Kapitel 10 In Kraft: 17. Januar 2025

DORA

Digital Operational Resilience Act

Überblick

Der Digital Operational Resilience Act (DORA) legt einheitliche Anforderungen an die Sicherheit und Resilienz von Netz- und Informationssystemen fest, die die Geschäftsprozesse von Finanzunternehmen unterstützen. Er schafft zudem einen Rahmen für die Aufsicht über kritische ICT-Drittanbieterdienstleister.[1]

DORA ist eine Verordnung, was bedeutet, dass sie ohne Umsetzung direkt in allen EU-Mitgliedstaaten gilt.

Betroffene Einheiten

Finanzunternehmen[2]

  • Kreditinstitute (Banken)
  • Zahlungsinstitute
  • E-Geld-Institute
  • Investmentfirmen
  • Versicherungs- und Rückversicherungsunternehmen
  • Zentrale Wertpapierverwahrer
  • Handelsregister
  • Ratingagenturen
  • Krypto-Asset-Dienstleister
  • Crowdfunding-Dienstleister
  • Datenmelde-Dienstleister

Kritische ICT-Drittanbieter

Die Europäischen Aufsichtsbehörden benennen kritische ICT-Dienstleister basierend auf:

  • Systemischer Auswirkung bei Ausfall des Anbieters
  • Grad der Ersetzbarkeit
  • Anzahl der Finanzunternehmen, die auf den Anbieter angewiesen sind

Benannte Anbieter unterliegen dem EU-Aufsichtsrahmen.

Fünf Säulen von DORA

1. ICT-Risikomanagement (Kapitel II)

Finanzunternehmen müssen etablieren und aufrechterhalten:

  • Governance: Verantwortung des Vorstands für die ICT-Risikostrategie
  • Risikorahmen: Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung
  • Dokumentation: Richtlinien, Verfahren und Protokolle für ICT-Sicherheit
  • Tests: Regelmäßige Bewertung von ICT-Systemen und -Werkzeugen

2. ICT-Vorfallberichterstattung (Kapitel III)[3]

AnforderungDetails
KlassifizierungHarmonisierte Kriterien für die Schwere von Vorfällen
ErstmeldungAn die zuständige Behörde innerhalb von 4 Stunden nach Klassifizierung
ZwischenberichtInnerhalb von 72 Stunden mit Updates
AbschlussberichtInnerhalb eines Monats nach Behebung
Freiwillige MeldungBedeutende Cyber-Bedrohungen können gemeldet werden

Schwerwiegende ICT-bezogene Vorfälle müssen mit standardisierten Vorlagen gemeldet werden.

3. Testen der digitalen operativen Resilienz (Kapitel IV)

EinheitentypTestanforderung
Alle EinheitenJährliches ICT-Testprogramm
Bedeutende EinheitenBedrohungsorientierte Penetrationstests (TLPT) alle 3 Jahre
Kritische ICT-AnbieterKönnen an gemeinsamen TLPT teilnehmen

Die Tests müssen umfassen: Schwachstellenbewertungen, Netzwerksicherheitsbewertungen, Software-Sicherheitsüberprüfungen, Quellcode-Reviews (sofern möglich), szenariobasierte Tests und Kompatibilitätstests.

4. Drittparteirisikomanagement (Kapitel V)[4]

Finanzunternehmen müssen:

  • Ein Register aller ICT-Drittanbietervereinbarungen führen
  • Due-Diligence-Prüfungen vor Vertragsabschluss durchführen
  • Konzentrationsrisiken bewerten
  • Vertraglich verpflichtende Bestimmungen einbeziehen
  • Ausstiegsstrategien definieren
  • Vereinbarungen den zuständigen Behörden melden

Vertraglich verpflichtende Bedingungen umfassen Service-Level-Beschreibungen, Datenschutzverpflichtungen, Zugriffs- und Prüfungsrechte, Anforderungen an die Vorfallberichterstattung sowie Kündigungsrechte mit Übergangsunterstützung.

5. Informationsaustausch (Kapitel VI)

Finanzunternehmen können Cyber-Bedrohungsinformationen innerhalb vertrauenswürdiger Gemeinschaften unter Einhaltung von Vertraulichkeitsregeln austauschen, um die kollektive Verteidigung zu stärken.

Verhältnismäßigkeit

DORA wendet Verhältnismäßigkeit basierend auf der Größe und dem Risikoprofil der Einheit, der Art, dem Umfang und der Komplexität der Dienstleistungen sowie der systemischen Bedeutung an.

Vereinfachte Anforderungen gelten für kleine und nicht vernetzte Investmentfirmen, Zahlungs- und E-Geld-Institute unter bestimmten Schwellenwerten sowie bestimmte Versicherungsvermittler.

Sanktionen

Die zuständigen Behörden können:[5]

  • Verwaltungsstrafen verhängen
  • Periodische Strafzahlungen anordnen
  • Öffentliche Bekanntmachungen machen
  • Genehmigungen entziehen
  • Vorübergehende Verbote für Leitungsfunktionen aussprechen

Die konkreten Beträge werden durch das Recht der Mitgliedstaaten festgelegt.

Auswirkungen für Entwickler und ICT-Anbieter

Wenn Sie ICT-Dienstleistungen für den Finanzsektor erbringen:

  1. Vertragsprüfung: Stellen Sie sicher, dass Verträge DORA-Anforderungen erfüllen
  2. Vorfallberichterstattung: Richten Sie Meldekanäle für Kunden ein
  3. Testunterstützung: Ermöglichen Sie Penetrationstests durch Kunden
  4. Ausstiegsplanung: Ermöglichen Sie einen geordneten Übergang bei Vertragsbeendigung
  5. Konzentrationsbewusstsein: Überwachen Sie Abhängigkeiten von Ihren Dienstleistungen
  6. Kritische Einstufung: Bereiten Sie sich auf mögliche EU-Aufsicht vor

Quellen & Referenzen

[1]
Verordnung (EU) 2022/2554 über die digitale operative Resilienz für den Finanzsektor. EUR-Lex: DORA Amtstext
[2]
DORA Artikel 2: Anwendungsbereich. DORA Portal: Artikel 2
[3]
DORA Artikel 17-23: ICT-bezogene Vorfallberichterstattung. DORA Portal: Vorfallberichterstattung
[4]
DORA Artikel 28-44: Drittparteirisikomanagement. DORA Portal: Drittparteirisiko
[5]
DORA Artikel 50: Verwaltungsstrafen und Abhilfemaßnahmen. DORA Portal: Sanktionen