Zurück zur Übersicht
30.10.2024

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) bildet das neue Herzstück für die Sicherheit von Netzwerk- und Kommunikationsinfrastruktur (IKT) in der gesamte Finanz- und Versicherungsbranche. Im Fokus steht dabei – wie auch bei der NIS2-Richtlinie – das IKT-Risikomanagement und damit zusammenhängenden Aspekten.

Key Facts:

  1. Gegenstand und Ziel: Ziel des DORA ist es, die digitale operationale Resilienz durch einheitliche Anforderungen für die Sicherheit von IKT-Systemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen, sicherzustellen. Die Verordnung wurde im Dezember 2022 verabschiedet und gilt ab dem 17. Januar 2025 unmittelbar innerhalb der EU. Bis dahin müssen die in den Anwendungsbereich fallenden Finanzunternehmen die vorgesehenen Anforderungen umsetzen.
  1. Adressaten: Der DORA hat einen umfangreichen Anwendungsbereich. Erfasst werden einerseits sog. Finanzunternehmen. Hierunter fällt eine Vielzahl von Teilnehmern des Finanz- und Versicherungsmarkts, einschließlich Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, Datenbereitstellungsdienste, Ratingagenturen, Handelsplätze, Versicherungs- und Rückversicherungsunternehmen. Ebenfalls erfasst werden IKT-Drittdienstleister (z.B. Cloud-Anbieter, Managed Service Provider, Anbieter von digitalen Datendiensten).
  2. Regelungsbereiche: DORA enthält umfangreiche Vorgaben für Finanzunternehmen zum IKT-Risikomanagement, zum Umgang mit Sicherheitsvorfällen (Incident Management), zur Durchführung von Tests der eingesetzten IKT-Systeme, zum Verhältnis zu IKT-Drittdienstleistern (Drittparteienrisikomanagement) sowie zum Informationsaustausch mit anderen Finanzunternehmen (für weitere Informationen siehe auch hier).
  3. 2nd Level Rechtsakte und Umsetzung in Deutschland: DORA enthält bereits eine Vielzahl von gesetzlichen Anforderungen. Diese werden durch nachgelagerte Durchführungsrechtsakte, sog. 2nd-Level-Rechtsakte, insbesondere in Form von technischen Regulierungsstandards (Regulatory Technical Standards, RTS) sowie technischen Implementierungsstandards (Implementing Technical Standards, ITS). Diese 2nd-Level-Rechtsakte enthalte detaillierte Umsetzungsanweisungen, die einzuhalten sind. Daneben wird es im deutschen Recht im Rahmen des Finanzmarktdigitalisierungsgesetzes weitere DORA-spezifische Änderungen in verschiedenen Gesetzen geben, die den Finanz- und Versicherungssektor betreffen (z.B. KWG.
  4. IKT-Risikomanagement: DORA fordert von Finanzinstituten einen soliden, umfassenden und gut dokumentierten Rahmen für das IKT-Risikomanagement. Dieser Rahmen muss die relevanten IKT-Assets abdecken und sicherstellen, dass IKT-Risiken systematisch identifiziert, bewertet und behandelt werden. Die Behandlung erfolgt in Form von geeigneten Sicherheitsmaßnahmen. Weitere Aspekte des IKT-Risikomanagement betrifft die Überwachung und Kontrolle von IKT-Systemen, die Erkennung von Schwachstellen und IKT-Vorfällen sowie Maßnahmen zur Reaktion und Wiederherstellung.
  5. Testen der digitalen Resilienz: Finanzunternehmen müssen regelmäßig die Widerstandsfähigkeit ihrer IKT-Infrastruktur überprüfen, um sicherzustellen, dass sie auch unter Stressbedingungen funktionieren. Ein wichtiger Bestandteil ist hierbei die Durchführung von sog. bedrohungsorientierten Penetrationstests (sog. Threat-Led-Penetration-Tests, TLPT).
  6. Bewältigung und Meldung von Vorfällen: Finanzunternehmenmüssen in der Lage sein, IKT-Vorfälle frühzeitig zu erkennen und darauf zu reagieren. Dies erfordert insbesondere eine kontinuierliche Überwachung der eingesetzten IKT-Systeme sowie und die Implementierung von effektiven Incident-Response-Plänen. Ein Bestandteil der Incident Response Pläne ist die Einhaltung der in DORA vorgesehenen gesetzlichen Meldepflichten gegenüber der zuständigen Aufsichtsbehörde.
  7. Management des Drittparteienrisikos: DORA legt besonderen Wert auf das Management von Risiken, die durch die Auslagerung von IKT-Dienstleistungen an externe Dienstleister entstehen. Finanzunternehmen müssen das mit dem Einsatz von IKT-Drittdienstleistern zusammenhängenden Risiken bewerten sowie sämtliche IKT-Drittdienstleister in einem Informationsregister dokumentieren. Zudem müssen sie sicherstellen, dass die vertraglichen Vereinbarungen mit den IKT-Drittdienstleistern die in DORA festgelegten Mindestinhalte einhalten.
  8. Überwachung kritischer IKT-Drittdienstleister: DORA enthält einen Überwachungsrahmen für kritische IKT-Drittdienstleister. Erfasst werden Dienstleister, die von den zuständigen ESA aufgrund ihrer Bedeutung für den Finanzmarkt als kritisch eingestuft werden. Die zuständigen Überwachungsbehörden haben verschiedene Aufgaben und Befugnisse gegenüber kritischen IKT-Drittdienstleistern.
  9. Aufsicht und Sanktionen: Die nationalen und europäischen Aufsichtsbehörden, wie die Europäische Bankenaufsichtsbehörde (EBA) oder die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA), sind für die Aufsicht und Durchsetzung der DORA-Regelungen verantwortlich. Bei Nichteinhaltung der gesetzlichen Anforderungen können diese weitreichende Maßnahmen vornehmen, einschließlich der Verhängungen von Bußgeldern.

Unser Beratungsangebot umfasst:

  • die Prüfung, ob Ihr Unternehmen in den Anwendungsbereich von DORA fällt (Betroffenheitsanalyse).
  • die Unterstützung bei der Umsetzung der gesetzlichen Vorgaben zum IKT-Risikomanagement und dem Incident Management, einschließlich der Unterstützung bei der Erstellung und Umsetzung von Strategien, Leitlinien und Konzepten gemäß den DORA-Vorgaben sowie den geltenden 2nd-Level-Rechtsakten.
  • die Unterstützung bei der Durchführung von Tests zur digitalen Resilienz, einschließlich der Beratung bei der Beauftragung von externen Dienstleistern (z.B. Anbieter von Penetrationstests).
  • die Erstellung und Verhandlung von rechtskonformen Vertragsbedingungen zwischen Finanzunternehmen und IKT-Drittdienstleistern im Gesamtkontext von DORA und anderen geltenden rechtlichen und regulatorischen Anforderungen (z.B. KWG und MaRisk).
  • die Schulung der Geschäftsleitung, des zuständigen IT-Sicherheitspersonals (z.B. ISB, CIO) sowie von Mitarbeitern im Zusammenhang mit den neuen DORA-Vorgaben.
Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Weitere Artikel

31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
30.10.2024
Cyber Resilience Act (CRA)
30.10.2024
NIS2-Richtlinie
30.07.2024
NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz
02.07.2024
NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz und der neuen EU-Durchführungsverordnung
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
20.11.2023
Neues vom EuGH zum „Personenbezug“
02.11.2023
OLG Karlsruhe: Hacker manipuliert E-Mail-Rechnung – Muss ein zweites Mal gezahlt werden?
22.09.2023
Der neue Entwurf des Digital-Gesetzes – Neue Vorgaben zur IT-Sicherheit im Gesundheitswesen
04.08.2023
Das neue KRITIS-Dachgesetz: Überblick zum neuen Referentenentwurf
11.07.2023
Aller guten Dinge sind drei – Angemessenheitsbeschluss der EU-Kommission schafft neuen Rechtsrahmen für Datentransfers in die USA

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.