Menü open menu close menu

DORA - Digital Operational Resilience Act

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologe (IKT) zu stärken.

 

Veranstaltungshinweis

Die digitale BaFin-Konferenz „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“ findet am 5. Dezember 2023 statt. Die Anmeldung ist noch bis zum 20. Oktober 2023 möglich.

 

Eine für alle(s)

So gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.

Auch die BaFin und die Deutsche Bundesbank bereiten sich auf DORA vor - insbesondere durch Anpassung der Aufsichts- und Verwaltungspraxis und Implementierung von IT-Prozessen und -Systemen im Rahmen von DORA. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.

Die BaFin unterstützt beaufsichtigte Unternehmen bei der Umsetzung von DORA – beispielsweise mit Veranstaltungen, Gesprächen mit Expertinnen und Experten und dieser Info-Seite. Hier stellt sie die wichtigsten Informationen zu DORA und der Umsetzung des Regelwerks zusammen. Die Website wird laufend aktualisiert und erweitert werden.

 

Regelungsinhalt

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

  • IKT-Risikomanagement
  • Meldewesen zu IKT-Vorfällen und wesentlichen Cyberbedrohungen
  • Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT)
  • IKT-Drittparteimanagement
  • Europäisches Überwachungsrahmenwerk für kritische IKT-Drittdienstleister
  • Information Sharing sowie Cyberkrisen- und Notfallübungen

DORA findet ab dem 17. Januar 2025 Anwendung.

Die drei Europäischen Aufsichtsbehörden – die EU-Wertpapieraufsichtsbehörde (European Securities and Markets Authority – ESMA), die EU-Bankenaufsichtsbehörde (European Banking Authority – EBA) und die EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA), erarbeiten gemeinsam dazu technische Regulierungsstandards, Implementierungsstandards und Leitlinien, die die Anwendung von DORA in allen Sektoren weiter konkretisieren.

Neben DORA wurde zeitgleich eine DORA-Änderungsrichtlinie mit dem Ziel veröffentlicht, sektorale europäische Richtlinien konsistent mit den Anforderungen von DORA zu halten. So wurden beispielsweise TLPT unter DORA in den SREP-Prozess der Eigenkapitalrichtlinie (Capital Requirements Directive – CRD) aufgenommen. Die DORA-Änderungsrichtlinie ändert die europäischen Richtlinien 2009/65/EG (OGAW-Richtlinie), 2009/138/EG (Solvency II), 2011/61/EU (AIFM-Richtlinie), 2013/36/EU (Eigenkapitalrichtlinie; CRD), 2014/59/EU (Abwicklungsrichtlinie), 2014/65/EU (MiFID II), (EU) 2015/2366 (PSD II) und (EU) 2016/2341 (EbAV-II-Richtlinie).

 

Zum Hintergrund

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Ab dem 17. Januar 2025 wird sie angewendet.

Die Europäische Kommission hatte den Legislativvorschlag zu DORA am 24. September 2020 als Teil des Pakets zur Digitalisierung des Finanzsektors vorgelegt. Dieses Paket umfasst auch einen Rechtsakt über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR), einen Vorschlag über eine Pilotregelung für auf Distributed-Ledger-Technologie (DLT) basierende Marktinfrastrukturen sowie eine Strategie für ein digitales Finanzwesen.

Übrigens: Viele Anforderungen aus DORA dürften deutschen Instituten und Unternehmen des Finanzsektors bereits bekannt sein. Denn die Anforderungen der BaFin an die IT-Aufsicht – veröffentlicht in den BAIT, ZAIT, VAIT, KAIT sowie die Orientierungshilfe Cloud oder das TIBER-EU-Rahmenwerk dienten DORA als Vorbild.

 

Aktuelle Konsultation zu DORA

Aktuell finden keine öffentlichen Konsultationen zu DORA statt. Die nächste öffentliche Konsultation der der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu DORA ist für Ende November / Anfang Dezember 2023 zu den nachfolgenden Entwürfen geplant:

  • Konsultation des RTS zu Threat Led Penetration Testing (Art. 26.11)
  • Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30.5)
  • Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
  • Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
  • Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32.7)
  • Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

 

Abgeschlossene Konsultationen

Die gemeinsame Konsultation der ESAs über die erste Tranche der technischen Regulierungs- und Implementierungsstandards zu DORA vom 19. Juni 2023 bis 11. September 2023 enthält die folgenden Entwürfe:

  • Consultation on RTS on ICT risk management framework (Art. 15) and RTS on simplified ICT risk management (Art. 16)
  • Consultation on RTS on criteria for the classification of ICT related incidents (Art. 18.3)
  • Consultation on ITS to establish the templates for the register of information (Art. 28.9)
  • Consultation on RTS to specify the policy on ICT services performed by ICT third party service providers (Art. 28.10)

Öffentliche Konsultation für die Stellungnahme der ESAs (EBA, ESMA und EIOPA) für die Europäische Kommission zu den delegierten Rechtsakten im Rahmen des europäischen Überwachungsrahmenwerks gemäß den Artikeln 31 und 43 der Verordnung (EU) 2022/2554 mit öffentlicher Konsultation vom 26. Mai 2023 bis 23. Juni 2023.

 

DORA: Was müssen Sie wissen?

Der Fragenkatalog zu DORA vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen zu DORA und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.

 

Quelle: BaFin vom 13.10.2023

 

PRES­SE­KON­TAKT

Netz­werk Kapi­tal­markt Sanie­rung
BEMK Rechts­an­wälte PartGmbB

Artur-Lade­beck-Str. 8
33602 Biele­feld

Website: https://​​​​​​​​​​​​​netz­werk-kapi­tal­markt-sanie­rung.de/
E-Mail : info@netz­werk-kapi­tal­markt-sanie­rung.de
Telefon: +49 (0) 521 977 940-0
Telefax: +49 (0) 521 977 940-10