DORA – Die wichtigsten Informationen für Unternehmen

Der Digital Operational Resilience Act (DORA) ist die Verordnung 2022/2554 der Europäischen Union, die darauf abzielt, die digitale, operationale Resilienz des Finanzsektors in der EU zu stärken. 

Die grundlegenden Vorgaben der Verordnung werden durch sogenannte Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) konkretisiert. Diese Standards legen technische Details fest, wie zum Beispiel die Klassifikation von IKT-Vorfällen oder spezifische Meldeverfahren, um eine einheitliche Umsetzung in der gesamten EU sicherzustellen.

DORA zielt darauf ab, ein einheitliches, hohes Maß an digitaler Resilienz im Finanzsektor der EU zu gewährleisten. Auf diese Weise soll die Sicherheit und Stabilität der gesamten Finanzmärkte verbessert und harmonisiert werden.

Die Einführung von DORA ist eine Reaktion auf die wachsende Abhängigkeit des Finanzsektors von digitalen Technologien und die steigende Bedrohung durch Cyberangriffe und IT-Ausfälle. Vorfälle im Bereich Informations- und Kommunikationstechnologie (IKT) können weitreichende Folgen haben und die Stabilität ganzer Finanzmärkte gefährden. 

DORA soll dazu beitragen, diese Risiken zu mindern – indem es Finanzinstitute dazu verpflichtet, ihre digitale Resilienz systematisch zu stärken und aufrechtzuerhalten. Die Verordnung sorgt dafür, dass alle Unternehmen im Finanzsektor klare Vorgaben und strenge Anforderungen an das Krisen- und Risikomanagement im digitalen Bereich umsetzen. 

Dies verbessert nicht nur die Reaktionsfähigkeit bei Zwischenfällen, sondern auch das Vertrauen in die digitale Sicherheit des europäischen Finanzmarktes.

Der Digital Operational Resilience Act unterscheidet sich grundlegend von den nationalen Regulierungswerken wie den “Bankaufsichtlichen Anforderungen an die IT” (BAIT) und den “Versicherungsaufsichtlichen Anforderungen an die IT” (VAIT), die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegeben wurden. BAIT und VAIT zielen speziell auf die IT-Sicherheit und -Governance innerhalb von Banken beziehungsweise Versicherungen in Deutschland ab. DORA hat einen umfassenderen Ansatz und gilt für alle Finanzmarktteilnehmer innerhalb der EU. 

Im Gegensatz zu den nationalen Regelwerken schafft der Digital Operational Resilience Act eine einheitliche, europaweite Regulierung, die auch Dienstleister wie Cloud-Anbieter oder IT-Partner direkt mit einbezieht. DORA löst BAIT und VAIT nicht ab, sondern ergänzt und harmonisiert lediglich die nationalen regulatorischen Vorgaben auf EU-Ebene.

DORA tritt am 17. Januar 2025 in Kraft. Bis zu diesem Zeitpunkt müssen alle betroffenen Akteure im Finanzsektor die Vorgaben vollständig umgesetzt haben. 

Bis zu diesem Tag haben Finanzinstitute und IT-Dienstleistern noch Zeit, um die notwendigen Maßnahmen zur Erhöhung ihrer digitalen Widerstandsfähigkeit zu ergreifen, Risikomanagementsysteme anzupassen und entsprechende Sicherheitsstandards einzuführen.

Damit hatten betroffene Unternehmen etwa zwei Jahre Zeit, ihre Systeme und Prozesse auf die neuen Rahmenbedingungen hin auszurichten und sicherzustellen, dass sie die Vorgaben des Digital Operational Resilience Act (DORA) fristgerecht erfüllen.

DORA richtet sich an eine Vielzahl von Akteuren im Finanzsektor und bezieht sowohl traditionelle Finanzinstitute als auch deren IT-Dienstleister ein. Die EU-Verordnung betrifft gemäß Artikel 2 unter anderem:

1. Kreditinstitute,
2. Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute,
3. Kontoinformationsdienstleister,
4. E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute,
5. Wertpapierfirmen,
6. Anbieter von Krypto-Dienstleistungen, die gemäß einer Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (im Folgenden „Verordnung über Märkte von Krypto-Werten“) zugelassen sind, und Emittenten wertreferenzierter Token,
7. Zentralverwahrer,
8. zentrale Gegenparteien,
9. Handelsplätze,
10. Transaktionsregister,
11. Verwalter alternativer Investmentfonds,
12. Verwaltungsgesellschaften,
13. Datenbereitstellungsdienste,
14. Versicherungs- und Rückversicherungsunternehmen,
15. Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
16. Einrichtungen der betrieblichen Altersversorgung,
17. Ratingagenturen,
18. Administratoren kritischer Referenzwerte,
19. Schwarmfinanzierungsdienstleister,
20. Verbriefungsregister,
21. IKT-Drittdienstleister

Durch die Einbindung dieser Institutionen und Anbieter stellt DORA sicher, dass alle relevanten Akteure des Finanzsektors denselben Rahmenbedingungen unterliegen und einheitlich zur digitalen Widerstandsfähigkeit beitragen.

Nach dem sektorspezifischen Unionsrecht unterliegen einige Finanzunternehmen aufgrund ihrer Größe oder den von ihnen erbrachten Dienstleistungen weniger strengen Anforderungen oder Ausnahmen.

Der Digital Operational Resilience Act sieht bestimmte Ausnahmeregelungen für kleinere Unternehmen und geringfügig risikobehaftete Akteure im Finanzsektor vor, um eine Überlastung durch administrative und finanzielle Hürden zu vermeiden.

DORA folgt einem risikobasierten Ansatz, der die Anforderungen an die Größe und Komplexität eines Unternehmens anpasst. Kleinere oder weniger komplexe Finanzunternehmen haben daher reduzierte Pflichten, während größere und systemrelevante Akteure umfassendere Maßnahmen umsetzen müssen.

Beispiel: Finanzunternehmen, die als Kleinstunternehmen gelten oder dem vereinfachten IKT-Risikomanagementrahmen nach dieser Verordnung unterliegen, sind nicht verpflichtet, eine Funktion zur Überwachung ihrer mit IKT-Drittdienstleistern geschlossenen Vereinbarungen über die Nutzung von IKT-Dienstleistungen einzurichten.

Kategorisierung der Unternehmen gemäß DORA-Verordnung (EU) 2022/2554 Artikel 3:

„Kleinunternehmen“ – ein Finanzunternehmen, das 10 oder mehr, aber weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR überschreitet, nicht jedoch 10 Mio. EUR

„mittleres Unternehmen“ – ein Finanzunternehmen, das kein Kleinunternehmen ist, das weniger als 250 Personen beschäftigt und dessen Jahresumsatz 50 Mio. EUR und/oder dessen Jahresbilanzsumme 43 Mio. EUR nicht überschreitet

„staatliche Behörde“ – jede staatliche Stelle oder sonstige Stelle der öffentlichen Verwaltung, einschließlich der nationalen Zentralbanken

IKT-Risikomanagement

(Kapitel II, Art. 5 bis 16 DORA)

Finanzorganisationen sind aufgefordert, einen internen Governance- und Kontrollrahmen zur effektiven Steuerung von IKT-Risiken einzurichten. Das Leitungsorgan trägt die Letztverantwortung und ist für die Festlegung der Strategie zur digitalen Resilienz sowie die Bereitstellung angemessener Ressourcen zuständig.

Zudem müssen Finanzunternehmen einen umfassenden, dokumentierten IKT-Risikomanagementrahmen einrichten. Dieser soll dazu beitragen, IKT-Risiken zu identifizieren, zu bewerten, zu mindern und zu überwachen.

Dieser Rahmen soll angemessene Strategien für die Identifizierung, Erkennung, Schutz und Prävention sowie Gegenmaßnahmen und Pläne zur Wiederherstellung und Überwachung beinhalten.

Management des IKT-Drittparteienrisikos

(Kapitel V, Abschnitt I, Art. 28 bis 30 DORA)

Um Risiken aus der Nutzung externer IKT-Dienstleistungen mit IKT-Drittdienstleistern (ICT third-party service providers) zu minimieren, fordert DORA Finanzunternehmen auf, ein systematisches Management des IKT-Drittparteienrisikos einzuführen. Dies umfasst eine umfassende Ex-ante-Risikobewertung vor Vertragsabschluss, bei der die Abhängigkeit vom jeweiligen Dienstleister und mögliche Risiken aus der Geschäftsbeziehung analysiert werden.

Finanzinstitute müssen zudem vertragliche Vereinbarungen mit ihren IKT-Drittdienstleistern treffen, die auch die Unterstützung bei IKT-Vorfällen sicherstellen. Für kritische Funktionen sind Ausstiegsstrategien vorzusehen, und sämtliche IKT-Vertragsbeziehungen sind in einem Informationsregister zu dokumentieren, das sowohl die systematische Verwaltung der IKT-Drittparteirisiken erleichtert als auch der Aufsicht als Kontrollgrundlage dient.

Behandlung, Klassifizierung und Meldung von IKT-bezogenen Vorfällen

(Kapitel III, Art. 17 bis 23 DORA)

Finanzunternehmen sind verpflichtet, ein umfassendes Verfahren zur Identifikation, Klassifizierung und Meldung von IKT-bezogenen Vorfällen gemäß der Vorgaben der RTS und ITS zu implementieren. Dieser Prozess muss Frühwarnindikatoren sowie Mechanismen zur Erfassung, Nachverfolgung, Klassifizierung und Priorisierung solcher Vorfälle beinhalten. Das Ziel ist es, IKT-bezogene Vorfälle frühzeitig zu erkennen und schnell zu beheben, um die Auswirkungen auf die betroffenen Dienste zu minimieren und die Geschäftskontinuität sicherzustellen.

Schwere Vorfälle müssen zudem der zuständigen Aufsichtsbehörde gemeldet werden. Bei relevanten Bedrohungen sind auch freiwillige Meldungen möglich, um die Gesamtsicherheit des Finanzsystems zu fördern.

Die Klassifizierung von IKT-Vorfällen erfolgt anhand der Auswirkungen auf die Kunden, die betroffenen Transaktionen, die geografische Reichweite sowie die Art der Datenintegritätsverletzungen. Finanzunternehmen sind zudem angehalten, ihre Kunden über erhebliche Vorfälle und relevante Schutzmaßnahmen zu informieren.

Reaktion und Wiederherstellung

(Kapitel III, Art. 11 DORA)

DORA verpflichtet Finanzunternehmen zur Festlegung einer umfassenden IKT-Geschäftsfortführungsleitlinie. Diese soll durch spezifische, angemessene und dokumentierte Regelungen, Pläne, Verfahren und Mechanismen umgesetzt werden. Ziele sind die Sicherstellung der Fortführung kritischer oder wichtiger Funktionen, die rasche und wirksame Reaktion auf IKT-bezogene Vorfälle sowie die Aktivierung spezieller Pläne zur Eindämmung und Vermeidung weiterer Schäden. Finanzunternehmen müssen zudem vorläufige Auswirkungen einschätzen und Kommunikations- sowie Krisenmanagementmaßnahmen festlegen.

Darüber hinaus sind IKT-Reaktions- und Wiederherstellungspläne zu implementieren, die regelmäßig getestet und einer unabhängigen internen Revision unterzogen werden müssen.

Digital Operational Resilience Testing

(Kapitel IV, Art. 24 bis 27 DORA)

Um die Widerstandsfähigkeit gegen IKT-bezogene Bedrohungen zu erhöhen, verlangt DORA von Finanzunternehmen – ausgenommen Kleinstunternehmen – die Einführung eines umfassenden Programms zum Testen der digitalen operationalen Resilienz. Dieses Programm beinhaltet regelmäßige Schwachstellenanalysen und Penetrationstests, die kritische IKT-Systeme und -Prozesse überprüfen, mindestens einmal jährlich. 

Bestimmte Institute müssen zusätzlich alle drei Jahre ein spezielles Threat-led Penetration Testing (TLPT) durchführen, dass auch die Infrastruktur von IKT-Drittanbietern einbeziehen kann. Testergebnisse und Korrekturmaßnahmen werden dokumentiert und der zuständigen Aufsichtsbehörde zur Kontrolle vorgelegt, die wiederum eine Bescheinigung über die Einhaltung der Testanforderungen ausstellt.

Die erweiterten Tests auf Basis von TLPT gelten nur für eine kleine Anzahl an Finanzorganisation. Diese werden anhand der Kriterien von Artikel 26 Absatz 8 Unterabsatz 3 DORA identifiziert.

Vereinbarungen über den Austausch von Informationen

(Kapitel VI, Art. 45 DORA)

Zur Verbesserung der Cybersicherheit erlaubt DORA Finanzunternehmen, Informationen über Cyberbedrohungen auszutauschen – einschließlich Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools. 

Dieser Austausch erfolgt innerhalb vertrauenswürdiger Gemeinschaften und unterliegt Vereinbarungen, die den sensiblen Charakter der Daten schützen und sicherstellen, dass Geschäftsgeheimnisse, Datenschutz und wettbewerbsrechtliche Anforderungen gewahrt bleiben. In diesen Vereinbarungen sind Teilnahmebedingungen, die die mögliche Einbindung staatlicher Stellen und operative Details regelt. 

Finanzunternehmen müssen den zuständigen Behörden ihre Teilnahme an solchen Informationsaustauschvereinbarungen melden.

Der Digital Operational Resilience Act ermöglicht es den zuständigen Behörden gemäß Artikel 50, ab Januar 2025 umfassende Aufsichts- und Sanktionsbefugnisse auszuüben, um Verstöße gegen die Verordnung zu ahnden. 

Diese umfassen den Zugriff auf relevante Unterlagen und Daten, Vor-Ort-Inspektionen sowie die Befragung von Personen im Rahmen von Untersuchungen. Bei Verstößen können die Behörden Korrektur- und Abhilfemaßnahmen anordnen, darunter die Erteilung von Verhaltensanweisungen, das Verlangen nach der Einstellung unzulässiger Praktiken oder die Erhebung finanzieller Maßnahmen. 

Mitgliedstaaten müssen zudem sicherstellen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, wobei auch individuelle Verantwortliche innerhalb eines Unternehmens sanktioniert werden können. Entscheidungen über Sanktionen müssen ordnungsgemäß begründet und anfechtbar sein.

In Deutschland wird BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) als zuständige Behörde die Aufsichts- und Sanktionsbefugnisse im Rahmen von DORA ausüben. 

Die BaFin ist als nationale Aufsichtsbehörde dafür verantwortlich, sicherzustellen, dass die von DORA betroffenen Finanzinstitute in Deutschland die Anforderungen der Verordnung einhalten und überwacht die Implementierung von Risikomanagementsystemen, die speziell auf IKT-Risiken (Informations- und Kommunikationstechnologie) abzielen.

Die BaFin arbeitet eng mit anderen nationalen und europäischen Aufsichtsbehörden, wie der European Banking Authority (EBA), der European Securities and Markets Authority (ESMA) und der European Insurance and Occupational Pensions Authority (EIOPA) zusammen.