DORA-Verordnung in aller Kürze

09.08.2024

Was ist DORA?

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union. Die Verordnung wurde als Teil des EU-Pakets zur Digitalisierung des Finanzsektors entwickelt und zielt darauf ab, die Widerstandsfähigkeit und Sicherheit der Informations- und Kommunikationstechnologie (IKT) betroffener Organisationen zu erhöhen.

Ein kurzer Überblick über DORA

  • Zielsetzung: Die DORA-Verordung soll sicherstellen, dass Finanzinstitute in der Lage sind, sich effektiv gegen Cyberangriffe und andere IT-bezogene Risiken zu schützen, um eine stabile und sichere Finanzinfrastruktur zu gewährleisten.
  • Anwendungsbereich: Die Verordnung gilt für eine Vielzahl von Finanzmarktteilnehmern, darunter Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und viele weitere Akteure im Finanzsektor.
  • IKT-Risikomanagement: DORA verlangt von Finanzinstituten, robuste IKT-Risikomanagement-Rahmenwerke zu entwickeln und zu implementieren. Dies umfasst die Identifizierung, Bewertung und Steuerung von IKT-Risiken.
  • Vorfallmanagement: Unternehmen müssen über Pläne und Verfahren verfügen, um auf schwerwiegende IKT-Vorfälle effektiv zu reagieren und diese zu bewältigen. Dazu gehört auch die Verpflichtung, solche Vorfälle den zuständigen Behörden zu melden.
  • Audits und Tests: Die Verordnung schreibt vor, dass regelmäßige Tests und Audits der IKT-Systeme durchgeführt werden, um ihre Resilienz und Sicherheit zu überprüfen. Dies beinhaltet auch Penetrationstests und andere Formen der Prüfung.
  • Externe Dienstleister: Finanzinstitute müssen sicherstellen, dass auch die von ihnen genutzten externen Dienstleister, wie z.B. Cloud-Anbieter, den Anforderungen von DORA entsprechen. Dies umfasst die Überwachung und Steuerung von Risiken, die mit der Nutzung solcher Dienstleister verbunden sind.
  • Governance und Berichterstattung: DORA fordert eine klare Governance-Struktur und Berichterstattungslinien innerhalb der Finanzinstitute, um die Einhaltung der Verordnung sicherzustellen. Es muss eine klare Zuweisung von Verantwortlichkeiten für das IKT-Risikomanagement bestehen.

Ab wann gilt DORA?

Die DORA-Verordnung trat am 16. Januar 2023 in Kraft. Die betroffenen Unternehmen haben zwei Jahre bis zum 17. Januar 2025 Zeit, um die Anforderungen vollständig umzusetzen und die Einhaltung sicherzustellen. Ab diesem Datum müssen alle in der Verordnung festgelegten Maßnahmen und Anforderungen von den betroffenen Finanzinstituten und Dienstleistern im Finanzsektor erfüllt werden.

Welche Unternehmen sind betroffen?

Folgende Unternehmen müssen umfassende Richtlinien zur digitalen Resilienz implementieren, um sicherzustellen, dass sie in der Lage sind, angesichts von Cyberangriffen und anderen IT-bezogenen Störungen weiterhin ihre wesentlichen Aktivitäten durchzuführen.

  • Kreditinstitute: Banken und andere Institute, die Kreditgeschäfte tätigen.
  • Wertpapierfirmen: Unternehmen, die Dienstleistungen im Bereich Wertpapiere anbieten, wie beispielsweise Broker und Investmentfirmen.
  • Zahlungsdienstleister: Anbieter von Zahlungsdiensten, einschließlich elektronischer Zahlungsdienste.
  • E-Geld-Institute: Unternehmen, die elektronische Geldprodukte anbieten und verwalten.
  • Versicherungsunternehmen und Rückversicherer: Versicherer, die eine Vielzahl von Versicherungspolicen anbieten, sowie Rückversicherer, die Risiken von Erstversicherern abdecken.
  • Verwaltungsgesellschaften und Investmentgesellschaften: Gesellschaften, die Investmentfonds verwalten oder selbst Investmentfonds auflegen.
  • Handelssysteme: Betreiber von Handelsplattformen, wie regulierte Märkte, multilaterale Handelssysteme (MTF) und organisierte Handelssysteme (OTF).
  • Kreditinformationsanbieter: Unternehmen, die Kreditinformationen und Bonitätsbewertungen bereitstellen.
  • Zentralverwahrer: Einrichtungen, die die Verwahrung von Wertpapieren und die Abwicklung von Wertpapiertransaktionen übernehmen.
  • Zentralgegenparteien: Finanzinstitute, die als Vermittler zwischen Käufer und Verkäufer bei Derivatgeschäften fungieren und das Gegenparteirisiko übernehmen.
  • Handelsrepositorys: Institutionen, die Daten zu Derivatgeschäften sammeln und speichern.
  • Emittenten von Kryptowerten: Unternehmen, die Kryptowährungen oder andere digitale Vermögenswerte emittieren.
  • Krypto-Wertpapierdienstleister: Anbieter von Dienstleistungen im Zusammenhang mit Kryptowerten, wie Wallet-Anbieter und Krypto-Börsen.
  • IKT-Dienstleister im Finanzsektor: Externe Dienstleister, die Informations- und Kommunikationstechnologiedienstleistungen für Finanzinstitute anbieten, einschließlich Cloud-Anbieter, IT-Infrastruktur-Anbieter und Softwareentwickler.
  • Fintech-Unternehmen: Technologieunternehmen, die innovative Finanzdienstleistungen und -produkte entwickeln und anbieten.
  • Zahlungsabwickler und -dienstleister: Unternehmen, die Zahlungsabwicklungsdienste für andere Finanzinstitute und Einzelhändler bereitstellen.

Diese Liste ist nicht abschließend, sondern umfasst die wichtigsten Akteure, die von DORA betroffen sind.

Welche Anforderungen stellt die DORA-Verordnung?

Für Finanzunternehmen ist ein Großteil der Anforderungen von DORA im Grunde genommen bereits aus geltenden Vorschriften und der aufsichtlichen Verwaltungspraxis bekannt, die sich auf die MaRisk in Verbindung mit den BAIT und den EBA-Leitlinien beziehen. Durch DORA werden diese Anforderungen erweitert, präzisiert und um neue Aspekte ergänzt.

Eine effektive Einhaltung der DORA-Verordnung erfordert jedoch einen systematischen Ansatz und klare Strategien. Es sind mehrere zentrale Handlungsfelder definiert, die darauf abzielen, die digitale Resilienz von Finanzinstituten zu stärken.

Entwicklung eines robusten IKT-Risikomanagement-Rahmenwerks

  • Risikobewertung und -analyse: Regelmäßige Durchführung von Risikobewertungen und Analysen, um potenzielle Bedrohungen und Schwachstellen zu identifizieren.
  • Risikominderungsstrategien: Implementierung spezifischer Maßnahmen zur Minderung identifizierter Risiken.

Stärkung der IKT-Sicherheitsmaßnahmen

  • Mehrschichtige Sicherheitsansätze: Verwendung von Firewalls, Intrusion Detection Systems (IDS), und regelmäßige Sicherheitsupdates.
  • Verschlüsselung: Implementierung von Verschlüsselungsmechanismen zum Schutz sensibler Daten.

Vorfallmanagement und -meldepflichten

  • Incident-Response-Pläne: Entwicklung und regelmäßige Aktualisierung von Vorfallmanagementplänen, einschließlich klarer Protokolle für die Reaktion auf Sicherheitsvorfälle.
  • Übung und Simulation: Regelmäßige Durchführung von Notfallübungen und Simulationen, um die Wirksamkeit der Vorfallmanagementprozesse zu testen.

Regelmäßige Tests und Audits

  • Penetrationstests: Durchführung regelmäßiger Penetrationstests, um die Widerstandsfähigkeit gegen Cyberangriffe zu überprüfen.
  • IKT-Audits: Regelmäßige interne und externe Audits der IKT-Systeme, um sicherzustellen, dass sie den DORA-Anforderungen entsprechen.

Management von Drittanbieter-Risiken

  • Drittanbieter-Überwachung: Kontinuierliche Überwachung und Bewertung der Sicherheitspraktiken von Drittanbietern.
  • Vertragliche Vereinbarungen: Sicherstellung, dass Verträge mit Drittanbietern klare Anforderungen an die IKT-Sicherheit und Resilienz enthalten.

Governance und organisatorische Struktur

  • Klare Verantwortlichkeiten: Etablierung klarer Verantwortlichkeiten und Rollen innerhalb des Unternehmens für das IKT-Risikomanagement.
  • Top-Management-Unterstützung: Sicherstellung, dass das Top-Management aktiv in die Überwachung und Unterstützung der digitalen Resilienzstrategien eingebunden ist.

Schulung und Sensibilisierung

Mitarbeiterschulung: Regelmäßige Schulung aller Mitarbeiter in Bezug auf IKT-Sicherheitsrichtlinien und -verfahren.
Sensibilisierungsprogramme: Durchführung von Sensibilisierungsprogrammen, um das Bewusstsein für Cyber-Bedrohungen und Sicherheitspraktiken zu fördern.

Technologische Anpassungen und Upgrades

  • Modernisierung der IT-Infrastruktur: Regelmäßige Überprüfung und Modernisierung der IT-Infrastruktur, um sicherzustellen, dass sie den neuesten Sicherheitsstandards entspricht.
  • Implementierung von Sicherheitslösungen: Nutzung fortschrittlicher Sicherheitslösungen wie Endpunkt-Management, Netzwerksicherheit und Bedrohungsüberwachung.

Dokumentation und Berichterstattung

  • Dokumentation: Sorgfältige Dokumentation aller Sicherheitsmaßnahmen, Vorfälle und Reaktionen.
  • Regelmäßige Berichte: Erstellung regelmäßiger Berichte über den Zustand der IKT-Sicherheit und Resilienz, die dem Management und den Aufsichtsbehörden vorgelegt werden.

Zusammenarbeit und Informationsaustausch

  • Branchenkooperation: Zusammenarbeit mit anderen Finanzinstituten und relevanten Behörden, um Best Practices und Bedrohungsinformationen auszutauschen.
  • Teilnahme an Informationsaustausch-Netzwerken: Teilnahme an Netzwerken und Foren zum Austausch von Informationen über Cyber-Bedrohungen und Sicherheitsstrategien.

Diese Handlungsfelder sind darauf ausgelegt, eine umfassende und ganzheitliche Herangehensweise an die digitale Resilienz im Finanzsektor zu gewährleisten, um die Stabilität und Sicherheit des gesamten Systems zu verbessern.

Welche Ausnahmen oder Vereinfachungen gibt es in DORA?

Die DORA-Verordnung sieht bestimmte Ausnahmen und Vereinfachungen vor, um die Umsetzung für einige Organisationen zu erleichtern oder ihre Verpflichtungen zu verringern. Sie sollen sicherstellen, dass die Anforderungen effektiv und effizient umgesetzt werden können, ohne unverhältnismäßige Belastungen für bestimmte Organisationen zu schaffen.

Die wichtigsten Ausnahmen und Vereinfachungen

Bestimmte Organisationen sind vom Anwendungsbereich der DORA-Verordnung ausgeschlossen:

  • Zentralbanken und andere öffentliche Einrichtungen, die mit der Geldpolitik oder Finanzstabilität betraut sind.
  • Öffentliche Einrichtungen wie nationale Zentralbanken und bestimmte Aufsichtsbehörden, die keine Finanzdienstleistungen im engeren Sinne erbringen.

DORA erkennt das Verhältnismäßigkeitsprinzip an, um sicherzustellen, dass die Anforderungen entsprechend der Größe, Art, Umfang und Komplexität der Tätigkeiten der betroffenen Unternehmen angewendet werden.

Kleinere Unternehmen: Finanzinstitute, die weniger komplex sind und geringere systemische Risiken aufweisen, können von vereinfachten Anforderungen profitieren.

Spezialisierte Unternehmen: Organisationen, die in sehr spezifischen Bereichen tätig sind, können ebenfalls von angepassten Anforderungen profitieren.

Cloud- und IKT-Dienste: Finanzinstitute können externe IKT-Dienstleister nutzen, müssen jedoch sicherstellen, dass diese die DORA-Anforderungen erfüllen. Es gibt spezielle Leitlinien und Anforderungen für den Umgang mit Drittanbietern, die proportional zur Größe und Bedeutung des Instituts angewendet werden können.

  • Kleinere und weniger bedeutende Finanzinstitute können von Erleichterungen bei der Frequenz und dem Umfang der Berichterstattung profitieren.
  • Proportionalität in der Berichterstattung: Berichterstattungspflichten können angepasst werden, um die administrativen Lasten für kleinere Institute zu reduzieren.

Threat-led Penetration Testing (TLPT): Nicht alle Institute müssen TLPTs in vollem Umfang durchführen. Die Anforderungen können basierend auf der Kritikalität und den Risiken des jeweiligen Instituts angepasst werden.

Übergangsregelungen: Einige Anforderungen von DORA können stufenweise eingeführt werden, um den betroffenen Unternehmen mehr Zeit für die Implementierung zu geben. Dies soll sicherstellen, dass die Unternehmen genügend Zeit haben, um die notwendigen Anpassungen vorzunehmen.

DORA erlaubt es Finanzinstituten, bereits bestehende IKT-Risikomanagement- und Sicherheitsrahmenwerke zu nutzen, sofern diese den DORA-Anforderungen entsprechen oder diese übertreffen. Dies kann die Notwendigkeit neuer Implementierungen reduzieren und die Einhaltung erleichtern.

Herausforderungen im Kontext der DORA-Regulation

Die Identifizierung und das Management von Risiken im Rahmen der DORA-Verordnung stellt Unternehmen vor erhebliche Herausforderungen. Insbesondere die Notwendigkeit, robuste Strategien zur Risikominderung zu entwickeln, erfordert eine umfassende Analyse bestehender Prozesse und Technologien. Angesichts der fortschreitenden Digitalisierung sind Unternehmen zunehmend anfällig für Cyberangriffe und technische Störungen, was die Dringlichkeit einer ganzheitlichen Herangehensweise an die digitale Resilienz verstärkt.

Eine weitere Herausforderung ergibt sich aus der Komplexität der regulatorischen Vorgaben, die oft unterschiedliche Interpretationen zulassen. Hierbei ist es von großer Bedeutung, einen klaren Überblick über die spezifischen Anforderungen der DORA-Verordnung zu behalten und diese proaktiv in die Unternehmensstrategie zu integrieren, um Compliance-Risiken zu minimieren.

Des weiteren müssen Organisationen sicherstellen, dass alle Mitarbeiter für potenzielle Bedrohungen sensibilisiert sind und über die erforderlichen Kenntnisse verfügen, um im Ernstfall angemessen reagieren zu können. Regelmäßige Schulungen und Sensibilisierungsprogramme für Mitarbeiter tragen zudem dazu bei, ein Bewusstsein für Cyberrisiken zu schaffen.

Zurück zur Übersicht