DORA Geltungsbereich

Lesezeit: 3 Minuten

Geltungsbereich von DORA – Die europäische Verordnung DORA (Digital Operational Resilience Act) stellt einen wesentlichen Bestandteil der Strategie der Europäischen Union dar.

Die zunehmende Digitalisierung und Vernetzung innerhalb des Finanzsektors hat zu einer gesteigerten Abhängigkeit von Informationstechnologien und digitalen Dienstleistungen geführt. Diese Entwicklung bietet zwar immense Chancen für Effizienzsteigerungen und die Erschließung neuer Märkte, birgt jedoch auch signifikante Risiken in Bezug auf die operationelle Resilienz und Sicherheit. Cyberangriffe, Systemausfälle und Datenlecks können gravierende Auswirkungen auf die finanzielle Stabilität von Institutionen und die Integrität des Finanzmarktes insgesamt haben. Vor diesem Hintergrund hat die Europäische Union die Notwendigkeit erkannt, einen einheitlichen regulatorischen Rahmen zu schaffen, der die digitale Widerstandsfähigkeit des Finanzsektors stärkt und grenzüberschreitende Risiken effektiv adressiert.

Die Verordnung über die digitale Betriebsresilienz für den Finanzsektor, bekannt unter dem Akronym DORA (Digital Operational Resilience Act), ist eine Antwort auf diese Herausforderungen. DORA zielt darauf ab, ein kohärentes Regelwerk für den Umgang mit Informations- und Kommunikationstechnologie (IKT)-Risiken in der Finanzbranche zu etablieren. Sie bündelt und harmonisiert bestehende Regelungen und führt neue Anforderungen ein, die sicherstellen sollen, dass Finanzunternehmen und ihre Dienstleister die Integrität, Verfügbarkeit, und Sicherheit ihrer Systeme und Daten gewährleisten können.

Die Verordnung stellt einen signifikanten Schritt in Richtung einer umfassenden strategischen Ausrichtung der EU dar, die auf die Stärkung der operationellen Resilienz des Finanzsektors abzielt. Sie berücksichtigt die wachsende Bedeutung digitaler Technologien und die damit verbundenen Risiken, indem sie klare Verantwortlichkeiten definiert und für eine breite Palette von Akteuren im Finanzsektor – von Banken über Versicherungen bis hin zu Krypto-Dienstleistern – gilt. Darüber hinaus legt DORA den Grundstein für die Überwachung und Regulierung kritischer IKT-Drittdienstleister, was angesichts der zunehmenden Auslagerung digitaler Dienste und der Konzentration von IKT-Anbietern eine wichtige Neuerung darstellt.

Die Einleitung von DORA spiegelt das Engagement der Europäischen Union wider, einen sicheren, widerstandsfähigen und integrierten Finanzmarkt zu fördern, der in der Lage ist, aktuellen und zukünftigen Herausforderungen in der digitalen Landschaft zu begegnen. Durch die Schaffung eines harmonisierten Rahmens für die digitale Betriebsresilienz trägt DORA dazu bei, das Vertrauen in den digitalen Finanzmarkt zu stärken und die Grundlagen für nachhaltiges Wachstum und Innovation zu legen.

Geltungsbereich von DORA

DORA ist für eine breite Palette von Finanzakteuren anwendbar, einschließlich:

  • CRR-Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen,
  • Anbieter von Krypto-Dienstleistungen und Emittenten wertreferenzierter Token gemäß MiCAR,
  • Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister,
  • Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften, Datenbereitstellungsdienste,
  • Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung,
  • Ratingagenturen, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister, Verbriefungsregister, und
  • IKT-Dienstleister.

Es gibt jedoch Ausnahmen für bestimmte Unternehmen, wie kleine und mittlere Versicherungsvermittler und Einrichtungen der betrieblichen Altersversorgung mit weniger als 15 Versorgungsanwärtern.

Anwendbarkeit und Definitionen

DORA wird ab dem 17. Januar 2025 angewendet. Die Verordnung definiert „IKT-bezogene Vorfälle“ als unerwartete Ereignisse, die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigen und negative Auswirkungen haben können. Unter „IKT-Dienstleistungen“ versteht DORA digitale und Datendienste, die über IKT-Systeme bereitgestellt werden.

Überwachung von IKT-Drittdienstleistern

Ein zentraler Aspekt von DORA ist die Überwachung kritischer IKT-Drittdienstleister durch europäische Aufsichtsbehörden. Diese Maßnahme zielt darauf ab, einheitliche Regelungen im gesamten europäischen Binnenmarkt zu schaffen und Systemrisiken zu minimieren. Die Aufsichtsbehörden erhalten weitreichende Befugnisse, darunter das Recht auf Information, die Durchführung von Untersuchungen und die Empfehlung von Maßnahmen zur Verbesserung der IKT-Sicherheit.

Verantwortlichkeiten von Finanzunternehmen

Trotz der Überwachung von IKT-Drittdienstleistern durch Aufsichtsbehörden bleibt die Verantwortung für die Sicherheit der IKT-Infrastruktur und -Dienstleistungen bei den Finanzunternehmen selbst. Sie müssen weiterhin die Risiken, die mit der Nutzung von IKT-Diensten verbunden sind, eigenständig überwachen und bewerten.

Kosten der Überwachung

Die Kosten für die Überwachung werden von den als kritisch eingestuften IKT-Drittdienstleistern getragen. Dies umfasst sowohl die Kosten für die Überwachung durch die Aufsichtsbehörden als auch eventuelle Kosten für freiwillige Teilnahme am Überwachungsrahmen.

Bewertungsempfehlung

Unternehmen im Finanzsektor und zugehörige IKT-Dienstleister sollten sich umfassend mit den Anforderungen von DORA auseinandersetzen und entsprechende Vorbereitungen treffen. Dazu gehört die Überprüfung und gegebenenfalls Anpassung interner Prozesse und Systeme, um die Compliance mit den neuen Vorschriften sicherzustellen. Besonderes Augenmerk sollte auf das Management von IKT-Risiken und die Zusammenarbeit mit kritischen IKT-Drittdienstleistern gelegt werden. Die Einhaltung der DORA-Vorschriften wird nicht nur regulatorische Anforderungen erfüllen, sondern kann auch dazu beitragen, die digitale Widerstandsfähigkeit zu stärken und das Vertrauen in die Sicherheit und Stabilität der Finanzdienstleistungen zu erhöhen.