DORA – Welche Anforderungen müssen Finanzinstitute erfüllen?

Am 16. Januar 2023 ist der Digital Operational Resilience Act (DORA) der Europäischen Kommission in Kraft getreten. Die „Verordnung über die digitale operative Resilienz im Finanzsektor“ hat das Ziel, das Management von IT- und Cybersicherheit für die Finanzmärkte zu vereinheitlichen, um vor allem in Krisensituationen einen resilienten Betrieb sicherzustellen. Was genau kommt im Sinne der neuen Verordnung auf Finanzinstitute zu?

Die Anzahl von Cyberangriffen steigt kontinuierlich an. Insbesondere Unternehmen der Finanzbranche müssen sich darauf vorbereiten, auch im Falle von schwerwiegenden Betriebsunterbrechungen handlungsfähig zu bleiben und die Sicherheit ihrer Netze und Informationssysteme zu gewährleisten. DORA zielt vor diesem Hintergrund darauf ab, die Widerstandsfähigkeit von Finanzunternehmen und ihrer Drittdienstleister gegen Cyberangriffe deutlich zu stärken und das Sicherheitsniveau zu erhöhen. Unternehmen und Organisationen, die von der Verordnung betroffen sind, müssen bis zum 17. Januar 2025 die Vorgaben umsetzen bzw. die definieren Anforderungen erfüllen.

Was sind die Fokusthemen von DORA?

Die DORA Verordnung umfasst 26 Fachdomänen und stellt umfassende Anforderungen an die Finanzbranche, darunter bspw., IKT-Risikomanagement, den Umgang mit Störungen und Vorfällen, Digital Operational Resilience Testing, das Management von Drittparteien Vulnerability- und Patchmanagement, Logging und Security Monitoring, Meldepflicht etc.

DORA liefert damit Anforderungen für ein wirkungsvolles Risk Management und umfassende IKT- und Cybersicherheit. Zudem dient die Verordnung dazu, die in den EU-Mitgliedstaaten unterschiedlichen nationalen Regelungen zu harmonisieren.

Ziele im Überblick

  • Implementierung eines Frameworks für das IKT-Risikomanagement
  • Management, Einordnung und Reporting von IKT-Vorfällen
  • Resilience-Testing
  • Risk Management im Hinblick auf IKT-Drittparteien Vulnerability- und Patchmanagement, Logging und Security Monitoring, Meldepflicht etc.
  • Schaffung eines Rahmens für die Überwachung kritischer IKT-Drittdienstleister und Meldepflichten 

Wie sieht DORA in der Praxis aus?

Da kleinere Finanzunternehmen möglicherweise nicht über die gleichen Ressourcen und Kapazitäten wie größere Institutionen verfügen, gibt es bestimmte Ausnahmen und definierte Gestaltungsbereiche, die speziell auf die Bedürfnisse kleinerer Finanzunternehmen zugeschnitten sind. Diese Regelungen sollen sicherstellen, dass auch kleinere Unternehmen die Anforderungen erfüllen können, ohne übermäßig belastet zu werden. Die Verordnung verpflichtet Unternehmen dazu, Strategien zur Sicherung und Wiederherstellung von Daten zu implementieren, ihre IKT-Systeme up to date zu halten und kontinuierlich zu überwachen. Zudem sind entsprechende Dokumentationen für interne und externe Prüfungszwecke zu erstellen. Bei schwerwiegenden Vorfällen muss die zuständige Aufsichtsbehörde innerhalb definierter Fristen informiert werden.

Für welche Unternehmen, Behörden und Organisationen gilt die Verordnung?

Im Prinzip sind nahezu alle beaufsichtigten Unternehmen, Institute, Organisationen und Behörden des europäischen Finanzsektors von DORA betroffen, darunter Kreditinstitute, Zahlungsdienstleister und Wertpapierfirmen. Auch Anbieter von Kryptoservices, Handelsplätze und Datenbereitstellungsdienste, Unternehmen aus dem Versicherungs- und Rückversicherungssektor, Ratingagenturen, IKT-Drittdienstleister sowie eine ganze Reihe anderer Unternehmen und Organisationen sind ebenfalls Zielgruppe von DORA.

Welche Befugnisse haben Aufsichtsbehörden im Rahmen der neuen Verordnung?

Europäische Aufsichtsbehörden können ab Januar 2025 u. a. von kritischen IKT-Drittdienstleistern Informationen anfordern, Prüfungen – auch vor Ort – durchführen, Empfehlungen für die IKT-Sicherheit aussprechen, ein Unternehmen öffentlich bekannt machen, wenn es gegen die Verordnung verstößt oder Sanktionen verhängt wurden.

Sie möchten mehr zum Thema erfahren? Cypurge ist Ihr Experte u. a. für regulatorische Anforderungen, Informationssicherheitsmanagement, Cybersecurity Monitoring, Incident Reponse & digitale Forensik.