Der DORA ist eine zentrale regulatorische Initiative der Europäischen Union, die das Ziel verfolgt, die digitale Widerstandsfähigkeit des Finanzsektors zu verbessern, indem einheitliche Regelungen für den Einsatz von Informations- und Kommunikationstechnologien (IKT) festgelegt werden. Sie soll sicherstellen, dass eine Vielzahl von Finanzinstitutionen – darunter Banken, Versicherungen, Wertpapierunternehmen und Zahlungsdienstleister – in der Lage sind, Cyberangriffe und andere digitale Bedrohungen effektiv abzuwehren und sich davon zu erholen. Mit strikten Vorgaben zum Risikomanagement, zu Sicherheitsstandards und zur Überwachung von Drittanbietern wird das Vertrauen in die digitale Infrastruktur des Finanzsektors gestärkt. Die Verordnung ist am 16. Januar 2023 in Kraft getreten und findet ab dem 17. Januar 2025 Anwendung.
Der DORA soll gewährleisten, dass alle Unternehmen digital flexibel genug sind, um jeder IKT-bezogenen Cyberbedrohung standzuhalten, darauf zu reagieren und sich davon zu erholen. Ziel ist es, die Geschäftskontinuität auch dann zu gewährleisten, wenn die IKT einer Organisation gestört ist. Die Verordnung legt auch die Sicherheitsanforderungen für Netzwerke und Informationssysteme für kritische Drittanbieter von IKT-bezogenen Dienstleistungen wie Cloud-Plattformen oder Datenanalysediensten sowie für Organisationen im Finanzsektor fest. Diese Anforderungen sind in allen EU-Mitgliedstaaten einheitlich.
I. Adressaten
Beachten müssen den Digital Operational Resilience Act Finanzunternehmen und Drittdienstleister von Informations- und Kommunikationstechnologien (IKT-Drittdienstleister). Laut BaFin fallen so gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors unter den DORA, siehe hier.
Finanzunternehmen: u.a. Banken, Zahlungs- und Kreditinstitute, Kreditratingagenturen, E-Geld-Institute, Krypto-Assets und Crowdfunds, Versicherungs- und Rückversicherungsanbieter, Investmentgesellschaften und Investmentfonds, Kapitalmarktunternehmen, Makler, Gesetzliche Wirtschaftsprüfung und Wirtschaftsprüfungsgesellschaften.
Anbieter von Informations- und Kommunikationstechnologie (IKT): u.a. Anbieter von Zahlungslösungen, Anbieter von Datenspeicherlösungen, Cloud-Anbieter/SaaS/Outsourcer, Softwareanbieter, Anbieter von Informationsmanagementsystemen/CRM-Lösungen, Anbieter von Governance, Risikomanagement und Compliance.
Für IKT-Anbieter kann die Verordnung in zweierlei Hinsicht zur Anwendung kommen: Zum einen direkt für sog. „kritische IKT-Anbieter“ im Sinne von Art. 31 DORA, da diesen einem besonderen behördlichen Aufsichtsrahmen unterfallen, und zum anderen indirekt für alle IKT-Anbieter, da diese ihre Organisation, die Erbringung ihrer Dienstleistung und die Dienstleistungsverträge an die Anforderungen des DORA anpassen müssen, wenn sie für Finanzunternehmen tätig werden. Letzterer Fall wird ausführlich in Teil 2 und Teil 3 besprochen.
II. Verhältnis zu NIS2
Die am 27. Dezember 2022 veröffentlichte und bis zum 27. Oktober 2024 ins nationale Recht umzusetzende NIS2-Richtlinie umfasst in ihrem Geltungsbereich insgesamt 18 Sektoren, wozu unter anderem auch der Finanzsektor zählt. Für Finanzunternehmen stellt sich daher die Frage, welche der Regularien zu beachten ist.
Diese Frage beantwortet Erwägungsgrund 16 des DORA, der DORA als lex specialis und somit als vorrangig gegenüber NIS2 ausweist. Dies zeigt sich auch darin, dass die Regelungen des DORA speziell auf den Finanzsektor zugeschnitten sind und im Vergleich zu NIS2 detailliertere Anforderungen stellen. In Erwägungsgrund 16 wird weiter ausgeführt, dass wichtig sei, eine enge Beziehung zwischen dem Finanzsektor und dem derzeit in NIS2 festgelegten horizontalen Rahmen der Union für Cybersicherheit aufrechtzuerhalten, um die Kohärenz mit den von den Mitgliedstaaten angenommenen Strategien für Cybersicherheit zu gewährleisten und es Finanzaufsichtsbehörden zu ermöglichen, auf Cybervorfälle aufmerksam gemacht zu werden, die andere unter die genannte Richtlinie fallende Sektoren betreffen.
Es gilt somit: Finanzunternehmen fallen im Rahmen von NIS2 zwar in den Bereich des Finanz- und Versicherungswesens, sie sind jedoch von den meisten Pflichten aus NIS2 befreit (abgesehen von der Registrierung beim BSI), soweit sie auch von DORA reguliert werden. Damit sind Finanzinstitute größtenteils von den Anforderungen aus NIS2 ausgenommen. Aufgrund der Ausschlüsse in DORA gibt es aber auch Finanzunternehmen, die nicht unter den Anwendungsbereich von DORA fallen – diese könnten dann von NIS2 betroffen sein.
Hingegen unterliegen kritische IKT-Drittdienstleister einer doppelten Regulierung, nämlich sowohl dem DORA als auch NIS2, da sie in dessen Sektor „IT und Telekommunikation“ fallen. Das heißt, dass in aller Regel kritische IKT-Dienstleister sowohl die DORA-Pflichten für IKT-Dienstleister als auch die regulären NIS2-Pflichten beachten müssen.
Die Pflichten in DORA und NIS2 sind grundsätzlich ähnlich und konzentrieren sich auf das Risikomanagement von IT und erbrachten Dienstleistungen. Die Pflichten aus DORA sind jedoch umfassender und detaillierter als die aus NIS2. Unternehmen, die von beiden Regulierungen betroffen sind, müssen die jeweiligen Pflichten daher miteinander in Einklang bringen.
III. Sanktionen
Die Anforderungen des DORA sind ab dem 17. Januar 2025 zu erfüllen. Ab diesem Zeitpunkt ist somit bei Verstößen mit Sanktionen zu rechnen. Die EU-Mitgliedsstaaten haben nach Art. 50 Abs. 3 DORA angemessene verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen für Verstöße gegen DORA festzulegen und für deren wirksame Umsetzung zu sorgen. Daneben steht es den Mitgliedstaaten frei, strafrechtliche Sanktionen zu verhängen. Zwangsgelder, die gegen den IKT-Drittdienstleister erlassen werden können, können bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes, den der kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat, betragen (Art. 35 Abs. 8 S. 1 DORA). Gemäß Art. 54 Abs. 1 DORA sind verwaltungsrechtliche Sanktionen von den zuständigen Behörden auf ihren Webseiten zu veröffentlichen.
IV. Wesentliche Regelungsinhalte
IKT-Risikomanagement (Kapitel II, Art. 5-16 DORA): Der DORA legt Anforderungen für ein ordnungsgemäßes Management von IKT-Risiken fest. Zu diesen Anforderungen gehören Verfahren zur Risikoidentifizierung und Risikominimierung.
IKT-Vorfallsberichterstattung (Kapitel III, Art. 17-23 DORA): Die Verordnung sorgt für eine verbesserte Überwachung, Erkennung und Meldung von Cyber-Bedrohungen und -Angriffen im Finanzsektor. Das Kapitel enthält Vorgaben über Verfahren und Prozesse im Falle solcher Vorfälle, inklusive Meldung und Berichterstattung an die Aufsichtsbehörden.
Digital Operational Resilience Testing (Kapitel IV, Art. 24-27 DORA): Zudem werden die Anforderungen an Sicherheitstests erweitert und die Einführung eines EU-weiten Teststandards angestrebt. Finanzunternehmen sollen proaktiv ihre Systeme, Tools und Prozesse auf Schwächen oder Lücken testen, um sich auf IKT-bezogene Vorfälle vorzubereiten. Die DORA-Testanforderungen umfassen Bewertungen von Schwachstellen und Netzwerksicherheit, Lückenanalysen, Softwarelösungstests, szenariobasierte Tests, Penetrationstests und Risikountersuchungen durch Dritte.
Management des IKT-Drittparteienrisikos (Kapitel V, Art. 28-30 DORA): Finanzinstitute müssen die mit IKT-Dienstleistern verbundenen Risiken bewerten und dokumentieren. Verträge mit diesen Unternehmen müssen DORA-konform sein.
Überwachungsrahmen für kritische IKT-Drittdienstleister(Kapitel V, Art. 31-44 DORA): Der DORA regelt auch den Aufbau eines europäischen Überwachungsrahmenwerks für kritische IKT-Drittdienstleister, die auf dem Finanzmarkt tätig sind, um Entwicklungen in Bezug auf IKT-Risiken und -Schwachstellen zu verfolgen und einen kohärenten Ansatz bei der Überwachung des IKT-Drittparteienrisikos auf Unionsebene zu fördern.
Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Art. 44 sowie Kapitel VII, Art. 49 DORA): Schließlich fördert die Verordnung den Austausch von Informationen und Erkenntnissen über Cyberbedrohungen zwischen Partnern und konkurrierenden Unternehmen.
V. Nutzung von IKT-Drittanbietern
Regulatorischer Schwerpunkt der DORA-Anforderungen ist der Einsatz von IKT-Drittanbietern durch Finanzunternehmen. Aus den Art. 28-30 DORA ergeben sich dafür besondere Anforderungen. Diese werden detailliert in einem weiteren Insight (Teil 2) dargestellt.
)