Digital Operational Resilience Act (DORA)

Definition des Begriffs

Der Digital Operational Resilience Act (DORA) ist die EU-Verordnung (EU) 2022/2554 und gilt ab dem 17. Januar 2025. Ziel ist es, die digitale Widerstandsfähigkeit des europäischen Finanzsektors gegenüber Informations- und Kommunikationstechnologie-Risiken (IKT-Risiken) zu stärken. DORA führt ein einheitliches, sektorübergreifendes Rahmenwerk ein: Das umfasst ein IKT-Risikomanagement, die Meldung schwerwiegender Cybervorfälle sowie regelmäßige Resilienztests als auch die Aufsicht über kritische IKT-Dienstleister. Finanzunternehmen sollen dadurch besser in der Lage sein, IKT-Störungen, Cyberangriffe und Betriebsunterbrechungen zu verhindern, frühzeitig zu erkennen, wirksam darauf zu reagieren und sich rasch davon zu erholen.

Die Verordnung ist am 16. Januar 2023 in Kraft getreten und findet nun nach einer zweijährigen Übergangszeit ab dem 17. Januar 2025 Anwendung. Eine weitere Übergangsfrist wird es nicht geben.

Einordnung der Relevanz

DORA ist Teil des EU-Strategiepakets „Digital Finance Package“ und ergänzt bestehende Regelwerke wie MaRisk, EBA-Guidelines, EMIR, MiFID II und steht im Zusammenhang mit der NIS-2-Richtlinie. Die Verordnung verfolgt das Ziel, bisher fragmentierte nationale Regelungen zu harmonisieren, um ein einheitliches Schutzniveau gegen IKT-Risiken in der gesamten EU zu etablieren. Der Anwendungsbereich umfasst nahezu alle regulierten Finanzunternehmen sowie deren wesentliche IKT-Dienstleister, etwa Cloud- und Infrastrukturanbieter.

Betroffene

Von DORA betroffen sind nahezu alle regulierten Finanzunternehmen innerhalb der Europäischen Union. Dazu zählen insbesondere Kreditinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen, Zahlungsdienstleister, E-Geld-Institute sowie zentrale Gegenparteien, zentrale Verwahrer, Handelsplätze und Crowdfunding-Plattformen. Auch Krypto-Asset-Dienstleister sowie Anbieter von Datenbereitstellungsdiensten fallen unter den Anwendungsbereich. Darüber hinaus sind sogenannte kritische IKT-Drittdienstleister – also beispielsweise Cloud-Anbieter oder Betreiber wesentlicher IT-Infrastrukturen – in die Regulierung einbezogen, sofern sie eine systemische Bedeutung für den Finanzsektor aufweisen. Die Pflichten erfassen damit nicht nur originäre Finanzmarktteilnehmer, sondern auch deren technologische Dienstleister und Outsourcing-Partner. Ausgenommen sind lediglich bestimmte Kleinstunternehmen, für die DORA in Teilen nicht oder nur eingeschränkt Anwendung findet.

Anforderungen und Pflichten

IKT-Risikomanagement

• Aufbau eines umfassenden Governance-Rahmens (Rollen, Prozesse, Verantwortlichkeiten)
• Regelmäßige Risikoanalysen, Schwachstellen-Scans, Patch-Management
• Präventionsmaßnahmen zur Minimierung von IKT-Risiken

Vorfallmanagement und Meldepflichten

• Meldung schwerwiegender IKT-Vorfälle:
  • Erste Meldung binnen 24 Stunden
  • Vollständiger Bericht innerhalb von 72 Stunden
• Festgelegte Meldeformate und Schwellenwerte (durch RTS/ITS geregelt)

Digitale Resilienztests

• Durchführung von Threat-Led Penetration Tests (TLPT):
  • Mindestens alle 3 Jahre für systemrelevante Institute
  • Risikobasierte Durchführung für andere Unternehmen

Drittanbieter-Risikomanagement

• Vertragliche Mindestanforderungen, Due Diligence und Exit-Strategien
• Meldepflichten bei wesentlichen Outsourcing-Vereinbarungen
• Überwachung kritischer Drittanbieter durch ESAs (EBA, ESMA, EIOPA):
  • Jährliche Self-Assessments
  • Meldung kritischer Vorfälle durch die Drittanbieter

Governance, Berichtspflichten und Schulungen

• Etablierung einer Funktion für digitale Resilienz
• Jährlicher Bericht an Geschäftsleitung und Aufsichtsbehörden
• Interne Schulungen zur Cyber-Risiko-Sensibilisierung

Technische Standards und Leitlinien

• Fortlaufende Konsultationen und Veröffentlichungen durch die europäischen Aufsichtsbehörden
• Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) konkretisieren Anforderungen

Weitere Informationen

Die DORA-Verordnung gilt ab dem 17. Januar 2025 verbindlich in allen EU-Mitgliedstaaten – ohne die Notwendigkeit nationaler Umsetzungsgesetze.

Die konkrete Umsetzung der Verordnung erfolgt schrittweise durch sogenannte Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS), die von den drei europäischen Aufsichtsbehörden – EBA, ESMA und EIOPA – ausgearbeitet und veröffentlicht werden. DORA ist dabei Teil eines umfassenden europäischen Rahmens zur Cybersicherheit und steht insbesondere im Zusammenhang mit der NIS-2-Richtlinie. Zudem ergänzt die Verordnung bestehende aufsichtsrechtliche Regelwerke wie EMIR, MiFID II und die MaRisk.

Für weiterführende Informationen und praxisnahe Umsetzungshilfen empfiehlt sich insbesondere ein Blick auf die Plattform Regupedia unter www.regupedia.de, die regelmäßig aktualisiert wird und eine umfassende Übersicht zur regulatorischen Entwicklung bietet.