Bereits zu Beginn des Jahres 2023 ist die DORA Verordnung (EU) 2022/2554 in Kraft getreten. Dennoch sind die neuen Anforderungen an die Finanzbranche vielfach noch unbekannt. Auch wenn die Umsetzungspflicht der Reglungen erst auf Januar 2025 datiert wurde, sollten sich betroffene Unternehmen bereits frühzeitig mit den Inhalten und Auswirkungen der Verordnung beschäftigen, um Prozesse rechtzeitig gesetzeskonform umsetzen zu können. Insbesondere empfiehlt es sich, die erwartbaren Spezifizierungen der Anforderungen und Konkretisierungen der technischen Regulierungsstandards der BaFin im Auge zu behalten.
Was regelt DORA?
Die DORA-Verordnung (Digital Operational Resilience Act) zielt auf die Stärkung der operationellen Widerstandsfähigkeit von Finanzinstituten im digitalen Zeitalter. Die Verordnung wurde entwickelt, um die Risiken im Zusammenhang mit Cybersecurity, IT-Ausfällen und anderen digitalen Bedrohungen zu mindern. Durch die Verordnung sollen die verschiedenen nationalen Vorschriften für IT-Sicherheit im Finanzsektor harmonisiert werden und ein einheitlichen Rechtsakts innerhalb der Europäischen Union angestrebt werden, der die digitale Betriebsstabilität von Finanzdienstleistungen regelt. Zudem soll ein gemeinsamer Aufsichtsrahmen für Drittanbieter von Informations- und Kommunikationstechnologien (IKT) geschaffen werden.
Welche Auswirkungen hat DORA auf die Finanzindustrie?
– Finanzinstitute werden verpflichtet, eine umfassende Risikobewertung ihrer digitalen Systeme und Prozesse durchzuführen. Es müssen Frühwarnindikatoren eingerichtet werden, um Cyberangriffe zu erkennen und Gegenmaßnahmen zu ergreifen. Dadurch sollen Schwachstellen erkannt und geeignete Sicherheitsmaßnahmen ergriffen werden, um die operationelle Widerstandsfähigkeit zu verbessern.
– Finanzinstitute müssen Cybersecurity-Vorfälle und IT-Ausfälle (IKT bezogene Vorfälle) den Aufsichtsbehörden melden. Dies ermöglicht eine bessere Überwachung und Reaktion auf Bedrohungen sowie eine verbesserte Koordination zwischen den Behörden.
– Die Verordnung enthält spezifische Anforderungen für das Outsourcing von IT-Dienstleistungen durch Finanzinstitute. Es werden erhöhte Anforderungen an Vertragsbedingungen und Überwachungsmechanismen gestellt, um die Sicherheit und Kontrolle über ihre digitalen Prozesse zu gewährleisten.
– Die DORA-Verordnung legt eine klare Aufsichtsstruktur fest und definiert die Rolle der nationalen Behörden und der Europäischen Zentralbank. Dies führt zu einer verstärkten Überwachung und Regulierung der digitalen Betriebsfähigkeit von Finanzinstituten.
– Die Aufsichtsbehörden haben das Recht, regelmäßige Prüfungen durchzuführen, um sicherzustellen, dass die Finanzinstitute die Anforderungen der DORA- Verordnung erfüllen. Bei Verstößen können Sanktionen verhängt werden, um die Einhaltung der Vorschriften durchzusetzen.
Zusammengefasst zielt die DORA- Verordnung darauf ab, die digitale Resilienz der Finanzindustrie zu erhöhen, indem aufsichtsrechtliche Anforderungen für Cybersecurity und operationelle Widerstandsfähigkeit festlegt werden. Durch eine verbesserte Sicherheit und Kontrolle sollen die Risiken für Finanzinstitute und ihre Kunden verringert werden.