Der Digital Operational Resilience Act (DORA) ist die EU-Verordnung (EU) 2022/2554 und gilt seit dem 17. Januar 2025. Ziel ist es, die digitale Widerstandsfähigkeit des europäischen Finanzsektors gegenüber Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu stärken. DORA führt ein einheitliches, sektorübergreifendes Rahmenwerk ein. Das umfasst ein IKT-Risikomanagement, die Meldung schwerwiegender Cybervorfälle sowie regelmäßige Resilienztests als auch die Aufsicht über kritisch wichtige IKT-Dienstleister. Finanzunternehmen sollen dadurch besser in der Lage sein, IKT-Störungen, Cyberangriffe und Betriebsunterbrechungen zu verhindern, frühzeitig zu erkennen, wirksam darauf zu reagieren und sich rasch davon zu erholen. Die Verordnung ist am 16. Januar 2023 in Kraft getreten und findet nach einer zweijährigen Übergangszeit seit dem 17. Januar 2025 Anwendung. Eine weitere Übergangsfrist existiert nicht.
DORA ist Teil des EU-Strategiepakets „Digital Finance Package“ und ergänzt bestehende Regelwerke wie MaRisk, EBA-Guidelines, EMIR, MiFID II und steht im Kontext der NIS-2-Richtlinie. Die Verordnung verfolgt das Ziel, bisher fragmentierte nationale Regelungen zu harmonisieren, um ein einheitliches Schutzniveau gegen IKT-Risiken in der gesamten EU zu etablieren. Der Anwendungsbereich umfasst nahezu alle regulierten Finanzunternehmen sowie deren wesentliche IKT-Dienstleister, etwa Cloud- und Infrastrukturanbieter.
Von DORA betroffen sind nahezu alle regulierten Finanzunternehmen innerhalb der Europäischen Union. Dazu zählen insbesondere Kreditinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Zahlungsdienstleister, E-Geld-Institute sowie zentrale Gegenparteien, zentrale Verwahrer, Handelsplätze und Crowdfunding-Plattformen. Auch Krypto-Asset-Dienstleister sowie Anbieter von Datenbereitstellungsdiensten fallen in den Anwendungsbereich. Darüber hinaus sind sogenannte kritische IKT-Drittdienstleister – also beispielsweise Cloud-Anbieter oder Betreiber wesentlicher IT-Infrastrukturen – in die Regulierung einbezogen, sofern sie eine systemische Bedeutung für den Finanzsektor aufweisen. Die Pflichten erfassen damit nicht nur originäre Finanzmarktteilnehmer, sondern auch deren technologische Dienstleister und Outsourcing-Partner. Ausgenommen sind lediglich bestimmte Kleinstunternehmen, für die DORA in Teilen nicht oder nur eingeschränkt Anwendung findet.
Für weiterführende Informationen, praxisnahe Umsetzungshilfen sowie individuelle Beratung besuchen Sie Regupedia. Regupedia.de bietet tagesaktuelle Informationen und Überblicke zu den aktuellen regulatorischen Veröffentlichungen im Finanzsektor.
Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.