigen Maßnahmen zur Erhöhung ihrer digitalen Widerstandsfähigkeit zu ergreifen, Risikomanagementsysteme anzupassen und entsprechende Sicherheitsstandards einzuführen.

Damit hatten betroffene Unternehmen etwa zwei Jahre Zeit, ihre Systeme und Prozesse auf die neuen Anforderungen hin auszurichten und sicherzustellen, dass sie die Vorgaben des Digital Operational Resilience Act (DORA) fristgerecht erfüllen.

DORA richtet sich an eine Vielzahl von Akteuren im Finanzsektor und bezieht sowohl traditionelle Finanzinstitute als auch deren IT-Dienstleister ein. Die EU-Verordnung betrifft gemäß Artikel 2 unter anderem:

1. Kreditinstitute,
2. Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,
3. Kontoinformationsdienstleister,
4. E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,
5. Wertpapierfirmen,
6. Anbieter von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,
7. Zentralverwahrer,
8. zentrale Gegenparteien,
9. Handelsplätze,
10. Transaktionsregister,
11. Verwalter alternativer Investmentfonds,
12. Verwaltungsgesellschaften,
13. Datenbereitstellungsdienste,
14. Versicherungs- und Rückversicherungsunternehmen,
15. Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
16. Einrichtungen der betrieblichen Altersversorgung,
17. Ratingagenturen,
18. Administratoren kritischer Referenzwerte,
19. Schwarmfinanzierungsdienstleister,
20. Verbriefungsregister,
21. IKT-Drittdienstleister

Durch die Einbindung dieser Institutionen und Anbieter stellt DORA sicher, dass alle relevanten Akteure des Finanzsektors an den Anforderungen zur digitalen Widerstandsfähigkeit ausgerichtet sind.

Nach dem sektorspezifischen Unionsrecht unterliegen einige Finanzunternehmen aufgrund ihrer Größe oder den von ihnen erbrachten Dienstleistungen weniger strengen Anforderungen oder Ausnahmen.

Der Digital Operational Resilience Act sieht bestimmte Ausnahmeregelungen für kleinere Unternehmen und geringfügig risikobehaftete Akteure im Finanzsektor vor, um eine Überlastung durch administrative und finanzielle Anforderungen zu vermeiden.

DORA folgt einem risikobasierten Ansatz, der die Anforderungen an die Größe und Komplexität eines Unternehmens anpasst. Kleinere oder weniger komplexe Finanzunternehmen haben daher reduzierte Pflichten, während größere und systemrelevante Akteure umfassendere Maßnahmen umsetzen müssen.

Beispiel: Finanzunternehmen, die als Kleinstunternehmen gelten oder dem vereinfachten IKT-Risikomanagementrahmen nach dieser Verordnung unterliegen, sind nicht verpflichtet, eine Funktion zur Überwachung ihrer mit IKT-Drittdienstleistern geschlossenen Vereinbarungen über die Nutzung von IKT-Dienstleistungen einzurichten.

Kategorisierung der Unternehmen gemäß Verordnung (EU) 2022/2554 Artikel 3:

„Kleinunternehmen“ – ein Finanzunternehmen, das 10 oder mehr, aber weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR überschreitet, nicht jedoch 10 Mio. EUR

„mittleres Unternehmen“ – ein Finanzunternehmen, das kein Kleinunternehmen ist, das weniger als 250 Personen beschäftigt und dessen Jahresumsatz 50 Mio. EUR und/oder dessen Jahresbilanzsumme 43 Mio. EUR nicht überschreitet

„staatliche Behörde“ – jede staatliche Stelle oder sonstige Stelle der öffentlichen Verwaltung, einschließlich der nationalen Zentralbanken

IKT-Risikomanagement

(Kapitel II, Artikel 5 bis 16 DORA)

Finanzorganisationen sind aufgefordert, einen internen Governance- und Kontrollrahmen zur effektiven Steuerung von IKT-Risiken einzurichten. Das Leitungsorgan trägt die Letztverantwortung und ist für die Festlegung der Strategie zur digitalen Resilienz sowie die Bereitstellung angemessener Ressourcen zuständig.

Zudem müssen Finanzunternehmen einen umfassenden, dokumentierten IKT-Risikomanagementrahmen einrichten. Dieser soll dazu beitragen, IKT-Risiken zu identifizieren, zu bewerten, zu mindern und zu überwachen.

Dieser Rahmen soll angemessene Strategien für die Identifizierung, Erkennung, Schutz und Prävention sowie Gegenmaßnahmen und Pläne zur Wiederherstellung und Überwachung beinhalten.

Management des IKT-Drittparteienrisikos

(Kapitel V, Abschnitt I, Artikel 28 bis 30 DORA)

Um Risiken aus der Nutzung externer IKT-Dienstleistungen mit IKT-Drittdienstleistern zu minimieren, fordert DORA Finanzunternehmen auf, ein systematisches Management des IKT-Drittparteienrisikos einzuführen. Dies umfasst eine umfassende Ex-ante-Risikobewertung vor Vertragsabschluss, bei der die Abhängigkeit vom jeweiligen Dienstleister und mögliche Risiken aus der Geschäftsbeziehung analysiert werden.

Finanzinstitute müssen zudem vertragliche Vereinbarungen mit ihren IKT-Drittdienstleistern treffen, die auch die Unterstützung bei IKT-Vorfällen sicherstellen. Für kritische Funktionen sind Ausstiegsstrategien vorzusehen, und sämtliche IKT-Vertragsbeziehungen sind in einem Informationsregister zu dokumentieren, das sowohl die systematische Verwaltung der IKT-Drittparteirisiken erleichtert als auch der Aufsicht als Kontrollgrundlage dient.

Behandlung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen

(Kapitel III, Artikel 17 bis 23 DORA)

Finanzunternehmen sind verpflichtet, ein umfassendes Verfahren zur Identifikation, Klassifizierung und Meldung von IKT-bezogenen Vorfällen zu implementieren. Dieser Prozess muss Frühwarnindikatoren sowie Mechanismen zur Erfassung, Nachverfolgung, Klassifizierung und Priorisierung solcher Vorfälle beinhalten. Das Ziel ist es, IKT-bezogene Vorfälle frühzeitig zu erkennen und schnell zu beheben, um die Auswirkungen auf die betroffenen Dienste zu minimieren und die Geschäftskontinuität sicherzustellen.

Um die Auswirkungen von IKT-bezogenen Vorfällen einzudämmen, legen Finanzunternehmen geeignete Reaktionsmaßnahmen fest, welche sicherstellen, dass die betroffenen Dienste zügig und sicher wiederhergestellt werden. Schwere Vorfälle müssen zudem der zuständigen Aufsichtsbehörde gemeldet werden. Bei relevanten Bedrohungen sind auch freiwillige Meldungen möglich, um die Gesamtsicherheit des Finanzsystems zu fördern.

Die Klassifizierung von IKT-Vorfällen erfolgt anhand der Auswirkungen auf die Kunden, die betroffenen Transaktionen, die geografische Reichweite sowie die Art der Datenintegritätsverletzungen. Finanzunternehmen sind zudem angehalten, ihre Kunden über erhebliche Vorfälle und relevante Schutzmaßnahmen zu informieren.

Testen der digitalen operationalen Resilienz

(Kapitel IV, Artikel 24 bis 27 DORA)

Um die Widerstandsfähigkeit gegen IKT-bezogene Bedrohungen zu erhöhen, verlangt DORA von Finanzunternehmen – ausgenommen Kleinstunternehmen – die Einführung eines umfassenden Programms zum Testen der digitalen operationalen Resilienz. Dieses Programm beinhaltet regelmäßige Schwachstellenanalysen und Penetrationstests, die kritische IKT-Systeme und -Prozesse überprüfen, mindestens einmal jährlich. 

Bestimmte Institute müssen zusätzlich alle drei Jahre ein spezielles Threat-led Penetration Testing (TLPT) durchführen, dass auch die Infrastruktur von IKT-Drittanbietern einbeziehen kann. Testergebnisse und Korrekturmaßnahmen werden dokumentiert und der zuständigen Aufsichtsbehörde zur Kontrolle vorgelegt, die wiederum eine Bescheinigung über die Einhaltung der Testanforderungen ausstellt.

Die erweiterten Tests auf Basis von TLPT gelten nur für eine kleine Anzahl an Finanzorganisation. Diese werden anhand der Kriterien von Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert.

Vereinbarungen über den Austausch von Informationen

(Kapitel VI, Artikel 45 DORA)

Zur Verbesserung der Cybersicherheit erlaubt DORA Finanzunternehmen, Informationen über Cyberbedrohungen auszutauschen – einschließlich Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools. 

Dieser Austausch erfolgt innerhalb vertrauenswürdiger Gemeinschaften und unterliegt Vereinbarungen, die den sensiblen Charakter der Daten schützen und sicherstellen, dass Geschäftsgeheimnisse, Datenschutz und wettbewerbsrechtliche Anforderungen gewahrt bleiben. In diesen Vereinbarungen sind Teilnahmebedingungen, die die mögliche Einbindung staatlicher Stellen und operative Details regelt. 

Finanzunternehmen müssen den zuständigen Behörden ihre Teilnahme an solchen Informationsaustauschvereinbarungen melden.

DORA ermöglicht es den zuständigen Behörden gemäß Artikel 50, umfassende Aufsichts- und Sanktionsbefugnisse auszuüben, um Verstöße gegen die Verordnung zu ahnden. 

Diese umfassen den Zugriff auf relevante Unterlagen und Daten, Vor-Ort-Inspektionen sowie die Befragung von Personen im Rahmen von Untersuchungen. Bei Verstößen können die Behörden Korrektur- und Abhilfemaßnahmen anordnen, darunter die Erteilung von Verhaltensanweisungen, das Verlangen nach der Einstellung unzulässiger Praktiken oder die Erhebung finanzieller Maßnahmen. 

Mitgliedstaaten müssen zudem sicherstellen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, wobei auch individuelle Verantwortliche innerhalb eines Unternehmens sanktioniert werden können. Entscheidungen über Sanktionen müssen ordnungsgemäß begründet und anfechtbar sein.