Gepostet am 08. März 2023 von in
Ziel der DORA-Verordnung ist die Schaffung eines Rechtsrahmens mit einheitlichen Anforderungen an die Sicherheit der Netz- und Informationssysteme von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten, die IKT-Dienste (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste anbieten. Der EU-weit einheitliche Rechtsrahmen für die digitale Betriebsstabilität soll sicherstellen, dass Unternehmen in der Lage sind, auf Störungen und Bedrohungen im Zusammenhang mit IKT angemessen zu reagieren. Auf diese Weise sollen erfolgreiche Cyber-Angriffe möglichst verhindert bzw. deren Auswirkungen so gering wie möglich gehalten werden.
DORA betrifft nahezu alle Finanzunternehmen und wird für Kredit- und Zahlungsinstitute, Wertpapierfirmen, Anbieter von Krypto-Diensten bis hin zu Versicherungsunternehmen, Versicherungsvermittlern und vielen anderen Finanzdienstleistern gelten. Auch IKT-Drittanbieter, die digitale (Daten-)Dienstleistungen erbringen, werden von den neuen Vorschriften erfasst. Ausgenommen von DORA sind hingegen Wirtschaftsprüfer sowie Anbieter von Hardwarekomponenten und reinen elektronischen Kommunikationsdiensten.
Die meisten Anforderungen gelten für Finanzinstitute jeder Größe. Lediglich für Kleinstunternehmen („microenterprises“ - Unternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz von nicht mehr als EUR 2 Mio.) sind Erleichterungen vorgesehen.
Der europäische Gesetzgeber hat folgende Kernelemente der DORA definiert:
IKT-Risikomanagement
Meldung von IKT-bezogenen Vorfällen
Prüfung der digitalen operativen Belastbarkeit
IKT-Drittrisiko
Austausch von Informationen
Am 6. Februar 2023 organisierten die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA (ESAs) eine öffentliche Anhörung mit Stakeholdern aus Wirtschaft und Aufsicht zu dem neuen Rechtsrahmen. Die Veranstaltung bot den Branchenteilnehmern die Möglichkeit, mit den Regulatoren über die neue Gesetzgebung zu diskutieren, erste Meinungen auszutauschen und mögliche Bedenken hinsichtlich der Ausgestaltung konkretisierender Vorgaben zu äußern, die die ESAs in den Jahren 2023 und 2024 in Form von regulatorischen technischen und Implementierungs-Standards (sog. RTS und ITS) oder Leitlinien entwickeln müssen.
In diesem und im kommenden Jahr sind in Anlehnung, dass das DORA-Rahmenwerk in Kraft tritt zahlreiche delegierte Rechtsakte geplant, u.a.:
Mit der Ausarbeitung der neuen Vorgaben haben die ESAs bereits begonnen. Die Entwürfe sollen laut dem Zeitplan der Aufsichtsbehörden Mitte Juni bzw. im November 2023 zur Konsultation gestellt werden. Mit der Veröffentlichung der delegierten Rechtsakte durch die EU-Kommission ist Mitte Januar bzw. Mitte Juni 2024 zu rechnen.
DORA ist zwar erst ab Januar 2025 anzuwenden, die Anzahl an neuen Vorgaben, die zum Teil noch in nationales Recht zu überführen sind, macht jedoch deutlich, dass der Umsetzungsaufwand immens ist. Daher ist es wichtig, sich frühzeitig mit den Neuerungen vertraut zu machen.
Auf Regupedia.de, dem Informationsportal für Finanzmarktregulierung, können Sie alle regulatorischen Entwicklungen im Zusammenhang mit DORA – und vielen anderen Themen – bereits im Konsultationsstadium weiterverfolgen.