Patrick Upmann

Kategorie: DORA

Die DORA-Verordnung (Digital Operational Resilience Act) ist ein Gesetzesvorhaben der Europäischen Union, das darauf abzielt, die operationelle Resilienz und Cybersicherheit von Unternehmen im Finanzsektor zu stärken. DORA schafft einen umfassenden Rahmen, um sicherzustellen, dass Finanzinstitute und deren Dienstleister potenzielle ICT- (Informations- und Kommunikationstechnologie) und sicherheitsbezogene Bedrohungen bewältigen und die Kontinuität ihrer Dienste aufrechterhalten können.

  • DORA Implementierung – Ein Fahrplan für Finanzdienstleister

    DORA Implementierung – Ein Fahrplan für Finanzdienstleister

    DORA – im Jahr 2020 veröffentlichte die Europäische Kommission den ersten Entwurf des Digital Operational Resilience Act als Teil des digitalen Finanzpakets der Europäischen Union (DFP).

    Dieses Paket umfasst eine digitale Finanzstrategie sowie Gesetzgebung und Richtlinien zur operativen Resilienz für Europas Zukunft in der Ära der digitalen Transformation. Nun, im Jahr 2024, steht die Einführung von DORAs Regeln und Vorschriften im Januar 2025 unmittelbar bevor. Es überrascht nicht, dass DORA für viele Unternehmen im Vorfeld der Implementierung ein Schlüsselthema sein wird. Hier bei RFA leiten mein Team und ich Unternehmen an, wie sie die Regeln und Richtlinien erfolgreich in ihre operativen Strukturen und Geschäftsmodelle integrieren können.

    Bevor ich auf sechs Schlüsselaspekte für Unternehmen eingehe, möchte ich die Gesamtmission und Hauptziele von DORA zusammenfassen. DORA wird für eine breite Palette von Finanzdienstleistungsunternehmen gelten, mit sehr wenigen Ausnahmen. Das Hauptziel ist die Stärkung der operativen Resilienz von Finanzdienstleistungsunternehmen und die Gewährleistung, dass die Unternehmen über geeignete Maßnahmen verfügen, um Risiken im digitalen Zeitalter zu bewältigen.

    Die Schlüsselziele umfassen:

    • Digitale operationale Resilienz: Die Gesetzgebung soll sicherstellen, dass Unternehmen über robuste Systeme und Prozesse verfügen, die es ihnen ermöglichen, Cyberbedrohungen und andere digitale Risiken zu identifizieren, zu erkennen, dagegen zu schützen und sich davon zu erholen.
    • Risikomanagement bei Drittanbietern: Die Vorschriften verlangen, dass Unternehmen eine angemessene Due Diligence bei ihren Dienstleistern durchführen. Unternehmen müssen Strukturen schaffen, um Risiken bei der Auslagerung an Partner kontinuierlich überwachen zu können.
    • Meldung und Reaktion auf Vorfälle: Unternehmen sind gesetzlich verpflichtet, einen angemessenen Plan für die Meldung und Reaktion auf Vorfälle zu haben, falls sie einem Cyberangriff oder einem IT-Ausfall ausgesetzt sind. Es ist eine rechtliche Anforderung, dass Unternehmen derartige Angriffe ihrer nationalen Behörde melden und dies innerhalb eines festgelegten Zeitrahmens kompetent tun.
    • Überwachung und Governance: Finanzdienstleistungsunternehmen müssen angemessene Governance- und Überwachungsstrukturen haben. Dazu gehört auch, dass Mitglieder des Vorstands und des leitenden Teams über die relevanten Fähigkeiten verfügen, um digitale Risiken zu managen.

    Wichtige Maßnahmen für Finanzdienstleister im Vorfeld des Januar 2025 zur erfolgreichen Implementierung des DORA-Gesetzes:

    • IKT-Risikomanagement: Unternehmen müssen robuste Richtlinien und Verfahren für das Risikomanagement im Bereich Informations- und Kommunikationstechnologie (IKT) etablieren, um potenzielle Bedrohungen und Schwachstellen in Bezug auf ihre IT-Systeme und Infrastruktur zu identifizieren, zu bewerten und zu mindern.
    • Incident Reporting: DORA wird die Anforderungen an die Berichterstattung über Vorfälle verstärken und sicherstellen, dass regulierte Unternehmen relevante Behörden umgehend über bedeutende Cyber-Vorfälle und Störungen informieren.
    • IKT-Tests und -Bewertungen: Die Gesetzgebung wird regelmäßige Tests und Bewertungen der IKT-Systeme von Unternehmen vorschreiben, um Schwachstellen und Anfälligkeiten zu identifizieren und proaktiv potenzielle Risiken anzugehen.
    • Cybersecurity-Maßnahmen: DORA wird von Unternehmen verlangen, angemessene Cybersicherheitsmaßnahmen zu implementieren, um ihre kritischen Systeme und sensiblen Daten vor Cyberbedrohungen

    Bereiten Sie Ihr Unternehmen auf die Zukunft vor und stärken Sie Ihre digitale Resilienz mit DORA! Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Sie bei der erfolgreichen Implementierung der DORA-Richtlinien unterstützen können. Nutzen Sie diese Gelegenheit, um Ihre operativen Strukturen und Geschäftsmodelle an die Anforderungen der digitalen Ära anzupassen und sicherzustellen, dass Ihr Unternehmen den Herausforderungen des digitalen Wandels gewachsen ist. Lassen Sie uns gemeinsam die Weichen für eine sichere und resiliente digitale Zukunft im Finanzsektor stellen!

  • DORA Geltungsbereich

    DORA Geltungsbereich

    Geltungsbereich von DORA – Die europäische Verordnung DORA (Digital Operational Resilience Act) stellt einen wesentlichen Bestandteil der Strategie der Europäischen Union dar.

    Die zunehmende Digitalisierung und Vernetzung innerhalb des Finanzsektors hat zu einer gesteigerten Abhängigkeit von Informationstechnologien und digitalen Dienstleistungen geführt. Diese Entwicklung bietet zwar immense Chancen für Effizienzsteigerungen und die Erschließung neuer Märkte, birgt jedoch auch signifikante Risiken in Bezug auf die operationelle Resilienz und Sicherheit. Cyberangriffe, Systemausfälle und Datenlecks können gravierende Auswirkungen auf die finanzielle Stabilität von Institutionen und die Integrität des Finanzmarktes insgesamt haben. Vor diesem Hintergrund hat die Europäische Union die Notwendigkeit erkannt, einen einheitlichen regulatorischen Rahmen zu schaffen, der die digitale Widerstandsfähigkeit des Finanzsektors stärkt und grenzüberschreitende Risiken effektiv adressiert.

    Die Verordnung über die digitale Betriebsresilienz für den Finanzsektor, bekannt unter dem Akronym DORA (Digital Operational Resilience Act), ist eine Antwort auf diese Herausforderungen. DORA zielt darauf ab, ein kohärentes Regelwerk für den Umgang mit Informations- und Kommunikationstechnologie (IKT)-Risiken in der Finanzbranche zu etablieren. Sie bündelt und harmonisiert bestehende Regelungen und führt neue Anforderungen ein, die sicherstellen sollen, dass Finanzunternehmen und ihre Dienstleister die Integrität, Verfügbarkeit, und Sicherheit ihrer Systeme und Daten gewährleisten können.

    Die Verordnung stellt einen signifikanten Schritt in Richtung einer umfassenden strategischen Ausrichtung der EU dar, die auf die Stärkung der operationellen Resilienz des Finanzsektors abzielt. Sie berücksichtigt die wachsende Bedeutung digitaler Technologien und die damit verbundenen Risiken, indem sie klare Verantwortlichkeiten definiert und für eine breite Palette von Akteuren im Finanzsektor – von Banken über Versicherungen bis hin zu Krypto-Dienstleistern – gilt. Darüber hinaus legt DORA den Grundstein für die Überwachung und Regulierung kritischer IKT-Drittdienstleister, was angesichts der zunehmenden Auslagerung digitaler Dienste und der Konzentration von IKT-Anbietern eine wichtige Neuerung darstellt.

    Die Einleitung von DORA spiegelt das Engagement der Europäischen Union wider, einen sicheren, widerstandsfähigen und integrierten Finanzmarkt zu fördern, der in der Lage ist, aktuellen und zukünftigen Herausforderungen in der digitalen Landschaft zu begegnen. Durch die Schaffung eines harmonisierten Rahmens für die digitale Betriebsresilienz trägt DORA dazu bei, das Vertrauen in den digitalen Finanzmarkt zu stärken und die Grundlagen für nachhaltiges Wachstum und Innovation zu legen.

    Geltungsbereich von DORA

    DORA ist für eine breite Palette von Finanzakteuren anwendbar, einschließlich:

    • CRR-Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen,
    • Anbieter von Krypto-Dienstleistungen und Emittenten wertreferenzierter Token gemäß MiCAR,
    • Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister,
    • Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste,
    • Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung,
    • Ratingagenturen, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister, Verbriefungsregister, und
    • IKT-Dienstleister.

    Es gibt jedoch Ausnahmen für bestimmte Unternehmen, wie kleine und mittlere Versicherungsvermittler und Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern.

    Anwendbarkeit und Definitionen

    DORA wird ab dem 17. Januar 2025 angewendet. Die Verordnung definiert „IKT-bezogene Vorfälle“ als unerwartete Ereignisse, die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigen und negative Auswirkungen haben können. Unter „IKT-Dienstleistungen“ versteht DORA digitale und Datendienste, die über IKT-Systeme bereitgestellt werden.

    Überwachung von IKT-Drittdienstleistern

    Ein zentraler Aspekt von DORA ist die Überwachung kritischer IKT-Drittdienstleister durch europäische Aufsichtsbehörden. Diese Maßnahme zielt darauf ab, einheitliche Regelungen im gesamten europäischen Binnenmarkt zu schaffen und Systemrisiken zu minimieren. Die Aufsichtsbehörden erhalten weitreichende Befugnisse, darunter das Recht auf Information, die Durchführung von Untersuchungen und die Empfehlung von Maßnahmen zur Verbesserung der IKT-Sicherheit.

    Verantwortlichkeiten von Finanzunternehmen

    Trotz der Überwachung von IKT-Drittdienstleistern durch Aufsichtsbehörden bleibt die Verantwortung für die Sicherheit der IKT-Infrastruktur und -Dienstleistungen bei den Finanzunternehmen selbst. Sie müssen weiterhin die Risiken, die mit der Nutzung von IKT-Diensten verbunden sind, eigenständig überwachen und bewerten.

    Kosten der Überwachung

    Die Kosten für die Überwachung werden von den als kritisch eingestuften IKT-Drittdienstleistern getragen. Dies umfasst sowohl die Kosten für die Überwachung durch die Aufsichtsbehörden als auch eventuelle Kosten für freiwillige Teilnahme am Überwachungsrahmen.

    Bewertungsempfehlung

    Unternehmen im Finanzsektor und zugehörige IKT-Dienstleister sollten sich umfassend mit den Anforderungen von DORA auseinandersetzen und entsprechende Vorbereitungen treffen. Dazu gehört die Überprüfung und gegebenenfalls Anpassung interner Prozesse und Systeme, um die Compliance mit den neuen Vorschriften sicherzustellen. Besonderes Augenmerk sollte auf das Management von IKT-Risiken und die Zusammenarbeit mit kritischen IKT-Drittdienstleistern gelegt werden. Die Einhaltung der DORA-Vorschriften wird nicht nur regulatorische Anforderungen erfüllen, sondern kann auch dazu beitragen, die digitale Widerstandsfähigkeit zu stärken und das Vertrauen in die Sicherheit und Stabilität der Finanzdienstleistungen zu erhöhen.

    DORA – Beratung & Umsetzung

  • Hauptziele von DORA

    Hauptziele von DORA

    Die Verordnung (EU) 2022/2554, auch bekannt als der Digital Operational Resilience Act (DORA), ist ein bedeutendes legislatives Instrument der Europäischen Union, das darauf abzielt, die operationale Resilienz im Finanzsektor zu stärken.

    Angesichts der zunehmenden Digitalisierung und der damit verbundenen Risiken im Finanzbereich hat DORA das Ziel, die Stabilität und Integrität des Finanzsystems durch die Einführung umfassender Vorschriften für die digitale Resilienz zu gewährleisten. In diesem Artikel werden wir die Schlüsselaspekte von DORA, dessen Bedeutung für den Finanzsektor und die erwarteten Auswirkungen detailliert untersuchen.

    Hintergrund und Notwendigkeit von DORA

    Die rasante Digitalisierung in der Finanzbranche hat neue Herausforderungen und Risiken mit sich gebracht, darunter Cyberangriffe, Systemausfälle und Datenverluste. Diese Risiken können erhebliche Auswirkungen auf die Stabilität und das Vertrauen in das Finanzsystem haben. DORA wurde als Reaktion auf diese Herausforderungen entwickelt, um einheitliche Standards für die digitale Resilienz im gesamten EU-Finanzsektor zu schaffen.

    Hauptziele von DORA

    1. Stärkung der digitalen Resilienz: DORA zielt darauf ab, dass alle Teilnehmer im Finanzsektor robuste Strategien zur Bewältigung von Informations- und Kommunikationstechnologie (IKT) -Risiken entwickeln und umsetzen.
    2. Harmonisierung der Regelungen: Durch die Schaffung eines einheitlichen Regelungsrahmens werden Inkonsistenzen zwischen den Mitgliedstaaten beseitigt und ein fairer Wettbewerb gefördert.
    3. Risikomanagement: Finanzinstitute müssen effektive Risikomanagementverfahren einführen, um IKT-Risiken zu identifizieren, zu klassifizieren und zu steuern.
    4. Incident Reporting: Die Verordnung verpflichtet Finanzinstitute zur Meldung von schwerwiegenden IKT-Vorfällen an die zuständigen Behörden.

    Schlüsselaspekte von DORA

    1. Risikomanagement: Finanzinstitute müssen ein umfassendes IKT-Risikomanagement einführen, das regelmäßige Bewertungen und Tests einschließt.
    2. Überprüfung Dritter: DORA legt Regeln für die Nutzung von Diensten Dritter, insbesondere Cloud-Diensten, fest und stellt sicher, dass Risiken, die sich aus der Auslagerung ergeben, angemessen gehandhabt werden.
    3. Krisenmanagement: Institutionen müssen Pläne für den Umgang mit schwerwiegenden IKT-Vorfällen entwickeln und regelmäßig aktualisieren.
    4. Überwachung und Compliance: Behörden erhalten die Befugnis, die Einhaltung der DORA-Vorschriften zu überwachen und durchzusetzen, einschließlich der Möglichkeit, Sanktionen zu verhängen.

    Auswirkungen auf den Finanzsektor

    Die Implementierung von DORA wird signifikante Auswirkungen auf den Finanzsektor haben. Finanzinstitute müssen ihre Systeme und Prozesse überprüfen und möglicherweise erhebliche Investitionen in ihre digitale Infrastruktur tätigen. Die Verordnung wird auch die Art und Weise beeinflussen, wie Finanzunternehmen mit Drittanbietern, insbesondere Cloud-Diensten, zusammenarbeiten.

    Herausforderungen und Kritik

    Während DORA allgemein als ein wichtiger Schritt zur Stärkung der digitalen Resilienz im Finanzsektor gesehen wird, gibt es auch Bedenken. Einige Kritiker weisen auf die potenziellen Kosten und den administrativen Aufwand hin, insbesondere für kleinere Institutionen. Zudem gibt es Befürchtungen bezüglich der praktischen Umsetzbarkeit einiger Anforderungen.

    Fazit

    DORA ist eine entscheidende Entwicklung in der Regulierung des Finanzsektors, die darauf abzielt, die digitale Resilienz in einer zunehmend vernetzten und digitalisierten Welt zu stärken. Während die vollständige Umsetzung und die langfristigen Auswirkungen noch zu beobachten sind, markiert DORA einen bedeutenden Schritt in Richtung eines sichereren und stabileren Finanzsystems in der EU.

    Zum Thema BAFIN & DORA

    Regelungsinhalt

    DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

    • IKT-Risikomanagement
    • Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen
    • Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)
    • IKT-Drittparteirisikomanagement
    • Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister
    • Information Sharing sowie Cyberkrisen- und Notfallübungen

    DORA findet ab dem 17. Januar 2025 Anwendung.

    DORA – Beratung & Umsetzung