Die Bedrohungen durch Cyberangriffe und IT-Ausfälle wachsen stetig. Finanzunternehmen werden vor die Herausforderung gestellt, diesen entgegenzutreten. Gleichzeitig müssen sie die Anforderungen einer neuen EU-Verordnung erfüllen: DORA.
Die Anwendung der Digital Operational Resilience Act (DORA) beginnt am 17. Januar 2025. Ihr Ziel ist es, IT-Sicherheit und digitale Resilienz im Finanzsektor der EU zu stärken. Die Verordnung verlangt, dass Finanzunternehmen ein umfangreiches Cybersicherheitskonzept entwickeln.
Dazu gehören strenges IKT-Risikomanagement und effizientes Incident-Reporting. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) intensiviert aktuell ihre Vorbereitungen. Sie wird als nationaler Melde-Hub für IKT-Vorfälle im Finanzsektor fungieren. Zudem organisiert die BaFin diverse Informationsveranstaltungen für die betroffenen Unternehmen.
Wichtige Erkenntnisse:
- DORA wird am 17. Januar 2025 in Kraft treten.
- Die BaFin informiert Unternehmen am 26. September 2024 in einer digitalen Konferenz.
- DORA reguliert die Cybersecurity und digitale Resilienz von Finanzunternehmen in der ganzen EU.
- Unternehmen müssen IKT-Risikomanagement und Incident-Reporting umsetzen.
- BaFin wird zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor.
Was ist DORA und warum ist es wichtig?
Die DORA Definition erläutert DORA als wesentlichen Rahmen für digitale operationale Resilienz im europäischen Finanzbereich. Es ist ein wesentlicher Bestandteil des Digital Finance Package, dessen Ziel es ist, Cybersicherheit und operationale Widerstandsfähigkeit finanzieller Institutionen zu fördern. DORA umfasst mehr als 22.000 Finanzinstitute und IKT-Dienstleister. Dies verdeutlicht seine bedeutende Rolle in der Verbesserung der Cybersicherheit in der EU.
Definition und Ziele
Das primäre Ziel von DORA ist es, IT-Sicherheitsmaßnahmen innerhalb des europäischen Finanzmarktes zu vereinheitlichen. DORA Ziele schließen Risikomanagement, effiziente Vorfallsberichte und die Förderung der betrieblichen Kontinuität durch stärkere IT-Systeme ein. Des Weiteren stellt DORA hohe Anforderungen an Risikoidentifikation und -management. Es fördert den Austausch von Informationen und die angemessene Handhabung von Lieferketten sowie schnelle Meldung von Vorfällen.
Regulatorischer Hintergrund
Im November 2022 wurde DORA verabschiedet und wird am 17. Januar 2025 aktiv. Dies bietet eine zweijährige Frist für Finanzunternehmen und Drittanbieter für die Implementierung der notwendigen Maßnahmen. Die nationalen Aufsichtsbehörden der EU-Mitgliedstaaten sind für die Überwachung und Durchsetzung verantwortlich. Sie können Strafen basierend auf nationalen Regelwerken auferlegen.
Warum DORA notwendig ist
In unserem digitalen Zeitalter begegnen Finanzunternehmen vermehrt komplexen Cybersicherheits-Herausforderungen. DORA setzt hier an und schafft robuste, einheitliche Standards. Finanzinstitutionen sind verpflichtet, ihre IKT-Infrastrukturen fortwährend zu evaluieren. Dies umfasst jährliche Basistests und bedrohungsorientierte Penetrationstests alle drei Jahre. Ziel ist es, den Finanzmarkt EU widerstandsfähig gegenüber Cyberbedrohungen zu machen und finanzielle Stabilität zu sichern.
Anforderungen und Pflichten für Finanzunternehmen
Finanzunternehmen müssen sich der DORA-Verordnung stellen, um ihre digitale Widerstandsfähigkeit zu stärken. Dies bildet ein kritischen Pfeiler für den Sektor’s Fortbestand.
Risikomanagement
Es ist obligatorisch für Finanzinstitute, einen Governance- und Kontrollrahmen für IKT-Risiken zu etablieren. Ein effizientes Risikomanagement erfordert regelmäßige Sicherheitsüberprüfungen kritischer IT-Systeme.
Schwachstellenbewertungen und Penetrationstests zählen zu diesen essentiellen Überprüfungen. Entscheidend ist die Auswahl von Dienstleistern mit den benötigten Akkreditierungen für diese Aufgaben.
Incident Management und Reporting
Beim Incident Management, ein Kernstück der DORA Anforderungen, geht es um die adäquate Klassifizierung und Meldung von IKT-Vorfällen. Insbesondere müssen gravierende Vorfälle unverzüglich den Aufsichtsbehörden gemeldet werden. gewährleistet einen Überblick im Finanzsektor. Es ermöglicht eine schnelle Reaktion auf Cyberbedrohungen oder Ausfälle.
Stresstests und Simulationen
Zur Überprüfung der IT-Systeme führen Finanzunternehmen Stresstests und Simulationen durch. Diese Maßnahmen sind entscheidend für das frühzeitige Erkennen von Schwachstellen.
Im Rahmen der DORA Verpflichtungen sind solche Tests jährlich durchzuführen. Externen Dienstleistern kommt dabei oft eine Rolle zu, um die Sicherheit und Resilienz zu maximieren.
Die Rolle der BaFin bei der Implementierung von DORA
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat eine entscheidende Position inne. Sie gewährleistet, dass deutsche Finanzunternehmen DORAs forderte IT- und operationelle Resilienzstandards erfüllen. Dies beinhaltet die Einhaltung neuer, strenger Vorschriften. Die Maßnahmen zielen darauf ab, die Widerstandsfähigkeit im Sektor zu stärken.
Überwachung und Meldepflichten
Die BaFin beaufsichtigt die Einhaltung von DORA. Sie überprüft, ob Finanzunternehmen die geforderten Kriterien in Sachen IT-Sicherheit, IT-Risikomanagement und IT-Notfallplanung erfüllen. Dazu zählen auch Governance und operative Informationsicherheit. Die Richtlinien für die DORA-Umsetzung wurden mit der Deutschen Bundesbank und Industrievertretern entwickelt.
Sie umfassen acht Bereiche und dienen als Grundlage für die Meldeverpflichtungen der Unternehmen. Dies gewährleistet eine effiziente Erfüllung ihrer gesetzlichen Pflichten.
Unterstützung durch die BaFin
Die BaFin unterstützt Unternehmen aktiv bei der DORA-Umsetzung. Sie bietet Informationen an, organisiert Schulungen und führt Gespräche mit Experten. Ziel ist, die Anpassung an die neuen Vorschriften zu vereinfachen. Das betrifft Schulungsverpflichtungen und Analysen der Auswirkungen auf wichtige Unternehmensfunktionen.
Durch die Unterstützung der BaFin wird das IT-Risikomanagement gestärkt. Dies erfolgt mittels einer Leitlinie zur IT-Geschäftsfortführung und dem Einbezug neuer Bedrohungsszenarios. Dadurch verbessert sich die Sicherheit im Finanzsektor nachhaltig.
Die Kooperation mit der Deutschen Bundesbank und anderen Behörden ist für ein einheitliches IT-Risikomanagement in Europa essentiell. Unternehmen, die vorhandene Regulierungen wie BAIT und VAIT bereits umsetzen, sind gut auf DORA vorbereitet. Dies ermöglicht es rund 1,200 Finanzunternehmen in Deutschland, das vereinfachte IT-Risikomanagement-Rahmenwerk von DORA effektiv zu nutzen.
DORA: Digital Operational Resilience Act – Ein Überblick
Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2023 wirksam. Ab dem 17. Januar 2025 wird er in sämtlichen EU-Mitgliedstaaten obligatorisch angewandt. Er repräsentiert einen wesentlichen Fortschritt in der Vereinheitlichung der regulatorischen Bestimmungen bezüglich Informationstechnologie und Informationssicherheit für den Finanzsektor. Das Hauptziel besteht darin, die digitale Betriebsstabilität im europäischen Finanzwesen zu erhöhen.
DORA betrifft eine breite Palette von Finanzinstitutionen. Dazu zählen Banken, Zahlungsdienstleister, Einrichtungen für elektronisches Geld, Wertpapierfirmen, Krypto-Serviceanbieter, Versicherungsunternehmen, Ratingagenturen und weitere. Auch Anbieter von IKT-Dienstleistungen fallen unter DORAs Reichweite. Die Verordnung formuliert detaillierte Anforderungen an das Management von IKT-Risiken, den Umgang mit IKT-bedingten Zwischenfällen, Resilienztests und das Risikomanagement von IKT-Drittanbietern.
Nach einem Bericht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) aus dem Januar 2023 zählen Cyberangriffe mit ernsthaften Konsequenzen zu den wichtigsten Risiken. Deshalb müssen Finanzunternehmen gemäß DORA schwere IKT-bezogene Zwischenfälle der BaFin melden. Dies erhöht die Transparenz und Sicherheit im europäischen Finanzsektor. Es garantiert zudem, dass angemessene Gegenmaßnahmen in solchen Fällen ergriffen werden.
Öffentliche Konsultationen für Rechtsakte der zweiten Ebene (RTS/ITS) sind derzeit im Prozess, um DORA weiter zu spezifizieren. Diese gesetzlichen Rahmenbedingungen versetzen Unternehmen in die Lage, sich optimal auf die Einhaltung der künftigen Anforderungen vorzubereiten. Sie stärken ihre digitale Betriebsstabilität. Finanzunternehmen können dadurch nicht nur gegenwärtige Cyberbedrohungen abwehren. Sie sichern auch ihre Fähigkeit, kontinuierliche Services im EU-Finanzmarkt zu bieten.
FAQ
Was ist DORA und warum ist es wichtig?
Welche Ziele verfolgt DORA?
Welche Pflichten haben Finanzunternehmen unter DORA?
Welche Rolle spielt die BaFin bei der Implementierung von DORA?
Wann tritt DORA in Kraft?
Was sind die Vorteile der Implementierung von DORA?
Wie bereiten sich Finanzunternehmen auf die Umsetzung von DORA vor?
Was sind die wichtigsten Anforderungen an das Incident Management unter DORA?
Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.
Philipp Franz | Rechtsanwalt | Associate
Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter
Arthur Wilms | Rechtsanwalt | Associate
Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht
EuGH zur Verhängung von DSGVO-Bußgeldern gegenüber Unternehmen
Erfahren Sie, wie der EuGH DSGVO Bußgelder Unternehmen auferlegt und was das für die Compliance bedeutet.
Neues EuGH-Urteil zu DSGVO-Schadensersatz bei Cyberangriffen
Erfahren Sie über das neuste EuGH-Urteil, das die Rahmenbedingungen für DSGVO Schadenersatz bei Cyberangriffen präzisiert.
Data 360° – Das Inkrafttreten des Data Act
Erfahren Sie alles über das Inkrafttreten des Data Act, seine Bedeutung und die Auswirkungen auf Unternehmen in der EU.
Gesetz zur Nutzung von Gesundheitsdaten: Ausbau der deutschen Dateninfrastruktur
Erfahren Sie, wie das Gesundheitsdatennutzungsgesetz Infrastruktur und Datenschutz im deutschen Gesundheitswesen stärkt.
Digitalisierung im Gesundheitswesen: Die Neuerungen durch das Digital-Gesetz
Entdecken Sie, welche Änderungen das Digitalisierung Gesundheitswesen Gesetz mit sich bringt und wie es die medizinische Zukunft prägt.