DORA ist ab dem 17. Januar 2025 verbindlich anzuwenden

Der Digital Operational Resilience Act (DORA) trat am 16.01.2023 in Kraft und wird ab dem 17.01.2025 in allen EU-Mitgliedstaaten vollständig angewendet. Zur präzisen Einhaltung der Vorschriften dieser EU-Verordnung haben die europäischen Aufsichtsbehörden - die Europäische Bankenaufsichtsbehörde (European Banking Authority - EBA), die Europäische Wertpapieraufsichtsbehörde (European Securities and Markets Authority - ESMA), die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority - EIOPA) - den Auftrag erhalten, technische Regulierungsstandards und Implementierungsstandards zu erarbeiten.

Gleichzeitig wurde eine Änderungsrichtlinie veröffentlicht, die darauf abzielt, sektorale europäische Richtlinien mit den Anforderungen von DORA in Einklang zu bringen. Unter anderem wurden bedrohungsorientierte Penetrationstests (TLPT) gemäß DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements Directive - CRD) integriert. Die DORA-Änderungsrichtlinie betrifft eine Reihe europäischer Richtlinien, darunter die OGAW-Richtlinie (2009/65/EG), Solvency II (2009/138/EG), die AIFM-Richtlinie (2011/61/EU), die Eigenkapitalrichtlinie (CRD) (2013/36/EU), die Abwicklungsrichtlinie (2014/59/EU), MiFID II (2014/65/EU), PSD II ((EU) 2015/2366) und die EbAV-II-Richtlinie ((EU) 2016/2341). Die erarbeiteten Standards sollen als Grundlage für eine effektive und umfassende Umsetzung der DORA-Verordnung dienen und damit das klare Ziel der Förderung der digitalen Betriebsfestigkeit unterstützen.

Wer ist von DORA betroffen?

Der Anwenderkreis von DORA wurde gegenüber den bisherigen europäischen und nationalen Regularien deutlich erweitert. Somit ist DORA gem. Artikel 2 (Geltungsbereich) grundsätzlich für alle Kreditinstitute, Zahlungsinstitute, Versicherungsunternehmen, Investmentfirmen sowie IKT-Drittanbieter, die den vorgenannten Instituten digitale (Daten-) Dienstleistungen anbieten, anzuwenden.

Ausnahmen für den Geltungsbereich:

• Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet;
• oder auch Finanzunternehmen, das 10 oder mehr, aber weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR überschreitet, nicht jedoch 10 Mio. EUR

FinmadiG

Das Finanzmarktdigitalisierungsgesetz (FinmadiG) und die Digital Operational Resilience Act (DORA) sind zwei wichtige Rechtsvorschriften, die die Digitalisierung des Finanzmarkts regeln. 

Zusammenfassend kann festgehalten werden, dass das Finanzmarkt-Digitalisierungsgesetz (FinmadiG) einen umfassenderen Anwendungsbereich hat als die Digital Operational Resilience Act (DORA) und sich primär auf die Förderung der Digitalisierung des Finanzmarkts konzentriert, während die DORA auf die Stärkung der digitalen operationellen Widerstandsfähigkeit von Finanzinstituten abzielt. Es ist von Bedeutung, dass die DORA Vorrang vor dem FinmadiG hat. Demnach sind die deutschen Behörden verpflichtet, bei der Umsetzung des FinmadiG die Bestimmungen der DORA zu berücksichtigen. Insgesamt betrachtet sind das FinmadiG und die DORA zwei sich ergänzende Rechtsvorschriften, die die Digitalisierung des Finanzmarkts regulieren.

DORA auf einen Blick

Der Digital Operational Resilience Act (DORA) wurde entwickelt, um die digitale operative Widerstandsfähigkeit des gesamten europäischen Finanzsektors in vier entscheidenden Bereichen zu stärken. Die vorliegende Grafik visualisiert die verschiedenen Themenbereiche der DORA in Form von vier Säulen. Zugleich bietet sie einen Überblick über die Wechselwirkungen zwischen den einzelnen Kapiteln der DORA und den entsprechenden Veröffentlichungen von RTS (Regulatory Technical Standards) und ITS (Implementing Technical Standards). Durch die Darstellung der Tranchen wird deutlich, in welchem Entwicklungsstadium sich die Dokumente befinden und ob die festgelegten Anforderungen bereits endgültig oder noch Änderungen zu erwarten sind.

Kommen Sie mit uns ins Gespräch

Ab sofort erhalten Sie regelmäßig eine Blogserie zu DORA. Diese Serie dient dazu, Sie optimal auf den 17. Januar 2025 vorzubereiten. DORA ist ein entscheidender Meilenstein für Unternehmen und Organisationen, um ihre digitale Betriebsbereitschaft zu bewerten und zu verbessern. Die Blogserie wird Ihnen wertvolle Einblicke, Tipps und Best Practices bieten, um sicherzustellen, dass Ihr Unternehmen für die bevorstehende DORA-Bewertung bestmöglich gerüstet ist. Wir sind zuversichtlich, dass diese Serie dazu beitragen wird, Ihr Verständnis für die Anforderungen von DORA zu vertiefen und Ihnen die notwendigen Werkzeuge und Strategien an die Hand zu geben, um diesen Prozess erfolgreich zu durchlaufen.

Unsere DORA- und IT-Experten von Severn unterstützen Sie gerne. Gerne steht Ihnen Norman Nehls für eine erste Kontaktaufnahme und für weitere Fragen zur Verfügung.