Wesentliche Fakten: Zusammenfassung

• Die DORA Verordnung schafft erstmals EU-weit einheitliche Vorgaben für den Umgang mit IT-Risiken, Cyberbedrohungen und digitalen Vorfällen im Finanzsektor.

• Finanzunternehmen und kritische IT-Dienstleister müssen neue Anforderungen an IKT-Risikomanagement, Vorfallmeldungen, Resilienztests und Drittanbieterkontrolle erfüllen.

• Die Geschäftsleitung trägt künftig die Gesamtverantwortung für digitale operationale Resilienz und deren organisatorische Umsetzung.

• Verstöße gegen die DORA-Vorgaben können zu empfindlichen aufsichtsrechtlichen Maßnahmen und hohen Sanktionen führen.

Ziel und Hintergrund der DORA Verordnung

Die fortschreitende Digitalisierung hat den Finanzsektor stark von Informations- und Kommunikationstechnologie abhängig gemacht. Gleichzeitig nahmen Cyberrisiken, Systemausfälle und Abhängigkeiten von externen IT-Dienstleistern erheblich zu. Nationale Regelungen erwiesen sich als uneinheitlich und fragmentiert. Im Fokus steht dabei die Cybersicherheit, um Unternehmen im Finanzsektor besser gegenüber Cyber-Risiken und Vorfällen zu schützen. Die operationale Resilienz im Finanzsektor ist ein zentrales Ziel der DORA-Verordnung, um die Stabilität und Sicherheit digitaler Systeme zu gewährleisten. Zu den wichtigsten Themen zählen die Herausforderungen der Digitalisierung, regulatorische Anforderungen und die nachhaltige Transformation der Branche. Daten und Systeme spielen eine entscheidende Rolle für die digitale Resilienz und die Einhaltung regulatorischer Anforderungen.

Die DORA Verordnung verfolgt daher insbesondere folgende Ziele:

• Stärkung der digitalen operationalen Resilienz

• Harmonisierung regulatorischer Anforderungen innerhalb der EU

• Einheitlicher Umgang mit IKT-Vorfällen und Cyber Bedrohungen

• Verbesserte Transparenz gegenüber Aufsichtsbehörden

Damit leistet DORA einen wesentlichen Beitrag zur Finanzstabilität und zum Schutz kritischer Finanzinfrastrukturen. Darüber hinaus erfordert DORA eine tiefgreifende kulturelle Veränderung hin zu einer echten Kultur der digitalen Resilienz.

Welche Unternehmen sind von DORA betroffen?

Die DORA Verordnung gilt für nahezu alle Finanzunternehmen in der EU. Betroffen sind unter anderem folgende art von Unternehmen und IKT-Dienstleistern:

• Kreditinstitute und Banken

• Versicherungen und Rückversicherungen

• Wertpapierfirmen

• Zahlungs- und E-Geld-Institute

• Anbieter von Krypto-Dienstleistungen

• weitere Art von Finanzunternehmen sowie IKT-Dienstleister, die digitale und IT-bezogene Services für den Finanzsektor bereitstellen.

Insgesamt sind schätzungsweise 22.000 Finanzunternehmen in der EU von der DORA-Verordnung betroffen.

Darüber hinaus erfasst DORA auch IKT-Drittdienstleister, sofern sie kritische Dienstleistungen für Finanzunternehmen erbringen. Die Regulierung der Zusammenarbeit mit externen IT-Anbietern ist ein zentrales Element der Verordnung. DORA verpflichtet Finanzunternehmen, die DORA-Konformität ihrer IT-Dienstleister sicherzustellen. Verlässliche Partner unterstützen Finanzunternehmen bei der Umsetzung der DORA-Verordnung und der Einhaltung der regulatorischen Vorgaben.

Zentrale Anforderungen der DORA Verordnung

DORA verpflichtet Unternehmen zur Einführung eines umfassenden IT-Risikomanagement Rahmens, der als zentrales Element der DORA-Verordnung die systematische Steuerung und Überwachung von IT-Risiken sicherstellt. Die Anforderungen gliedern sich in fünf Kernbereiche: DORA konzentriert sich explizit auf die Bereiche IKT-Risikomanagement, Vorfallsmanagement, Resilienztests, Management von Drittanbietern, Risiken und Informationsaustausch.

1. IKT-Risikomanagement
   Systematische Identifikation, Bewertung und Steuerung digitaler Risiken. Finanzunternehmen müssen robuste IT-Systeme und Cyber Security-Maßnahmen implementieren, um sich vor Cyberangriffen und IT-bedingten Störungen zu schützen. Die DORA-Verordnung sieht umfassende Cyberabwehr-Pflichten für die erfassten Finanzunternehmen und IKT-Dienstleister vor.

2. Vorfallmanagement und Meldepflichten
   Einheitliche Prozesse zur Erkennung, Behandlung und Meldung signifikanter IKT-Vorfälle an Aufsichtsbehörden. Kapitel III der DORA-Verordnung regelt die Berichtspflichten und schreibt vor, dass signifikante Cyber Vorfälle und Cyber-Bedrohungen ab dem 17.01.2025 verpflichtend an die zuständigen Behörden gemeldet werden müssen.

3. Digitale Resilienztests
   Regelmäßige Tests kritischer Systeme zur Überprüfung der Widerstandsfähigkeit gegen Störungen und Angriffe.

4. Management von Drittanbietern Risiken
   Strukturierte Kontrolle von Risiken aus der Auslagerung an IT-Dienstleister. Das IKT-Drittparteien Risikomanagement ist dabei ein wesentlicher Bestandteil, um IKT-Drittparteien Risikos zu identifizieren, zu bewerten und zu steuern. DORA erhöht die Sorgfaltspflichten und Nachweispflichten für Finanzinstitute im Umgang mit Drittanbietern.

5. Informationsaustausch
   Förderung des freiwilligen Austauschs über Cyber-Bedrohungen zwischen Unternehmen und Behörden. Der Zugang zu relevanten Informationen ist entscheidend für die Umsetzung der DORA-Verordnung und die Einhaltung der regulatorischen Anforderungen.

Das Verfahren zur Umsetzung der regulatorischen Anforderungen erfolgt nach dem Lamfalussy-Verfahren, wobei Level 2-Standards (technische Regulierungsstandards und Durchführungsstandards) die im Basisrechtsakt (Level 1) festgelegten Grundanforderungen konkretisieren und ergänzen. Der Zweck der DORA-Verordnung besteht darin, die Stabilität und Sicherheit des digitalen Finanzwesens zu gewährleisten und Verbraucher sowie Finanzmärkte zu schützen.

Zusätzlich bestehen erhöhte Dokumentations- und Nachweispflichten gegenüber der Aufsicht.

Drittanbieter, Klassifizierung und Sicherheitsanforderungen

Ein besonders praxisrelevanter Aspekt der DORA-Richtlinie ist die verpflichtende Kontrolle von Drittanbietern durch Finanzdienstleister. Bei der Zusammenarbeit mit Drittanbietern ist die Absicherung der eingesetzten Systeme und der Schutz sensibler Daten von zentraler Bedeutung, um Risiken für die digitale operative Resilienz zu minimieren. Die Richtlinie verlangt eine klare Klassifizierung aller Drittanbieter, um Bedrohungen und Sicherheitsvorfälle frühzeitig zu erkennen. Diese Klassifizierung ist Teil verbindlicher Vorschriften der Richtlinie und gilt ausdrücklich auch für Versicherungsvermittler.

Finanzdienstleister und Versicherungsvermittler müssen sicherstellen, dass Vereinbarungen mit Drittanbietern Regelungen zu Sicherheitsvorfällen, Bedrohungen, Meldewesen und Tests enthalten. Die Vorschriften der Richtlinie sehen regelmäßige Tests vor, um die Widerstandsfähigkeit gegen reale Sicherheitsvorfälle und digitale Bedrohungen nachzuweisen. Fehlende Vereinbarungen, unzureichende Klassifizierung oder ausbleibende Tests können erhebliche aufsichtsrechtliche Konsequenzen für Finanzdienstleister und Versicherungsvermittler nach sich ziehen. Darüber hinaus sieht die DORA-Verordnung bei Verstößen Sanktionen vor, die von finanziellen Strafen bis hin zu Einschränkungen im Geschäftsbetrieb reichen können.

Inkrafttreten und Übergangsfristen

Die DORA Verordnung (Digital Operational Resilience Act) ist am 17. Januar 2025 offiziell in Kraft getreten und markiert damit einen entscheidenden Meilenstein für die digitale operationale Resilienz im europäischen Finanzsektor. Ab diesem Zeitpunkt sind alle betroffenen Finanzunternehmen und IKT-Dienstleister verpflichtet, sich auf die neuen Anforderungen der Verordnung einzustellen, um ihre Widerstandsfähigkeit gegenüber Cyber-Risiken und IKT-bezogenen Vorfällen nachhaltig zu stärken.

Für Unternehmen, die bereits unter nationalen Vorgaben wie BAIT, VAIT, KAIT oder ZAIT fallen, gilt eine Übergangsfrist bis zum 1. Januar 2027. Während dieser Zeit dürfen sie weiterhin die bestehenden Regelungen anwenden, müssen jedoch parallel die Umsetzung der DORA-Anforderungen vorbereiten. Nach Ablauf der Übergangsfrist ist die vollständige Einhaltung der DORA-Verordnung für alle Finanzunternehmen verpflichtend.

Die DORA-Verordnung ist Teil eines umfassenden europäischen Maßnahmenpakets zur Stärkung der operationalen Resilienz im Finanzsektor und steht in engem Zusammenhang mit weiteren Regulierungen wie der NIS-2-Richtlinie. Die Umsetzung erfordert von Unternehmen eine sorgfältige Überprüfung und Anpassung ihrer internen Prozesse, insbesondere im Bereich des IKT-Risikomanagements und des IKT-Drittparteien Risikomanagements. Dazu zählen regelmäßige Resilienztests, die strukturierte Meldung von IKT-Vorfällen sowie die kontinuierliche Überwachung der eigenen digitalen Sicherheit.

In Deutschland wird die Umsetzung der DORA-Verordnung durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) flankiert, das den Anwendungsbereich auf sämtliche Institute nach dem Kreditwesengesetz (KWG) ausweitet. Die BaFin und die Deutsche Bundesbank übernehmen die zentrale Rolle bei der Aufsicht und Kontrolle der Einhaltung der neuen Anforderungen. Unternehmen, die Unterstützung bei der Umsetzung benötigen, können sich an die zuständigen Behörden oder externe Experten wenden, um ihre digitale operationale Resilienz gezielt zu stärken und die regulatorischen Vorgaben der Verordnung (EU) 2022/2554 zuverlässig zu erfüllen.

Mit dem Inkrafttreten der DORA-Verordnung wird die Grundlage für ein einheitliches, hohes Sicherheitsniveau im europäischen Finanzmarkt geschaffen – ein entscheidender Schritt für mehr Sicherheit, Stabilität und Vertrauen in digitale Finanzdienstleistungen.

Delegierte Rechtsakte und Aufsicht

Die Konkretisierung der DORA Vorgaben erfolgt über technische Regulierungsstandards (RTS) und Durchführungsstandards (ITS) der Europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA). Diese Standards werden im Rahmen eines mehrstufigen Verfahrens, dem sogenannten Lamfalussy-Verfahren, entwickelt. Dabei dienen die sogenannten Level 2-Regulierungsstandards dazu, die im Basisrechtsakt (Level 1) festgelegten Grundanforderungen durch detaillierte technische Vorgaben zu ergänzen und zu konkretisieren.

Die regulatorischen Vorgaben unterliegen einer kontinuierlichen Aktualisierung und Änderung, um auf neue technologische Entwicklungen und Anforderungen im Bereich der digitalen operativen Resilienz zu reagieren.

In Deutschland überwachen BaFin und – bei bedeutenden Instituten – die EZB die Einhaltung der DORA Verordnung. Bei Verstößen drohen empfindliche Sanktionen, einschließlich Zwangsgeldern von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes.

Stand: Die Umsetzung und Überwachung der DORA-Verordnung befindet sich aktuell in der aktiven Phase, wobei laufend neue technische Standards und Leitlinien veröffentlicht werden.

Praktische Bedeutung für Unternehmen

DORA verankert digitale Resilienz als Managementaufgabe. Die Geschäftsleitung trägt die Gesamtverantwortung und kann diese nicht allein auf IT-Abteilungen delegieren. Verlässliche Partner und spezialisierte Services unterstützen Unternehmen dabei, die Anforderungen der DORA-Verordnung effizient umzusetzen.

Zentrale Auswirkungen und Themen:

• klare Governance-Strukturen

• strukturierte Risiko- und Vorfallprozesse

• regelmäßige Resilienz- und Belastungstests

• strengere Kontrolle externer IT-Abhängigkeiten

Für die Einhaltung der regulatorischen Anforderungen ist der Zugang zu aktuellen und umfassenden Informationen zu gesetzlichen Vorgaben, technischen Standards und behördlichen Meldungen unerlässlich.

Die Umsetzung erfordert Investitionen, stärkt jedoch langfristig Betriebsstabilität, Sicherheit und Marktvertrauen.

Fazit

Die DORA Verordnung etabliert einen verbindlichen europäischen Rahmen für den Umgang mit IKT-Risiken im Finanzsektor. Sie erhöht die regulatorischen Anforderungen deutlich, bietet Unternehmen jedoch zugleich die Chance, ihre digitale Widerstandsfähigkeit nachhaltig zu verbessern. Der aktuelle Stand der Umsetzung zeigt, dass regelmäßige Aktualisierung und Änderung der regulatorischen Anforderungen notwendig sind, um mit den technologischen Entwicklungen Schritt zu halten.

Der Zweck der DORA-Verordnung besteht darin, die Stabilität und Sicherheit des europäischen Finanzmarkts zu gewährleisten und Risiken für Verbraucher und Unternehmen zu minimieren. DORA ist damit nicht nur eine regulatorische Pflicht, sondern ein zentrales Instrument zur Sicherung der digitalen Zukunftsfähigkeit des europäischen Finanzmarkts.

Weiterführende Informationen sowie praxisnahe Unterstützung bei der Umsetzung der DORA-Verordnung finden Unternehmen bei den KGH Rechtsanwälten.