DORA

Die Bedrohungen durch Cyberangriffe und IT-Ausfälle wachsen stetig. Finanzunternehmen werden vor die Herausforderung gestellt, diesen entgegenzutreten. Gleichzeitig müssen sie die Anforderungen einer neuen EU-Verordnung erfüllen: DORA.

Die Anwendung der Digital Operational Resilience Act (DORA) beginnt am 17. Januar 2025. Ihr Ziel ist es, IT-Sicherheit und digitale Resilienz im Finanzsektor der EU zu stärken. Die Verordnung verlangt, dass Finanzunternehmen ein umfangreiches Cybersicherheitskonzept entwickeln.

Dazu gehören strenges IKT-Risikomanagement und effizientes Incident-Reporting. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) intensiviert aktuell ihre Vorbereitungen. Sie wird als nationaler Melde-Hub für IKT-Vorfälle im Finanzsektor fungieren. Zudem organisiert die BaFin diverse Informationsveranstaltungen für die betroffenen Unternehmen.

Wichtige Erkenntnisse:

  • DORA wird am 17. Januar 2025 in Kraft treten.
  • Die BaFin informiert Unternehmen am 26. September 2024 in einer digitalen Konferenz.
  • DORA reguliert die Cybersecurity und digitale Resilienz von Finanzunternehmen in der ganzen EU.
  • Unternehmen müssen IKT-Risikomanagement und Incident-Reporting umsetzen.
  • BaFin wird zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor.

Was ist DORA und warum ist es wichtig?

Die DORA Definition erläutert DORA als wesentlichen Rahmen für digitale operationale Resilienz im europäischen Finanzbereich. Es ist ein wesentlicher Bestandteil des Digital Finance Package, dessen Ziel es ist, Cybersicherheit und operationale Widerstandsfähigkeit finanzieller Institutionen zu fördern. DORA umfasst mehr als 22.000 Finanzinstitute und IKT-Dienstleister. Dies verdeutlicht seine bedeutende Rolle in der Verbesserung der Cybersicherheit in der EU.

DORA Definition

Definition und Ziele

Das primäre Ziel von DORA ist es, IT-Sicherheitsmaßnahmen innerhalb des europäischen Finanzmarktes zu vereinheitlichen. DORA Ziele schließen Risikomanagement, effiziente Vorfallsberichte und die Förderung der betrieblichen Kontinuität durch stärkere IT-Systeme ein. Des Weiteren stellt DORA hohe Anforderungen an Risikoidentifikation und -management. Es fördert den Austausch von Informationen und die angemessene Handhabung von Lieferketten sowie schnelle Meldung von Vorfällen.

Regulatorischer Hintergrund

Im November 2022 wurde DORA verabschiedet und wird am 17. Januar 2025 aktiv. Dies bietet eine zweijährige Frist für Finanzunternehmen und Drittanbieter für die Implementierung der notwendigen Maßnahmen. Die nationalen Aufsichtsbehörden der EU-Mitgliedstaaten sind für die Überwachung und Durchsetzung verantwortlich. Sie können Strafen basierend auf nationalen Regelwerken auferlegen.

Warum DORA notwendig ist

In unserem digitalen Zeitalter begegnen Finanzunternehmen vermehrt komplexen Cybersicherheits-Herausforderungen. DORA setzt hier an und schafft robuste, einheitliche Standards. Finanzinstitutionen sind verpflichtet, ihre IKT-Infrastrukturen fortwährend zu evaluieren. Dies umfasst jährliche Basistests und bedrohungsorientierte Penetrationstests alle drei Jahre. Ziel ist es, den Finanzmarkt EU widerstandsfähig gegenüber Cyberbedrohungen zu machen und finanzielle Stabilität zu sichern.

Anforderungen und Pflichten für Finanzunternehmen

Finanzunternehmen müssen sich der DORA-Verordnung stellen, um ihre digitale Widerstandsfähigkeit zu stärken. Dies bildet ein kritischen Pfeiler für den Sektor’s Fortbestand.

Risikomanagement

Es ist obligatorisch für Finanzinstitute, einen Governance- und Kontrollrahmen für IKT-Risiken zu etablieren. Ein effizientes Risikomanagement erfordert regelmäßige Sicherheitsüberprüfungen kritischer IT-Systeme.

Schwachstellenbewertungen und Penetrationstests zählen zu diesen essentiellen Überprüfungen. Entscheidend ist die Auswahl von Dienstleistern mit den benötigten Akkreditierungen für diese Aufgaben.

Incident Management und Reporting

Beim Incident Management, ein Kernstück der DORA Anforderungen, geht es um die adäquate Klassifizierung und Meldung von IKT-Vorfällen. Insbesondere müssen gravierende Vorfälle unverzüglich den Aufsichtsbehörden gemeldet werden. incident-reporting gewährleistet einen Überblick im Finanzsektor. Es ermöglicht eine schnelle Reaktion auf Cyberbedrohungen oder Ausfälle.

Stresstests und Simulationen

Zur Überprüfung der IT-Systeme führen Finanzunternehmen Stresstests und Simulationen durch. Diese Maßnahmen sind entscheidend für das frühzeitige Erkennen von Schwachstellen.

Im Rahmen der DORA Verpflichtungen sind solche Tests jährlich durchzuführen. Externen Dienstleistern kommt dabei oft eine Rolle zu, um die Sicherheit und Resilienz zu maximieren.

Die Rolle der BaFin bei der Implementierung von DORA

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat eine entscheidende Position inne. Sie gewährleistet, dass deutsche Finanzunternehmen DORAs forderte IT- und operationelle Resilienzstandards erfüllen. Dies beinhaltet die Einhaltung neuer, strenger Vorschriften. Die Maßnahmen zielen darauf ab, die Widerstandsfähigkeit im Sektor zu stärken.

Überwachung und Meldepflichten

Die BaFin beaufsichtigt die Einhaltung von DORA. Sie überprüft, ob Finanzunternehmen die geforderten Kriterien in Sachen IT-Sicherheit, IT-Risikomanagement und IT-Notfallplanung erfüllen. Dazu zählen auch Governance und operative Informationsicherheit. Die Richtlinien für die DORA-Umsetzung wurden mit der Deutschen Bundesbank und Industrievertretern entwickelt.

Sie umfassen acht Bereiche und dienen als Grundlage für die Meldeverpflichtungen der Unternehmen. Dies gewährleistet eine effiziente Erfüllung ihrer gesetzlichen Pflichten.

Unterstützung durch die BaFin

Die BaFin unterstützt Unternehmen aktiv bei der DORA-Umsetzung. Sie bietet Informationen an, organisiert Schulungen und führt Gespräche mit Experten. Ziel ist, die Anpassung an die neuen Vorschriften zu vereinfachen. Das betrifft Schulungsverpflichtungen und Analysen der Auswirkungen auf wichtige Unternehmensfunktionen.

Durch die Unterstützung der BaFin wird das IT-Risikomanagement gestärkt. Dies erfolgt mittels einer Leitlinie zur IT-Geschäftsfortführung und dem Einbezug neuer Bedrohungsszenarios. Dadurch verbessert sich die Sicherheit im Finanzsektor nachhaltig.

Die Kooperation mit der Deutschen Bundesbank und anderen Behörden ist für ein einheitliches IT-Risikomanagement in Europa essentiell. Unternehmen, die vorhandene Regulierungen wie BAIT und VAIT bereits umsetzen, sind gut auf DORA vorbereitet. Dies ermöglicht es rund 1,200 Finanzunternehmen in Deutschland, das vereinfachte IT-Risikomanagement-Rahmenwerk von DORA effektiv zu nutzen.

DORA: Digital Operational Resilience Act – Ein Überblick

Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2023 wirksam. Ab dem 17. Januar 2025 wird er in sämtlichen EU-Mitgliedstaaten obligatorisch angewandt. Er repräsentiert einen wesentlichen Fortschritt in der Vereinheitlichung der regulatorischen Bestimmungen bezüglich Informationstechnologie und Informationssicherheit für den Finanzsektor. Das Hauptziel besteht darin, die digitale Betriebsstabilität im europäischen Finanzwesen zu erhöhen.

DORA betrifft eine breite Palette von Finanzinstitutionen. Dazu zählen Banken, Zahlungsdienstleister, Einrichtungen für elektronisches Geld, Wertpapierfirmen, Krypto-Serviceanbieter, Versicherungsunternehmen, Ratingagenturen und weitere. Auch Anbieter von IKT-Dienstleistungen fallen unter DORAs Reichweite. Die Verordnung formuliert detaillierte Anforderungen an das Management von IKT-Risiken, den Umgang mit IKT-bedingten Zwischenfällen, Resilienztests und das Risikomanagement von IKT-Drittanbietern.

Nach einem Bericht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) aus dem Januar 2023 zählen Cyberangriffe mit ernsthaften Konsequenzen zu den wichtigsten Risiken. Deshalb müssen Finanzunternehmen gemäß DORA schwere IKT-bezogene Zwischenfälle der BaFin melden. Dies erhöht die Transparenz und Sicherheit im europäischen Finanzsektor. Es garantiert zudem, dass angemessene Gegenmaßnahmen in solchen Fällen ergriffen werden.

Öffentliche Konsultationen für Rechtsakte der zweiten Ebene (RTS/ITS) sind derzeit im Prozess, um DORA weiter zu spezifizieren. Diese gesetzlichen Rahmenbedingungen versetzen Unternehmen in die Lage, sich optimal auf die Einhaltung der künftigen Anforderungen vorzubereiten. Sie stärken ihre digitale Betriebsstabilität. Finanzunternehmen können dadurch nicht nur gegenwärtige Cyberbedrohungen abwehren. Sie sichern auch ihre Fähigkeit, kontinuierliche Services im EU-Finanzmarkt zu bieten.

FAQ

Was ist DORA und warum ist es wichtig?

DORA, der Digital Operational Resilience Act, ist eine EU-Verordnung, die ein hohes Niveau an Cybersicherheit in der EU-Finanzmarktinfrastruktur erzielen soll. Sie zielt darauf ab, Finanzunternehmen widerstandsfähiger gegenüber Cyberbedrohungen zu machen. Ziel ist es, die ununterbrochene Bereitstellung von Finanzdienstleistungen zu sichern.

Welche Ziele verfolgt DORA?

Das primäre Ziel von DORA ist die Stärkung der digitalen operationalen Resilienz im EU-Finanzsektor. Erreicht werden soll dies durch ein umfängliches IKT-Risikomanagement. Die Verordnung fordert zudem regelmäßige Stresstests und die Implementierung bestimmter Meldeverfahren für Vorfälle.

Welche Pflichten haben Finanzunternehmen unter DORA?

Unter DORA müssen Finanzunternehmen eine Reihe von Cybersecurity-Aufgaben erfüllen. Diese beinhalten die Einrichtung wirksamer IKT-Risikomanagement-Strategien. Notfallpläne müssen entwickelt, IKT-Vorfälle gemanagt und Stresstests zur Bewertung der digitalen Resilienz durchgeführt werden.

Welche Rolle spielt die BaFin bei der Implementierung von DORA?

Die BaFin spielt eine entscheidende Rolle bei der Durchführung von DORA. Als nationaler Melde-Hub für IKT-Vorfälle überwacht sie die Befolgung der DORA-Vorschriften. Sie bietet zudem Finanzunternehmen Unterstützung durch Informationsbereitstellung und Fachveranstaltungen.

Wann tritt DORA in Kraft?

DORA wird ab dem 17. Januar 2025 bindend. Zu diesem Zeitpunkt müssen sämtliche EU-Finanzunternehmen die erforderlichen Cybersecurity-Maßnahmen umgesetzt haben.

Was sind die Vorteile der Implementierung von DORA?

Die Einführung von DORA verspricht zahlreiche Vorzüge. Dazu zählen ein verbessertes Management von IKT-Risiken und eine stärkere digitale Resilienz. Darüber hinaus profitiert der EU-Finanzsektor von einer harmonisierten IT-Sicherheitsarchitektur.

Wie bereiten sich Finanzunternehmen auf die Umsetzung von DORA vor?

Zur Vorbereitung auf DORA passen Finanzunternehmen interne Abläufe an und implementieren neue Systeme. Sie partizipieren außerdem an Schulungen und Informationsveranstaltungen zu DORA und dessen Anforderungen.

Was sind die wichtigsten Anforderungen an das Incident Management unter DORA?

Ein effektives Incident-Management unter DORA verlangt die konstante Überwachung und umgehende Berichterstattung von IKT-Vorfällen. Zudem sind die Einführung von Notfallplänen und schnelle Reaktionsmechanismen zur Aufrechterhaltung des Betriebs erforderlich.

Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.

Philipp Franz | Rechtsanwalt | Associate

Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter

Arthur Wilms | Rechtsanwalt | Associate

Kundenbewertungen & Erfahrungen zu Herfurtner Rechtsanwälte. Mehr Infos anzeigen.

Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht