Feedback

Gepostet am 08. März 2023 von  Sinem Duygu Aydin, Consultant Severn Consultancy 🕐 3 min Lesezeit in IT-Sicherheit

Neue regulatorische Vorgaben rund um DORA

Die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) ist seit dem 16.01.2023 in Kraft und wird in zwei Jahren, ab dem 17.01.2025, in allen EU-Mitgliedstaaten anzuwenden sein. Zur Konkretisierung der Vorgaben dieser EU-Verordnung haben die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA (ESAs) Mandate für technische Regulierungsstandards erhalten, welche die Vorgaben zum IKT-Risikomanagement und zur Klassifizierung und dem Reporting von IKT-Vorfällen veranschaulichen.

Einheitliche Vorgaben zur Sicherung der digitalen Betriebsstabilität

Ziel der DORA-Verordnung ist die Schaffung eines Rechtsrahmens mit einheitlichen Anforderungen an die Sicherheit der Netz- und Informationssysteme von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten, die IKT-Dienste (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste anbieten. Der EU-weit einheitliche Rechtsrahmen für die digitale Betriebsstabilität soll sicherstellen, dass Unternehmen in der Lage sind, auf Störungen und Bedrohungen im Zusammenhang mit IKT angemessen zu reagieren. Auf diese Weise sollen erfolgreiche Cyber-Angriffe möglichst verhindert bzw. deren Auswirkungen so gering wie möglich gehalten werden. 

Betroffene: Alle auf EU-Ebene regulierten Finanzunternehmen

DORA betrifft nahezu alle Finanzunternehmen und wird für Kredit- und Zahlungsinstitute, Wertpapierfirmen, Anbieter von Krypto-Diensten bis hin zu Versicherungsunternehmen, Versicherungsvermittlern und vielen anderen Finanzdienstleistern gelten. Auch IKT-Drittanbieter, die digitale (Daten-)Dienstleistungen erbringen, werden von den neuen Vorschriften erfasst. Ausgenommen von DORA sind hingegen Wirtschaftsprüfer sowie Anbieter von Hardwarekomponenten und reinen elektronischen Kommunikationsdiensten. 

Die meisten Anforderungen gelten für Finanzinstitute jeder Größe. Lediglich für Kleinstunternehmen („microenterprises“ - Unternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz von nicht mehr als EUR 2 Mio.) sind Erleichterungen vorgesehen. 

Wesentliche Inhalte der DORA

Der europäische Gesetzgeber hat folgende Kernelemente der DORA definiert: 

IKT-Risikomanagement 

  • Eine Reihe von Schlüsselprinzipien und Anforderungen an den IKT-Risikomanagementrahmen 

Meldung von IKT-bezogenen Vorfällen 

  • Harmonisierung und Straffung der Berichterstattung + Ausweitung der Meldepflichten auf alle Finanzinstitute 

Prüfung der digitalen operativen Belastbarkeit 

  • Finanzinstitute müssen sich grundlegenden oder fortgeschrittenen Tests unterziehen (z. B. TLPTs) 

IKT-Drittrisiko 

  • Auf Grundsätzen basierende Regeln für die Überwachung von Risiken Dritter, wichtige Vertragsbestimmungen + Aufsichtsrahmen für kritische IKT-TPPs 

Austausch von Informationen 

  • Freiwilliger Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen 

Weitere Konkretisierung der DORA

Am 6. Februar 2023 organisierten die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA (ESAs) eine öffentliche Anhörung mit Stakeholdern aus Wirtschaft und Aufsicht zu dem neuen Rechtsrahmen. Die Veranstaltung bot den Branchenteilnehmern die Möglichkeit, mit den Regulatoren über die neue Gesetzgebung zu diskutieren, erste Meinungen auszutauschen und mögliche Bedenken hinsichtlich der Ausgestaltung konkretisierender Vorgaben zu äußern, die die ESAs in den Jahren 2023 und 2024 in Form von regulatorischen technischen und Implementierungs-Standards (sog. RTS und ITS) oder Leitlinien entwickeln müssen.  

In diesem und im kommenden Jahr sind in Anlehnung, dass das DORA-Rahmenwerk in Kraft tritt zahlreiche delegierte Rechtsakte geplant, u.a.:  

  • Leitlinien und RTS zum IKT-Risikomanagement  
  • RTS / ITS zu IKT-bezogenen Vorfällen (Klassifizierung / Meldungen von Vorfällen) 
  • RTS zum Testen der Widerstandsfähigkeit (Spezifizierung des Thread led penetraione Testing (TLPT) 
  • RTS / ITS zum Management von IKT-Drittrisiken (Vorlagen für das Informationsregister / Aspekte bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer Funktionen) 
  • Leitlinien / RTS /del. Rechtsakte zur Überwachung kritischer IKT-Dienstleister (Kriterien zur Einstufung kritischer IKT-Drittdienstleister / Durchführung von Überwachungstätigkeiten / Zusammenarbeit zwischen den Behörden) 

Mit der Ausarbeitung der neuen Vorgaben haben die ESAs bereits begonnen. Die Entwürfe sollen laut dem Zeitplan der Aufsichtsbehörden Mitte Juni bzw. im November 2023 zur Konsultation gestellt werden. Mit der Veröffentlichung der delegierten Rechtsakte durch die EU-Kommission ist Mitte Januar bzw. Mitte Juni 2024 zu rechnen.  

DORA ist zwar erst ab Januar 2025 anzuwenden, die Anzahl an neuen Vorgaben, die zum Teil noch in nationales Recht zu überführen sind, macht jedoch deutlich, dass der Umsetzungsaufwand immens ist. Daher ist es wichtig, sich frühzeitig mit den Neuerungen vertraut zu machen.  

Auf Regupedia.de, dem Informationsportal für Finanzmarktregulierung, können Sie alle regulatorischen Entwicklungen im Zusammenhang mit DORA – und vielen anderen Themen – bereits im Konsultationsstadium weiterverfolgen. 


Gemeinsam ins Gespräch kommen – Kontaktformular


 Serie zur Retail Investment Strategy der EU-Kommission (Neue Pflichten in Anlageberatung und beratungsfreiem Geschäft)

 DORA - Der Countdown läuft

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 2)

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 1)

 Quo Vadis Geldwäscheparadies? Eine ausführliche Analyse des neuen Finanzkriminalitätsbekämpfungsgesetzes (FKBG)

Login 



Passwort vergessen?

Das Search-Center ist exklusiv für unsere Kunden. Darin haben Sie Zugriff auf eine umfassende Sammlung von relevanten Gesetzen, Richtlinien, Verordnungen und Merkblättern. Mit der komfortablen Suchfunktion finden Sie schnell die für Sie relevanten Informationen.

Sie wollen einen vollen Zugang zu Regupedia.de? Dann werden Sie unser Kunde und nehmen mit uns Kontakt auf.

Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.