Seit dem 16. Januar 2023 ist die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) in Kraft. Innerhalb von zwei Jahren, ab dem 17. Januar 2025, wird sie in allen EU-Mitgliedstaaten angewendet werden müssen. Die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA (ESAs) haben den Auftrag erhalten, technische Regulierungsstandards zu entwickeln, um die Vorgaben dieser EU-Verordnung zum IKT-Risikomanagement und zur Klassifizierung und Meldung von IKT-Vorfällen zu konkretisieren.

Einheitliche Vorgaben zur Sicherung der digitalen Betriebsstabilität

Das Ziel der DORA-Verordnung besteht darin, einen einheitlichen Rechtsrahmen mit Sicherheitsanforderungen für Netz- und Informationssysteme von Unternehmen und Organisationen im Finanzsektor sowie für kritische Dritte zu schaffen. Dies betrifft beispielsweise Anbieter von Cloud-Plattformen oder Datenanalysediensten, die Informations- und Kommunikationstechnologien (IKT) bereitstellen. Der EU-weite Rechtsrahmen für die digitale Betriebsstabilität soll sicherstellen, dass Unternehmen angemessen auf Störungen und Bedrohungen im Zusammenhang mit IKT reagieren können. Dadurch sollen erfolgreiche Cyber-Angriffe möglichst verhindert oder ihre Auswirkungen minimiert werden.

Betroffene: Alle auf EU-Ebene regulierten Finanzunternehmen

DORA betrifft nahezu alle Finanzunternehmen und gilt für Kredit- und Zahlungsinstitute, Wertpapierfirmen, Anbieter von Krypto-Diensten sowie Versicherungsunternehmen, Versicherungsvermittler und viele andere Finanzdienstleister. Auch IKT-Drittanbieter, die digitale Dienstleistungen erbringen, fallen unter die neuen Vorschriften. Von DORA ausgenommen sind hingegen Wirtschaftsprüfer sowie Anbieter von Hardwarekomponenten und reinen elektronischen Kommunikationsdiensten.

Die meisten Anforderungen gelten für Finanzinstitute jeder Größe. Lediglich Kleinstunternehmen, also Unternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz von nicht mehr als 2 Millionen Euro, erhalten einige Erleichterungen.

Wesentliche Inhalte der DORA

Die DORA-Verordnung umfasst verschiedene Kernelemente, die vom europäischen Gesetzgeber definiert wurden:

Der europäische Gesetzgeber hat folgende Kernelemente der DORA definiert: 

IKT-Risikomanagement 

• Eine Reihe von Schlüsselprinzipien und Anforderungen an den IKT-Risikomanagementrahmen 

Meldung von IKT-bezogenen Vorfällen 

• Harmonisierung und Straffung der Berichterstattung + Ausweitung der Meldepflichten auf alle Finanzinstitute 

Prüfung der digitalen operativen Belastbarkeit 

• Finanzinstitute müssen sich grundlegenden oder fortgeschrittenen Tests unterziehen (z. B. TLPTs) 

IKT-Drittrisiko 

• Auf Grundsätzen basierende Regeln für die Überwachung von Risiken Dritter, wichtige Vertragsbestimmungen + Aufsichtsrahmen für kritische IKT-TPPs 

Austausch von Informationen 

• Freiwilliger Austausch von Informationen und Erkenntnissen über Cyber-Bedrohungen 

Quelle: Regupedia.de/Blog / Sinem Duygu Aydin, Consultant Severn Consultancy in IT-Sicherheit