Feedback

Gepostet am 03. Juli 2023 von  Sinem Duygu Aydin, Consultant bei Severn Consultancy 🕐 3 min Lesezeit

Der Digital Operational Resilience Act (DORA): Stärkung der digitalen Widerstandsfähigkeit im Finanzsektor und Auswirkungen auf NIS 2 und CER

Die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) soll sicherstellen, dass Finanzdienstleister angemessene Maßnahmen ergreifen, um digitale Risiken zu identifizieren, zu überwachen und zu bewältigen. Um Unternehmen dazu in die Lage zu versetzen, sind eine Reihe von begleitenden Rechtsakten zu beachten.

Hoher Umsetzungsaufwand in relativ kurzer Zeit

Im November 2022 wurde die endgültige Fassung der DORA verabschiedet und am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht. 20 Tage später, am 16. Januar 2023, trat DORA in Kraft. Ziel der Verordnung ist es, den Schutz des Finanzsystems vor Cyberangriffen, technischen Ausfällen und anderen digitalen Bedrohungen zu verbessern. Näheres hierzu lesen Sie in Regupedia in unserem Blog vom 8. März 2023. 

Ab dem 17. Januar 2025 sind die Vorgaben von DORA von allen Unternehmen in der EU anzuwenden.  Das heißt, den Unternehmen bleiben nur knapp anderthalb Jahre Zeit, um ihre Prozesse und Strukturen an das neue Regime anzupassen!

Erste konkretisierende Vorgaben veröffentlicht

Um die neuen Regelungen weiter auszugestalten und zu konkretisieren, hat der europäische Gesetzgeber die europäischen Aufsichtsbehörden (ESAs) beauftragt, gemeinsam in zwei Phasen insgesamt 13 delegierte Rechtsakte auszuarbeiten. Die ersten sog. technischen Standards, zu denen die ESAs eine öffentliche Konsultation gestartet haben und die bis zum 17. Januar 2024 von der EU-Kommission veröffentlicht werden sollen, sind folgende:  

Stellungnahmen zu diesen Vorschlägen können bis zum 11. September 2023 auf der Webseite der ESAs eingereicht werden.

Auswirkungen auf die Netzinformationssicherheit und Resilienz kritischer Infrastrukturen: NIS 2 und CER

Zeitgleich mit DORA traten am 16. Januar 2023 zwei Richtlinien in Kraft, die in engem Zusammenhang mit der Verordnung stehen, nämlich die Novelle der Netzinformationssicherheitsrichtlinie (NIS 2) und die Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (Critical Entities Resilience Directive, CER)

Die NIS 2 wurde an sektorspezifische Rechtsvorschriften angepasst, insbesondere an DORA und die CER, um Rechtsklarheit zu schaffen und die Kohärenz zwischen NIS 2 und diesen Rechtsvorschriften zu gewährleisten. Die Novelle der NIS stellt höhere Sicherheitsanforderungen an die Unternehmen, widmet sich der Sicherheit der Lieferketten und den Beziehungen zwischen den Anbietern, vereinfacht die Berichterstattungspflichten, sieht strengere Aufsichtsmaßnahmen durch die nationalen Behörden sowie strengere Durchsetzungsanforderungen vor und zielt auf einheitlichere Sanktionsregelungen in den Mitgliedstaaten ab. Die DORA baut dabei auf der NIS 2 auf und beseitigt mögliche Überschneidungen durch eine Ausnahme nach dem lex specialis-Prinzip, so dass die Regelungen der DORA grundsätzlich Vorrang haben sollten. 

Mit der CER wird die Richtlinie über europäische kritische Infrastrukturen von 2008 (Richtlinie 2008/114/EG) erweitert und vertieft. Dabei sollen Mitgliedstaaten nationale Strategien zur Gewährleistung der Widerstandsfähigkeit kritischer Einrichtungen (z. B. Finanzmarktinfrastrukturen) festlegen und regelmäßige Risikobewertungen durchführen. 

Wie die Interessengemeinschaft für Wertpapiere und Märkte (SMSG) in ihrem technischen Ratschlag an die ESMA über praktische Herausforderungen bei der Umsetzung von DORA ausführt, wird die Verantwortung für die Umsetzung der Rahmenregelungen DORA, NIS 2 und CER einer Reihe verschiedener Behörden sowohl auf Ebene der Mitgliedstaaten als auch der Union zugewiesen. Die Wirksamkeit dieser Rahmenwerke im Allgemeinen und der DORA im Besonderen wird laut der SMSG entscheidend von der nahtlosen Zusammenarbeit zwischen diesen Behörden abhängen. Die Strukturen und Prozesse zur Erleichterung dieser Zusammenarbeit sollte gemäß SMSG daher so gestaltet sein, dass ein kontinuierlicher und rechtzeitiger Informationsaustausch und eine effektive Entscheidungsfindung möglich sind.

Fazit

Mit DORA wurde ein Rechtsrahmen geschaffen, der die bestehenden regulatorischen Anforderungen an die IT-Sicherheit für den gesamten Finanzsektor zusammenfasst und einen europaweit einheitlichen Aufsichtsrahmen schafft. 

Nähere Informationen zu DORA und den damit verbundenen Beratungsleistungen von Severn Consultancy finden Sie hier.


Gemeinsam ins Gespräch kommen – Kontaktformular


Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.