30.10.2024

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) bildet das neue Herzstück für die Sicherheit von Netzwerk- und Kommunikationsinfrastruktur (IKT) in der gesamte Finanz- und Versicherungsbranche. Im Fokus steht dabei – wie auch bei der NIS2-Richtlinie – das IKT-Risikomanagement und damit zusammenhängenden Aspekten.

Key Facts:

  • Gegenstand und Ziel: Ziel des DORA ist es, die digitale operationale Resilienz durch einheitliche Anforderungen für die Sicherheit von IKT-Systemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, sicherzustellen. Die Verordnung wurde im Dezember 2022 verabschiedet und gilt ab dem 17. Januar 2025 unmittelbar innerhalb der EU. Bis dahin müssen die in den Anwendungsbereich fallenden Finanzunternehmen die vorgesehenen Anforderungen umsetzen.
  • Adressaten: DORA hat einen umfangreichen Anwendungsbereich. Erfasst werden in erster Linie sog. Finanzunternehmen. Hierunter fällt eine Vielzahl von Teilnehmern des Finanz- und Versicherungsmarktes, einschließlich Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Datenbereitstellungsdienste, Ratingagenturen, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen. Ebenfalls erfasst werden IKT-Drittdienstleister (z.B. Cloud-Anbieter, Managed Service Provider, Anbieter von digitalen oder Datendiensten).
  • Regelungsbereiche: Der DORA enthält umfangreiche Vorgaben für Finanzunternehmen zum IKT-Risikomanagement, zum Umgang mit Sicherheitsvorfällen (Incident Management), zur Durchführung von Tests der eingesetzten IKT-Systeme, zum Verhältnis zu IKT-Drittdienstleistern (Drittparteienrisikomanagement) sowie zum Informationsaustausch mit anderen Finanzunternehmen (für weitere Informationen siehe auch hier).
  • 2nd Level Rechtsakte und Umsetzung in Deutschland: Zusätzlich werden die im DORA enthaltenen gesetzlichen Anforderungen durch nachgelagerte Durchführungsrechtsakte, sog. 2nd-Level-Rechtsakte, insbesondere in Form von technischen Regulierungsstandards (Regulatory Technical Standards, RTS) sowie technischen Implementierungsstandards (Implementing Technical Standards, ITS) ergänzt. Diese 2nd-Level-Rechtsakte enthalte detaillierte Umsetzungsanweisungen, die einzuhalten sind. Daneben wird es im deutschen Recht im Rahmen des Finanzmarktdigitalisierungsgesetzes weitere DORA-spezifische Änderungen in verschiedenen Gesetzen geben, die den Finanz- und Versicherungssektor betreffen (z.B. KWG).
  • IKT-Risikomanagement: DORA fordert von Finanzunternehmen einen soliden, umfassenden und gut dokumentierten Rahmen für das IKT-Risikomanagement. Dieser Rahmen muss die relevanten IKT-Assets abdecken und sicherstellen, dass IKT-Risiken systematisch identifiziert, bewertet und behandelt werden. Die Behandlung erfolgt in Form von geeigneten Sicherheitsmaßnahmen. Weitere Aspekte des IKT-Risikomanagement betrifft die Überwachung und Kontrolle von IKT-Systemen, die Erkennung von Schwachstellen und IKT-Vorfällen sowie Maßnahmen zur Reaktion und Wiederherstellung.
  • Testen der digitalen operativen Resilienz: Finanzunternehmen müssen regelmäßig die Widerstandsfähigkeit ihrer IKT-Infrastruktur überprüfen, um sicherzustellen, dass sie auch unter Stressbedingungen funktionieren. Ein wichtiger Bestandteil ist hierbei die Durchführung von sog. bedrohungsorientierten Penetrationstests (sog. Threat-Led-Penetration-Tests, TLPT).
  • Bewältigung und Meldung von Vorfällen: Finanzunternehmen müssen in der Lage sein, IKT-Vorfälle frühzeitig zu erkennen und darauf zu reagieren. Dies erfordert insbesondere eine kontinuierliche Überwachung der eingesetzten IKT-Systeme sowie die Implementierung von effektiven Incident ResponsePlänen. Ein Bestandteil der Incident Response Pläne ist die Einhaltung der in DORA vorgesehenen gesetzlichen Meldepflichten gegenüber der zuständigen Aufsichtsbehörde.
  • Management des Drittparteienrisikos: DORA legt besonderen Wert auf das Management von Risiken, die durch die Auslagerung von IKT-Dienstleistungen an externe Dienstleister entstehen. Finanzunternehmen müssen die mit dem Einsatz von IKT-Drittdienstleistern zusammenhängenden Risiken bewerten sowie sämtliche IKT-Drittdienstleister in einem Informationsregister dokumentieren. Zudem müssen sie sicherstellen, dass die vertraglichen Vereinbarungen mit den IKT-Drittdienstleistern die in DORA festgelegten Mindestinhalte einhalten.
  • Überwachung kritischer IKT-Drittdienstleister: DORA enthält einen Überwachungsrahmen für kritische IKT-Drittdienstleister. Erfasst werden Dienstleister, die von den zuständigen ESA aufgrund ihrer Bedeutung für den Finanzmarkt als kritisch eingestuft werden. Die zuständigen Überwachungsbehörden haben verschiedene Aufgaben und Befugnisse gegenüber kritischen IKT-Drittdienstleistern.
  • Aufsicht und Sanktionen: Die nationalen und europäischen Aufsichtsbehörden, wie die Europäische Bankenaufsichtsbehörde (EBA) oder die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA), sind für die Aufsicht und Durchsetzung der DORA-Regelungen verantwortlich. Bei Nichteinhaltung der gesetzlichen Anforderungen können diese weitreichende Aufsichts- und Durchsetzungsmaßnahmen ergreifen, einschließlich der Verhängungen von Bußgeldern.

Unser Beratungsangebot umfasst:

  • die Prüfung, ob Ihr Unternehmen in den Anwendungsbereich von DORA fällt (Betroffenheitsanalyse).
  • die Unterstützung bei der Umsetzung der gesetzlichen Vorgaben zum IKT-Risikomanagement und dem Incident Management, einschließlich der Unterstützung bei der Erstellung und Umsetzung von Strategien, Leitlinien und Konzepten gemäß den DORA-Vorgaben sowie den geltenden 2nd-Level-Rechtsakten.
  • die Unterstützung bei der Durchführung von Tests zur digitalen Resilienz, einschließlich der Beratung bei der Beauftragung von externen Dienstleistern (z.B. Anbieter von Penetrationstests).
  • die Erstellung und Verhandlung von rechtskonformen Vertragsbedingungen zwischen Finanzunternehmen und IKT-Drittdienstleistern im Gesamtkontext von DORA und anderen geltenden rechtlichen und regulatorischen Anforderungen (z.B. KWG und MaRisk).
  • die Schulung der Geschäftsleitung, des zuständigen IT-Sicherheitspersonals (z.B. ISB, CIO) sowie von Mitarbeitern im Zusammenhang mit den neuen DORA-Vorgaben.
Als PDF herunterladen
Als PDF herunterladen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.