Glossar / DORA – Digital Operational Resilience Act

DORA – Digital Operational Resilience Act

  • Fabian Sinner
  • Mai 7, 2024

Inhalt

DORA – Digital Operational Resilience Act

Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die darauf abzielt, die Widerstandsfähigkeit und Sicherheit der Informationstechnologie (IT) im Finanzsektor zu stärken. DORA wurde am 16. Januar 2023 in Kraft gesetzt und wird ab dem 17. Januar 2025 angewendet.

Was sind die wesentlichen Compliance-Vorgaben des DORA?

Die Compliance-Vorgaben des Digital Operational Resilience Act (DORA) umfassen eine Vielzahl von Anforderungen, die Finanzunternehmen und ICT-Drittanbieter erfüllen müssen. Dazu gehören:

  • Risikomanagement für ICT: Finanzunternehmen müssen geeignete Risikomanagement-Strategien für ihre ICT-Systeme entwickeln und implementieren, um die Widerstandsfähigkeit gegenüber digitalen Risiken zu erhöhen.
  • Resilienztests: Regelmäßige Tests zur Überprüfung der digitalen Betriebsstabilität kritischer ICT-Systeme sind erforderlich, um potenzielle Schwachstellen zu identifizieren und zu beheben.
  • Berichterstattung von ICT-Vorfällen: Unternehmen sind verpflichtet, ernsthafte ICT-bezogene Vorfälle den zuständigen Behörden zu melden und entsprechende Maßnahmen zur Bewältigung dieser Vorfälle zu ergreifen.
  • Überwachung von kritischen Drittanbietern: Finanzunternehmen müssen kritische ICT-Drittanbieter identifizieren und überwachen, um sicherzustellen, dass diese Anbieter robuste Sicherheitsmaßnahmen implementieren.
  • Vertragsmanagement: Unternehmen müssen sicherstellen, dass ihre Verträge mit ICT-Drittanbietern den Anforderungen von DORA entsprechen und angemessene Mechanismen zur Risikominderung enthalten.
  • Kooperation mit Behörden: Unternehmen müssen eng mit den zuständigen Behörden zusammenarbeiten und Informationen über ICT-Risiken und Vorfälle austauschen.
  • Compliance-Reporting: Finanzunternehmen müssen regelmäßige Compliance-Berichte erstellen und bei den Aufsichtsbehörden einreichen, um die Einhaltung der DORA-Vorgaben nachzuweisen.
  • Schulung der Mitarbeiter: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter über die Anforderungen von DORA informiert sind und entsprechend geschult werden, um diese Anforderungen zu erfüllen.

Zeitplan

Für DORA gilt folgender Zeitplan vom Inkrafttreten der DORA bis zur Anwendung und dem Beginn der Überwachung:

  1. Inkrafttreten von DORA: Die Verordnung ist am 16. Januar 2023 in Kraft getreten.
  2. Öffentliche Konsultationen: Zwischen Mai und Juni 2023 fanden öffentliche Konsultationen zu den Kriterien für die kritischen Funktionen und Gebühren statt.
  3. Erste Richtlinien: Die ersten Richtlinien wurden in einer Konsultation von Juni bis September 2023 diskutiert.
  4. Weitere öffentliche Konsultationen: Weitere öffentliche Konsultationen für die zweite Phase der Richtlinien wurden von Dezember 2023 bis März 2024 durchgeführt.
  5. Lieferung von Richtlinien: Die ersten Richtlinien wurden am 17. Januar 2024 geliefert, gefolgt von der zweiten Phase am 17. Juli 2024.
  6. Anwendung von DORA: Ab dem 17. Januar 2025 wird DORA vollständig angewendet.
  7. Beginn der Überwachungsaktivitäten: Ab 2025 beginnen die Europäischen Aufsichtsbehörden (ESAs) mit den Überwachungsaktivitäten, einschließlich der Designierung von kritischen Drittanbietern.

Warum wurde DORA eingeführt?

Der Digital Operational Resilience Act (DORA) wurde eingeführt, um auf die wachsende Bedrohung durch Cyberangriffe und die zunehmende Abhängigkeit des Finanzsektors von Informationstechnologien (IT) zu reagieren.

Risiken durch Cyberangriffe

Die Finanzindustrie ist ein bevorzugtes Ziel für Cyberkriminelle aufgrund der enormen Menge an sensiblen Finanzdaten, die sie verwalten. Cyberangriffe können erhebliche finanzielle Verluste verursachen und das Vertrauen der Verbraucher in das Finanzsystem erschüttern.

Zunehmende Abhängigkeit von IT-Diensten

Finanzunternehmen sind in hohem Maße von IT-Infrastrukturen und Dienstleistungen abhängig, um ihre Geschäftsprozesse durchzuführen. Dies beinhaltet nicht nur interne IT-Systeme, sondern auch Dienstleistungen von Drittanbietern wie Cloud-Service-Providern und Zahlungsabwicklungsunternehmen.

Fragmentierung der Regulierung

Vor der Einführung von DORA gab es eine Fragmentierung der Regulierung im Bereich der digitalen Widerstandsfähigkeit innerhalb der Europäischen Union. Es fehlte an einheitlichen Standards und Verfahren zur Bewältigung von ICT-Risiken im Finanzsektor.

Notwendigkeit einer Harmonisierung

DORA zielt darauf ab, diese fragmentierten Ansätze zu harmonisieren und ein einheitliches Rahmenwerk für die digitale Widerstandsfähigkeit im gesamten EU-Finanzsektor zu schaffen. Dies erleichtert nicht nur die Einhaltung der Vorschriften, sondern stärkt auch die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten.

Gewährleistung der Finanzstabilität

Ein widerstandsfähiges Finanzsystem ist von entscheidender Bedeutung für die wirtschaftliche Stabilität der EU. DORA soll sicherstellen, dass der Finanzsektor widerstandsfähig bleibt und potenzielle Störungen schnell und effektiv bewältigt werden können.

Schutz der Verbraucher

Durch die Stärkung der digitalen Widerstandsfähigkeit sollen die Interessen der Verbraucher geschützt werden, indem das Risiko von ICT-bedingten Störungen und Datenlecks minimiert wird.

Insgesamt wurde DORA eingeführt, um den Finanzsektor widerstandsfähiger gegenüber den wachsenden digitalen Risiken zu machen und die Finanzstabilität in der Europäischen Union zu gewährleisten. Durch die Implementierung einheitlicher Standards und Verfahren sollen Unternehmen besser vor Cyberangriffen geschützt und das Vertrauen der Verbraucher gestärkt werden.

Wer ist von DORA betroffen?

Der Digital Operational Resilience Act (DORA) betrifft eine breite Palette von Finanzunternehmen und Organisationen innerhalb der Europäischen Union. Zu diesen gehören:

  • Banken
  • Versicherungsgesellschaften
  • Investmentfirmen
  • Zahlungsdienstleister
  • Krypto-Asset-Firmen
  • Finanzmarktinfrastrukturen
  • E-Geld-Institute
  • Kapitalverwaltungsgesellschaften

Zudem sind DORA-Regelungen auch für ICT-Drittanbieter relevant, insbesondere solche, die als kritisch für die Finanzinfrastruktur eingestuft werden. Diese Drittanbieter könnten Cloud-Dienste, Datenanalysefirmen oder Anbieter von Cybersicherheitsdienstleistungen sein.

Die Einbeziehung von Drittanbietern ist besonders wichtig, da die Finanzdienstleistungsbranche zunehmend von diesen externen ICT-Diensten abhängig ist, was ein zusätzliches Risiko für die operationelle Resilienz darstellt.

DDoS-Report von Link11: Mehr als 290 Attacken am Tag in der DACH-Region
X