Der Digital Operational Resilience Act (DORA) ist eine bedeutende regulatorische Entwicklung, die darauf abzielt, die Betriebsstabilität digitaler Systeme des Finanzsektors in der Europäischen Union (EU) zu verbessern. In diesem Beitrag beantworten wir Ihnen die häufigsten Fragen zu DORA: Von der Notwendigkeit und den Auswirkungen bis hin zu Compliance-Anforderungen.
- Was ist der Digital Operational Resilience Act (DORA)?
- Was sind die wichtigsten Anforderungen von DORA?
- Wie wird sich DORA auf den europäischen Finanzsektor auswirken?
- Wie verhält sich DORA zu anderen bestehenden Verordnungen und Richtlinien?
- Wie lange haben die Finanzinstitute Zeit, die DORA-Vorschriften umzusetzen?
- Wie sollten Finanzinstitute auf DORA reagieren?
- Warum wurden Drittanbieter in den Anwendungsbereich der DORA-Verordnung aufgenommen?
1. Was ist der Digital Operational Resilience Act (DORA)?
Der Digital Operational Resilience Act, kurz DORA, ist eine Verordnung (Verordnung (EU) 2022/2554), die von der Europäischen Kommission eingeführt wurde, um bestehende regulatorische Lücken für den gesamten europäischen Finanzsektor zu schließen. DORA ergänzt Regeln für den Umgang mit IKT-bezogenen Vorfällen und trägt somit zur Verbesserung der Betriebsstabilität digitaler Systeme des Finanzsektors bei. Vor ihrer Einführung steuerten die Finanzinstitute ihre Betriebsstabilität (Operational Resilience) in erster Linie über die Kapitalallokation, aber es bestand Bedarf an einem umfassenden Rahmen für das Management aller Komponenten der Betriebsstabilität. DORA erkennt an, dass IKT-Vorfälle und ein Mangel an Widerstandsfähigkeit schwerwiegende Folgen für die Stabilität des Finanzsystems haben können, selbst wenn ausreichend Kapital für traditionelle Risikokategorien vorhanden ist.
2. Was sind die wichtigsten Anforderungen von DORA?
DORA erlegt den Finanzinstituten mehrere Anforderungen auf, um ihre digitale Widerstandsfähigkeit zu verbessern. Zu diesen Anforderungen gehören:
- IKT-Risikomanagement: Finanzinstitute müssen wirksame IKT-Risikomanagement-Rahmenregelungen, -Richtlinien und -Verfahren einführen und aufrechterhalten, um IKT-bezogene Risiken zu erkennen, zu bewerten, zu steuern und zu mindern.
- Meldung von Vorfällen: Die Institute sind verpflichtet, wesentliche IKT-bezogene Vorfälle unverzüglich an die zuständigen Behörden zu melden, um eine koordinierte Reaktion und eine Analyse potenzieller Systemrisiken zu ermöglichen.
- Prüfung der Betriebsstabilität: Regelmäßige Tests und Bewertungen der Betriebsstabilität der Institute sind obligatorisch, um sicherzustellen, dass sie IKT-bezogene Vorfälle wirksam erkennen, eindämmen, wiederherstellen und beheben können.
- Überwachung der Risiken von IKT-Drittanbietern: Die Finanzinstitute müssen die mit Drittanbietern, beispielsweise Cloud-Anbietern, verbundenen Risiken überwachen und steuern und sicherstellen, dass deren Maßnahmen zur digitalen Widerstandsfähigkeit ebenfalls mit den Anforderungen der DORA übereinstimmen.
3. Wie wird sich DORA auf den europäischen Finanzsektor auswirken?
DORA wird erhebliche Auswirkungen auf in der EU tätige Finanzinstitute haben. Im Vergleich zu den beiden bestehenden EBA-Leitlinien (Leitlinien für das Management von IKT- und Sicherheitsrisiken und Leitlinien zu Auslagerungen) reguliert DORA eine größere Anzahl und weitere Formen von Finanzunternehmen. Die Verordnung gilt nicht nur für Kreditinstitute, Versicherungen und Wertpapierfirmen, sondern ebenso für Zahlungsinstitute, Kapitalverwaltungsgesellschaften, Anbieter von Kryptodienstleistungen, Ratingagenturen und IKT-Dienstleister.
Alle regulierten Finanzinstitute und deren IKT-Drittanbieter müssen ihre Unternehmensführung, ihr Risikomanagement und ihre betrieblichen Praktiken anpassen, um die Anforderungen zu erfüllen. Die Verordnung setzt einen höheren Standard für die Betriebsstabilität und die Cybersicherheit und stellt sicher, dass die Finanzinstitute besser gerüstet sind, um IKT-bezogene Vorfälle zu überstehen und sich davon zu erholen. Die Einhaltung der DORA-Vorschriften wird erhebliche Investitionen in Technologie, Prozesse und Ressourcen erfordern.
4. Wie verhält sich DORA zu anderen bestehenden Verordnungen und Richtlinien?
DORA ist als "lex specialis" konzipiert und wird alle sich überschneidenden regulatorischen Texte wie die Richtlinie über Netz- und Informationssysteme (NIS) oder die sich überschneidenden Teile der Leitlinien der Europäischen Aufsichtsbehörden ersetzen. Die Finanzinstitute sollten DORA als Hauptbezugspunkt für ihre Bemühungen um die Einhaltung der Vorschriften nutzen, um unvorhergesehene Lücken zu vermeiden, wenn die Verordnung in Kraft tritt.
5. Wie lange haben die Finanzinstitute Zeit, die DORA-Vorschriften umzusetzen?
DORA räumt den Finanzinstituten eine Vorbereitungszeit von zwei Jahren ein (2023 und 2024), um ihre Unternehmensführung und -praktiken mit den Säulen der Resilienz der Verordnung in Einklang zu bringen und einen Fahrplan für die Umsetzung zu entwickeln. Es wird erwartet, dass die Verordnung Anfang 2025 in Kraft treten wird, wobei bis dahin verpflichtende Berichte, Bewertungen und Tests durchgeführt werden müssen.
6. Wie sollten Finanzinstitute auf DORA reagieren?
Finanzinstitute sollten sich proaktiv auf die Einführung von DORA vorbereiten, indem sie die folgenden Schritte unternehmen:
- Führen Sie eine Gap-Analyse durch: Bewerten Sie den aktuellen Reifegrad Ihres Unternehmens in Bezug auf Governance, Risikomanagement und Einhaltung der bestehenden Richtlinien und Standards.
- Entwicklung einer Roadmap: Ermitteln Sie die Prioritäten und Aufwände, die erforderlich sind, um die DORA-Anforderungen zu erfüllen und eine solide Strategie für die Betriebsstabilität digitaler Systeme zu schaffen.
- Angleichung von Governance und Praxis: Stellen Sie sicher, dass die Führungs- und Betriebspraktiken des Instituts mit den in DORA dargelegten Säulen der Resilienz übereinstimmen.
- Überwachung der regulatorischen Aktualisierungen: Halten Sie sich über neue technische Regulierungsstandards (RTS) und technische Durchführungsstandards (ITS) auf dem Laufenden, die von den Aufsichtsbehörden während des Umsetzungszeitraums festgelegt werden könnten.
7. Warum wurden Drittanbieter in den Anwendungsbereich der DORA-Verordnung aufgenommen?
Die fortschreitende Digitalisierung und der sich stets entwickelnde Stand der Technik führen dazu, dass Finanzinstitute relevante Kernprozesse an IKT-Drittanbieter, wie Cloud-Dienstleister, auslagern. Sicherheitslücken oder Schwächen in Prozessen dieser Anbieter können ein direktes Risiko für die Widerstandsfähigkeit der Institute bedeuten. Daher ist es umso wichtiger, dass die Widerstandsfähigkeit der Dienstleister ebenso sicher aufgestellt ist wie die der Institute selbst.
Obwohl kritische IKT-Drittanbieter in den Anwendungsbereich des DORA fallen, bleibt die volle Verantwortung für ausgelagerte Dienstleistungen und Prozesse weiterhin bei den Instituten selbst. Daher muss vor der Auslagerung und regelmäßig oder anlassbezogen ein entsprechendes Risiko-Assessment erfolgen. Außerdem sollten Institute, beispielsweise durch ein Audit, regelmäßig sicherstellen, dass ihre Drittanbieter die Anforderungen der DORA-Verordnung vollumfänglich einhalten.
Sie benötigen Unterstützung bei der Gap-Analyse oder einem Harmonisierungsprojekt in Ihrem Unternehmen? Sprechen Sie uns gerne an!
Link zum Digital Operational Resilience Act: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554&qid=1673554022989