27. Januar 2023 In Allgemein

Digital Operational Resilience Act (DORA) in Kraft

Mit DORA nimmt die Aufsicht gezielt die Themen IT-Sicherheit und Cyberrisiken in den Fokus und will so die Widerstandsfähigkeit von Unternehmen der Finanzindustrie gezielt stärken. Gerade vor dem Hintergrund der immer weiter fortschreitenden Digitalisierung und der sich durch mobiles Arbeiten ändernden Arbeitswelt, aber auch angesichts aktueller politischer Entwicklungen gewinnen beide Themen immer mehr an Bedeutung für Unternehmen aller Branchen. Damit verbunden werden zudem andere Themen wie das Business Continuity Management (BCM) bzw. das Notfallmanagement immer wichtiger.

Doch was genau bedeutet DORA für Finanzinstitute, was müssen diese umsetzen, um DORA-konform zu werden, wie wirken die ganzen regulatorischen Regelwerke MaRisk, BAIT, DORA usw. zusammen, welche Institute sind von DORA tatsächlich betroffen und bis wann muss man DORA umgesetzt haben?
 
Im Kern sind die folgenden Schwerpunkte im Bereich Informations- und Kommunikationstechnologien (IKT) relevant für Finanzinstitute.

Doch was genau bedeutet DORA für Finanzinstitute? Was müssen diese umsetzen, um DORA-konform zu werden? Wie wirken die ganzen regulatorischen Regelwerke MaRisk, BAIT, DORA usw. zusammen? Welche Institute sind von DORA tatsächlich betroffen? Und bis wann muss man DORA umgesetzt haben?
 
Im Kern sind die folgenden Schwerpunkte im Bereich Informations- und Kommunikationstechnologien (IKT) für Finanzinstitute relevant:

  • Informations- und Kommunikationstechnologien
  • IKT-Risikomanagementrahmen, insbesondere unter Einbeziehung von Business Continuity Management und Informationssicherheit (Kapitel II, Artikel 5 bis 16)
  • Bewältigung, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen (Kapitel III, Artikel 17 bis 23)
  • Prüfung der digitalen Betriebsstabilität, u. a. Testprogramme, Pentests (Kapitel IV, Artikel 24 bis 27)
  • Steuerung und Überwachung von IKT-Risiken durch Drittanbieter (Kapitel V, Artikel 28 bis 44)

Insgesamt sind die Themen nicht neu, und Finanzinstitute haben hier bereits in der Vergangenheit (auch vor dem Hintergrund der BAIT) Maßnahmen umgesetzt. Viele der in DORA aufgeführten Anforderungen sind hier zudem deckungsgleich mit denen aus anderen Regelwerken wie z. B. MaRisk / BAIT. DORA enthält aber auch Konkretisierungen, Ergänzungen und Differenzen zu den bekannten Regelungen. Um hier nicht den Überblick zu verlieren und eine effiziente Umsetzung zu gewährleisten, empfiehlt es sich, zu Beginn eine genau vergleichende GAP-Analyse zwischen den bisher umgesetzten Anforderungen und den DORA-Anforderungen durchzuführen.
Von DORA sind unterschiedliche Arten von Finanzinstituten und IKT-Drittanbieter von Finanzinstituten betroffen. Hierzu zählen die folgenden Unternehmen:

 
  • Kreditinstitute
  • Zahlungsinstitute
  • E-Geld-Institute
  • Wertpapierfirmen
  • Anbieter von Krypto-Dienstleistungen
  • Emittenten von Kryptowerten
  • Emittenten von an Vermögenswerte geknüpften Token
  • Emittenten signifikanter an Vermögenswerte geknüpfter Token
  • Zentralverwahrer
  • zentrale Gegenparteien
  • Handelsplätze
  • Transaktionsregister
  • Verwalter alternativer Investmentfonds
  • Verwaltungsgesellschaften
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
  • Einrichtungen der betrieblichen Altersversorgung
  • Ratingagenturen
  • Abschlussprüfer:innen und Prüfungsgesellschaften
  • Administratoren kritischer Benchmarks
  • Crowdfunding-Dienstleister
  • Verbriefungsregister
  • IKT-Drittanbieter



DORA ist seit dem 16.01.2023 in Kraft, d. h. die darin enthaltenen Anforderungen gelten seitdem für die betroffenen Unternehmen. Allerdings ist für die Umsetzung und Implementierung der Anforderungen eine Frist von 24 Monaten vorgesehen, sodass die betroffenen Unternehmen bis zum 16.01.2025 Zeit haben, die DORA-Konformität herzustellen. Auch wenn sich 24 Monate recht lange anhören und die nationalen Aufsichtsbehörden erst damit beginnen, auf DORA abgestimmte Standards und Umsetzungsleitfäden zu entwickeln, ist es nicht ratsam, auf diese zu warten, sondern es empfiehlt sich, sehr zeitnah mit dem ersten Schritt der GAP-Analyse zu starten.