Digitale Resilienz für den Finanzsektor: Jetzt gilt der Digital Operational Resilience Act (DORA)
Skip to main content
Standort auswählen Germany (DE)
  • Insights
  • Digitale Resilienz für den Finanzsektor: Jetzt gilt der Digital Operational Resilience Act (DORA)
Insight

Digitale Resilienz für den Finanzsektor: Jetzt gilt der Digital Operational Resilience Act (DORA)

Martin Lose
16/01/2025
A neon blue shield hologram stands out against a dark background with floating binary code (1s and 0s) in purple hues. The image conveys themes of cybersecurity, data protection, and digital security.

Locations

Germany

Der digitale Wandel führt in nahezu allen Wirtschaftsbereichen zu einer immer stärkeren Abhängigkeit von digitalen Strukturen. Mit dieser Abhängigkeit gehen jedoch auch neue Bedrohungen aus dem Cyberraum einher. Ein Ausfall von Systemen in empfindlichen Sektoren (z.B. durch einen Angriff) kann zu erheblichen wirtschaftlichen und menschlichen Schäden führen. Mit dem Digital Operational Resilience Act (DORA) soll daher die digitale Resilienz im Finanzsektor gestärkt werden. Zu diesem Zweck werden Pflichten für Finanzunternehmen und Dienstleister für Informations- und Kommunikationstechnologien (IKT) aufgestellt. Diese Pflichten entsprechen zum Teil bestehenden Regelungen und konkretisieren diese, zum Teil sind jedoch auch neue Maßnahmen der betroffenen Unternehmen erforderlich.

1. Ab wann gelten die Regelungen?

DORA ist im Januar 2023 in Kraft getreten und als Verordnung ab dem 17. Januar 2025 in allen Mitgliedsstaaten unmittelbar anwendbar. Ab diesem Zeitpunkt müssen betroffene Unternehmen alle für sie geltenden Pflichten erfüllen.

2. Wer ist betroffen?

In erster Linie richtet sich die Verordnung an Finanzunternehmen. Als solche gelten unter anderem Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Zentralverwahrer, Handelsplätze oder Ratingagenturen. Insgesamt nennt DORA 20 verschiedene Arten von Unternehmen. Es gelten jedoch Ausnahmen für bestimmte Unternehmen, etwa für Verwalter alternativer Investmentfonds oder Versicherungs- und Rückversicherungsunternehmen.

Neben den Finanzunternehmen selbst ist die Verordnung jedoch auch auf Unternehmen anwendbar, die IKT-Dienstleistungen für Finanzunternehmen erbringen (IKT-Drittdienstleister). Als Beispiel werden insbesondere Cloud-Computing-Dienste genannt. Ausnahmen bestehen hier für Kleinstunternehmen.

3. Welche Pflichten bestehen?

Die Verordnung nimmt in erster Linie die Finanzunternehmen in die Pflicht. Der Umfang der Pflichten folgt einem risikobasierten Ansatz und bei wichtigen und kritischen Funktionen können zusätzliche Maßnahmen erforderlich sein. Die wesentlichen Anforderungen beinhalten:

  • IKT-Risikomanagement (Art. 5-16 DORA): Finanzunternehmen müssen einen internen Governance- und Kontrollrahmen einrichten, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet, um "ein hohes Niveau an digitaler operationaler Resilienz" zu erreichen. Die Verantwortung hierfür liegt unmittelbar beim Leitungsorgan des Unternehmens. Der Kontrollahmen ist mindestens einmal jährlich zu überprüfen, der zuständigen Behörde ist auf Anfrage ein Bericht vorzulegen.
  • Management von IKT-Vorfällen (Art. 17-23 DORA): Finanzunternehmen müssen einen Prozess einrichten, um die Überwachung, Handhabung und Weiterverfolgung von IKT-Vorfällen und Cyberbedrohungen zu gewährleisten und um Ursachen zu ermitteln, zu dokumentieren und das Auftreten solcher Vorfälle zu verhindern. Dies beinhaltet unter anderem Frühwarnindikatoren, Protokollierung, Klassifizierung, Benachrichtigung der Geschäftsleitung und Verfahren für Reaktionsmaßnahmen. Schwerwiegende Vorfälle müssen den zuständigen Behörden und bei Betroffenheit auch den Kunden gemeldet werden.
  • Digital Operational Resilience Testing (Art. 24-27 DORA): Finanzunternehmen müssen ein Programm für das Testen der digitalen operationalen Resilienz erstellen, pflegen und überprüfen, um die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in Bezug auf die digitale operationale Resilienz zu erkennen und Korrekturmaßnahmen umgehend umzusetzen. Dies beinhaltet alle drei Jahre die Durchführung von Threat Led Penetration Tests (TLPT).
  • IKT-Drittparteienmanagement (Art. 28-44 DORA): Integraler Bestandteil des Risikomanagements ist das Management des Drittparteienrisikos. Dies sind insbesondere Risiken durch IKT-Drittdienstleister. Hier schreibt die Verordnung umfassende vertragliche Vereinbarungen vor, die Finanzunternehmen mit IKT-Drittdienstleistern schließen müssen, um angemessene Standards für die Informationssicherheit einzuhalten (z.B. Kündigungsrechte bei Gesetzesverstößen oder unzureichendem Risikomanagement). Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Damit verbunden ist auch die Pflicht zu Ermittlung und Bewertung des Risikos durch IKT-Drittdienstleister. Es soll sichergestellt werden, dass eine Auslagerung von IT-Leistungen nicht zu einem geringeren Schutzniveau führt als bei dem Finanzunternehmen selbst.
  • Informationsaustausch (Art. 45 DORA): Um die digitale Resilienz von Finanzunternehmen zu stärken und für Cyberbedrohungen zu sensibilisieren, können Finanzunternehmen Informationen und Erkenntnisse über Cyberbedrohungen miteinander austauschen. Ein solcher Austausch muss jedoch auf der Grundlage von Vereinbarungen umgesetzt werden, die den sensiblen Charakter dieser Informationen schützen und mit der DSGVO und den Leitlinien für Wettbewerbspolitik in Einklang stehen.

Für IKT-Dienstleister bedeutet die Verordnung in erster Linie Veränderungen der vertraglichen Vereinbarungen mit den Finanzunternehmen und eine dementsprechende Anpassung des eigenen Risikomanagements. Weitergehende Pflichten ergeben sich jedoch für IKT-Dienstleister, die als kritisch eingestuft werden. Kriterien für eine Einstufung sind systemische Auswirkungen, Bedeutung für Finanzunternehmen, Abhängigkeit der Finanzunternehmen und der Grad der Substituierbarkeit. Kritische IKT-Dienstleister unterliegen einer gesonderten Überwachung durch die Aufsichtsbehörden. Die Behörden können Informationen und Unterlagen anfordern, Inspektionen durchführen und Berichte über Überwachungstätigkeiten anfordern. Dabei wird überprüft, ob jeder kritische IKT-Drittdienstleister über umfassende, fundierte und wirksame Vorschriften, Verfahren, Mechanismen und Vorkehrungen für das Management der IKT-Risiken verfügt, die er für Finanzunternehmen mit sich bringen kann. Kritische IKT-Dienstleister müssen daher mit einem erhöhten Aufwand für die Dokumentation ihres Risikomanagements rechnen. Bei Nichteinhaltung von Maßnahmen kann zudem ein tägliches Zwangsgeld in Höhe von bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes verhängt werden. Verhängte Zwangsgelder werden veröffentlicht.

4. Worauf müssen Unternehmen jetzt achten?

Ab dem 17. Januar 2025 müssen die nach der Verordnung bestehenden Pflichten umgesetzt sein. Ab diesem Datum ist daher auch mit Maßnahmen der Aufsichtsbehörden zu rechnen, z.B. Anforderung von Unterlagen oder Vor-Ort-Inspektionen. Leitungsorgane sollten beachten, dass sie nach der Verordnung die direkte Verantwortung für das Management von IKT-Risiken und die Strategie für die digitale operationale Resilienz trifft. Dazu müssen die Mitglieder des Leitungsorgans ausreichende Kenntnisse und Fähigkeiten zu IKT-Risiken aktiv und auf neuestem Stand halten.

Bei Nichteinhaltung der Vorschriften können die zuständigen Behörden wirksame, verhältnismäßige und abschreckende Sanktionen erlassen. Dies können neben finanziellen Maßnahmen z.B. auch öffentliche Bekanntmachungen oder die Untersagung von bestimmten Verhaltensweisen sein.

Unternehmen müssen sorgfältig prüfen, welche neuen Pflichten auf sie zukommen und wie weit diese von für sie bereits bestehenden Vorschriften abweichen. Zwar fügen sich viele der Pflichten in den bestehenden Regulierungsrahmen für Cyber-Risiken ein, zum Teil gehen sie jedoch auch darüber hinaus (z.B. TLPT, vertragliche Vereinbarungen und eine unabhängige Kontrollfunktion für das Management). Sollten sie in den Kreis der nach DORA verpflichteten Unternehmen fallen, ist eine umfassende Prüfung und gegebenenfalls Anpassung der vorhandenen Systeme, Prozesse und vertraglichen Vereinbarungen nötig. Für Finanzunternehmen bedeutet dies den Abschluss von neuen oder ergänzenden Vereinbarungen mit ihren IKT-Dienstleistern. Auch IKT-Dienstleister sollten ihre Standardverträge anpassen und Zusatzvereinbarungen für bestehende Verträge vorbereiten, um die neuen Anforderungen abzubilden. Praktisch sind hierbei insbesondere die technischen Regulierungsstandards, technischen Durchführungsstandards und Leitlinien der Aufsichtsbehörden zu berücksichtigen. In diesem Zusammenhang ist es auch ratsam, die Maßnahmen bereits mit Blick auf den zukünftigen Regulierungsrahmen, insbesondere der NIS-2-Richtlinie zu koordinieren. Für eine Beratung bezüglich des Umfangs und der Umsetzung der neuen Pflichten stehen wir Ihnen gerne zur Verfügung.

_____________________

Gerne beraten wir Sie rund um das Thema DORA und unterstützen Sie bei der gesetzeskonformen Umsetzung der Verordnung. Nehmen Sie gerne Kontakt zu Martin Lose aus unserem Team auf. Mehr zu unserer Expertise rund um das Thema Cybersecurity finden Sie auf unserer Fokusseite.

Spezialgebiete

Cybersicherheit

Verwandte Arbeitsbereiche

Technologie