Logo der activeMind AG

Digital Operational Resilience Act (DORA)

Die Verordnung (EU) 2022/2554 zur digitalen operationalen Resilienz, bekannt als Digital Operational Resilience Act (DORA), ist eine umfassende europäische Regulierung zur Stärkung der digitalen Widerstandsfähigkeit im Finanzsektor. Mit DORA schafft die EU einheitliche Standards und Anforderungen, um Risiken im Bereich Informations- und Kommunikationstechnologie (IKT) in Finanzunternehmen zu minimieren und die Resilienz gegenüber Cyberbedrohungen und IKT-Störungen zu erhöhen.

Hintergrund und Zielsetzung von DORA

DORA wurde im November 2022 als Teil des umfassenden Digitalisierungsprogramms der Europäischen Kommission für den Finanzsektor verabschiedet und ist ab dem 17. Januar 2025 anwendbar.

Der Hintergrund dieser Verordnung liegt in der zunehmenden Abhängigkeit des Finanzsektors von digitalen Technologien und den erheblichen Risiken, die mit Cyberangriffen und IT-Ausfällen einhergehen. Der Finanzsektor zählt zur kritischen Infrastruktur und ist daher besonders anfällig für digitale Störungen, die weitreichende Auswirkungen auf die Wirtschaft und die allgemeine Stabilität des Finanzsystems haben können.

Durch die Einführung eines einheitlichen Rahmens soll die uneinheitliche Gestaltung der verschiedenen nationalen Vorschriften der EU-Mitgliedsstaaten im Bereich der digitalen operationalen Resilienz und IKT-Sicherheit harmonisiert werden, um eine durchgängige und robuste Sicherheitsstruktur im europäischen Finanzsektor zu schaffen.

Anwendungsbereich von DORA

DORA richtet sich an nahezu alle Finanzinstitute und Unternehmen, die im europäischen Finanzsektor tätig sind. Dazu zählen

  • Banken,
  • Versicherungen,
  • Zahlungsdienstleister,
  • Investmentgesellschaften
  • und andere Finanzmarktteilnehmer.

Darüber hinaus sieht die Verordnung eine Überwachung kritischer Drittanbieter von IKT-Dienstleistungen vor, wie etwa essenzielle Cloud-Anbieter. Zudem ergeben sich indirekt Anforderungen für IKT-Drittdienstleister, die sich mit erweiterten Anforderungen in Verträgen mit den Finanzunternehmen auseinandersetzen müssen.

Die Regulierung nimmt die gesamte Lieferkette des Finanzsektors in den Blick, um Schwachstellen in digitalen Infrastrukturen zu minimieren und ein hohes Maß an Sicherheit und Resilienz zu gewährleisten.

Die Einhaltung der DORA-Vorgaben ist obligatorisch und Verstöße gegen die Verordnung können zu hohen Bußgeldern führen.

Zentrale Anforderungen und Regelungsinhalte

DORA umfasst fünf zentrale Regelungsbereiche, die als fundamentale Bausteine für die digitale Resilienz im Finanzsektor gelten:

Finanzinstitute müssen ein umfassendes IKT-Risikomanagementsystem implementieren, das in der Lage ist, digitale Risiken zu identifizieren, zu bewerten, zu überwachen und proaktiv zu reduzieren. Dies umfasst regelmäßige Risikoanalysen und die Einführung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Resilienz der IKT-Systeme.

Die Anforderungen an das Risikomanagement sind hoch und fordern Unternehmen auf, Maßnahmen nicht nur reaktiv, sondern auch präventiv zu gestalten.

DORA verlangt von Finanzunternehmen ein strukturiertes Verfahren zur Behandlung und Meldung von schwerwiegenden IKT-bezogenen Vorfällen. Diese Anforderungen dienen dazu, systemische Risiken frühzeitig zu erkennen und die betroffenen Institutionen zu einer raschen Reaktion zu befähigen.

Die europäischen Aufsichtsbehörden werden das Meldeformat und die Berichtsinhalte wie auch die Meldefristen durch weitere Rechtsakte und Durchführungsstandards spezifizieren, die eine klare und einheitliche Kommunikation sicherstellen sollen.

Bekannt ist bereits:

  • Die Erstmeldung muss nach dem derzeitigen Entwurf der Aufsichtsbehörden innerhalb von 24 Stunden an die zuständige Behörde (die sich nach der Art des konkreten Finanzunternehmens richtet) erfolgen und hat grundlegende Informationen zu enthalten, etwa eine Beschreibung des Vorfalls und die Angabe, ob ein Geschäftsfortführungsplan aktiviert wurde.
  • Innerhalb von 72 Stunden nach der Erstmeldung ist eine detaillierte Folgemeldung einzureichen, die etwa Ursachen, erste Gegenmaßnahmen und eine umfassendere Einschätzung der Lage beschreiben muss.
  • Nach vollständiger Bearbeitung des Vorfalls ist ein Abschlussbericht erforderlich, der u. a. die ergriffenen Maßnahmen dokumentiert.

Zur Sicherstellung der Widerstandsfähigkeit gegenüber IKT-Risiken müssen Finanzunternehmen ein Testprogramm zur operationalen Resilienz etablieren. Das Programm soll helfen, Schwachstellen in Systemen zu identifizieren und bestehende Sicherheitsmaßnahmen zu prüfen und gegebenenfalls anzupassen. Die Tests sollen unter realistischen Bedingungen erfolgen und durch unabhängige Prüfer durchgeführt werden.

Finanzunternehmen sind verpflichtet, die Risiken, die durch die Zusammenarbeit mit externen IKT-Dienstleistern entstehen, zu bewerten und zu steuern. Insbesondere dürfen vertragliche Vereinbarungen nur geschlossen werden, wenn die Dienstleister bestimmte Standards für die Informationssicherheit einhalten. Zugleich werden Anforderungen an die vertraglichen Vereinbarungen gestellt und festgelegte Mindestinhalte gefordert, etwa spezielle Kündigungsrechte.  Zudem fordert die Verordnung eine umfassende Dokumentation von vertraglichen Vereinbarungen mit IKT-Dienstleistern in einem Informationsregister.

Für den Finanzmarkt kritische IKT-Drittanbieter unterliegen künftig einer besonders strengen Überwachung. Damit soll die digitale operationale Resilienz von Finanzunternehmen weiter gestärkt werden. Die Überwachungsbehörde hat gegenüber dem kritischen IKT-Dienstleister zwangsgeldbewährte Informations-, Kontroll- und Prüfrechte in Bezug auf etwa die Einhaltung der Anforderungen an das IKT-Risikomanagement.

Delegierte Rechtsakte und Durchführungsstandards zu DORA

DORA folgt dem Lamfalussy-Verfahren, das einen mehrstufigen Regulierungsansatz beinhaltet: Die Verordnung stellt den Basisrechtsakt (Level 1) dar, der durch die sogenannten Level-2- und Level-3-Standards weiter konkretisiert wird.

Diese ergänzenden Regelungen werden von den drei Europäischen Aufsichtsbehörden – der Europäischen Wertpapieraufsichtsbehörde (ESMA), der Europäischen Bankenaufsichtsbehörde (EBA) und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) – erarbeitet.

Zu den wichtigsten Level-2- und Level-3-Dokumenten gehören:

Diese Standards spezifizieren die Mindestanforderungen für das IKT-Risikomanagement, Kriterien zur Klassifizierung und Meldung von IKT-bezogenen Vorfällen sowie detaillierte Vorgaben zu Penetrationstests und dem Drittparteien-Risikomanagement.

Die ITS geben die notwendigen Meldeformate und -verfahren für schwerwiegende IKT-Vorfälle vor und sollen eine standardisierte Kommunikation mit den Aufsichtsbehörden ermöglichen.

Die Leitlinien der Aufsichtsbehörden sollen die einheitliche Umsetzung von DORA unterstützen und praktische Anleitungen zur Implementierung der Standards bieten.

Fazit

DORA setzt neue Standards für die operationale Resilienz im europäischen Finanzsektor und verlangt von Unternehmen mehr als nur technische Anpassungen. Vielmehr fordert die Verordnung einen strategischen Ansatz, bei dem die digitale operationale Resilienz als integraler Bestandteil des Risikomanagements etabliert wird.

Finanzunternehmen sollten die DORA-Vorgaben rechtzeitig und umfassend in ihre bestehenden Strukturen integrieren und dabei auch die Anforderungen an Meldepflichten und die Überwachung externer Dienstleister sorgfältig umzusetzen.

IKT-Dienstleister müssen sich auf erweiterte vertragliche Verpflichtungen einstellen und im Fall der Einstufung als kritischer Dienstleister auf eine mögliche Überwachung vorbereitet sein.

DORA bietet darüber hinaus eine wertvolle Gelegenheit, die IKT-Sicherheit und das Vertrauen in die Resilienz des europäischen Finanzsektors zu stärken. Die vorausschauende Vorbereitung auf DORA kann nicht nur regulatorische Risiken mindern, sondern auch Wettbewerbsvorteile schaffen, indem Unternehmen ihre Widerstandsfähigkeit gegenüber digitalen Bedrohungen nachhaltig stärken und sich zukunftsfähig aufstellen.

ISO 27001

Die ISO 27001 ist die weltweit führende Norm zur Informationssicherheit.

ISO 27002

Die Norm ISO 27002 ergänzt die Norm ISO 27001 um Maßnahmen zur Steigerung der Informationssicherheit.

B3S Medizinische Versorgung

Der Branchenspezifische Sicherheitsstandard (B3S) Medizinische Versorgung für Krankenhäuser

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.