Digital Operational Resilience Act (DORA)

Definition des Begriffs

Der Digital Operational Resilience Act (DORA) ist die EU-Verordnung (EU) 2022/2554 und gilt seit dem 17. Januar 2025. Ziel ist es, die digitale Widerstandsfähigkeit des europäischen Finanzsektors gegenüber Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu stärken. DORA führt ein einheitliches, sektorübergreifendes Rahmenwerk ein. Das umfasst ein IKT-Risikomanagement, die Meldung schwerwiegender Cybervorfälle sowie regelmäßige Resilienztests als auch die Aufsicht über kritisch wichtige IKT-Dienstleister. Finanzunternehmen sollen dadurch besser in der Lage sein, IKT-Störungen, Cyberangriffe und Betriebsunterbrechungen zu verhindern, frühzeitig zu erkennen, wirksam darauf zu reagieren und sich rasch davon zu erholen. Die Verordnung ist am 16. Januar 2023 in Kraft getreten und findet nach einer zweijährigen Übergangszeit seit dem 17. Januar 2025 Anwendung. Eine weitere Übergangsfrist existiert nicht.

Einordnung der Relevanz

DORA ist Teil des EU-Strategiepakets „Digital Finance Package“ und ergänzt bestehende Regelwerke wie MaRisk, EBA-Guidelines, EMIR, MiFID II und steht im Kontext der NIS-2-Richtlinie. Die Verordnung verfolgt das Ziel, bisher fragmentierte nationale Regelungen zu harmonisieren, um ein einheitliches Schutzniveau gegen IKT-Risiken in der gesamten EU zu etablieren. Der Anwendungsbereich umfasst nahezu alle regulierten Finanzunternehmen sowie deren wesentliche IKT-Dienstleister, etwa Cloud- und Infrastrukturanbieter.

Betroffene Akteure

Von DORA betroffen sind nahezu alle regulierten Finanzunternehmen innerhalb der Europäischen Union. Dazu zählen insbesondere Kreditinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Zahlungsdienstleister, E-Geld-Institute sowie zentrale Gegenparteien, zentrale Verwahrer, Handelsplätze und Crowdfunding-Plattformen. Auch Krypto-Asset-Dienstleister sowie Anbieter von Datenbereitstellungsdiensten fallen in den Anwendungsbereich. Darüber hinaus sind sogenannte kritische IKT-Drittdienstleister – also beispielsweise Cloud-Anbieter oder Betreiber wesentlicher IT-Infrastrukturen – in die Regulierung einbezogen, sofern sie eine systemische Bedeutung für den Finanzsektor aufweisen. Die Pflichten erfassen damit nicht nur originäre Finanzmarktteilnehmer, sondern auch deren technologische Dienstleister und Outsourcing-Partner. Ausgenommen sind lediglich bestimmte Kleinstunternehmen, für die DORA in Teilen nicht oder nur eingeschränkt Anwendung findet.

Anforderungen und Pflichten

IKT-Risikomanagement

• Aufbau eines umfassenden Governance-Rahmens (Rollen, Prozesse, Verantwortlichkeiten)
• Regelmäßige Risikoanalysen, Schwachstellen-Scans, Patch-Management
• Präventionsmaßnahmen zur Minimierung von IKT-Risiken

Vorfallmanagement und Meldepflichten

• Meldung schwerwiegender IKT-Vorfälle:
• Festgelegte Meldeformate und Schwellenwerte (durch RTS/ITS geregelt)

Digitale Resilienztests

• Durchführung von Threat-Led Penetration Tests (TLPT):

Drittanbieter-Risikomanagement

• Vertragliche Mindestanforderungen, Due Diligence und Exit-Strategien
• Meldepflichten bei wesentlichen Outsourcing-Vereinbarungen
• Überwachung kritischer Drittanbieter durch ESAs (EBA, ESMA, EIOPA)

Governance, Berichtspflichten und Schulungen

• Etablierung einer Funktion für digitale Resilienz
• Jährlicher Bericht an Geschäftsleitung und Aufsichtsbehörden
• Interne Schulungen zur Cyber-Risiko-Sensibilisierung

Technische Standards und Leitlinien

• Fortlaufende Konsultationen und Veröffentlichungen durch die europäischen Aufsichtsbehörden
• Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) konkretisieren Anforderungen

Weitere Informationen

Für weiterführende Informationen, praxisnahe Umsetzungshilfen sowie individuelle Beratung besuchen Sie Regupedia. Regupedia.de bietet tagesaktuelle Informationen und Überblicke zu den aktuellen regulatorischen Veröffentlichungen im Finanzsektor.