DORA-Verordnung: Frist, Anwendungsbereich & Anforderungen

Was ist die DORA-Verordnung?

Die DORA-Verordnung ist am 17. Januar 2023 in Kraft getreten und hat zum Ziel, die operationelle Widerstandsfähigkeit des europäischen Finanzsektors zu verbessern. Im Mittelpunkt steht die Harmonisierung der IT-Sicherheitsanforderungen, um den zunehmenden Cyberrisiken zu begegnen. Dazu wurden für den Finanzsektor einheitliche Anforderungen an Risikomanagementsysteme und an die Sicherheit der von den verpflichteten Unternehmen genutzten Netz- und Informationssysteme definiert.

DORA richtet sich an den Finanzsektor und genießt als spezielleres Gesetz im Finanzsektor Anwendungsvorrang gegenüber der Network and Information Security Directive (NIS2).

Welche Organisationen und Unternehmen sind von der DORA-Verordnung betroffen?

Die Anforderungen von DORA gelten sektorübergreifend im Wesentlichen für alle beaufsichtigten Institute und Unternehmen des Finanzsektors – also z.B. für Kredit-, Zahlungs- und E-Geld-Institute sowie Anbieter von Krypto-Dienstleistungen und Versicherungsunternehmen.

Neben den Unternehmen des Finanzsektors selbst betrifft die Verordnung (un)mittelbar auch Dienstleister im Bereich der Informations- und Kommunikationstechnologie (IKT). Zu den IKT-Dienstleistern zählen Unternehmen, die für Finanzunternehmen wesentliche Dienstleistungen wie Cloud Computing, Softwarebereitstellung, Datenanalyse und Rechenzentrumsdienstleistungen erbringen. DORA definiert IKT-Dienste als digitale Dienste und Datendienste, die dauerhaft über IKT-Systeme bereitgestellt werden.

Die Definition umfasst Hardware und damit verbundene Dienstleistungen, einschließlich technischer Unterstützung in Form von Software- oder Firmware-Updates. Herkömmliche analoge Telefondienste sind von dieser Definition ausgenommen. Erbringen diese Dienstleister kritische Dienstleistungen für ein Finanzunternehmen, unterliegen sie der direkten Aufsicht durch eine Aufsichtsbehörde.

Welche Anforderungen stellt die DORA-Verordnung?

DORA stellt detaillierte Anforderungen an das IKT-Risikomanagement und die Verträge mit IKT-Dienstleistern. Fünf zentrale Bereiche sind besonders relevant:

• IKT-Risikomanagement (Art. 5-16 DORA)
• IKT-Drittparteienmanagement (Art. 28-44 DORA)
• Management von IKT-Vorfällen (Art. 17-23 DORA)
• Digital Operational Resilience Testing (Art. 24-27 DORA)
• Informationsaustausch (Art. 45 DORA)

IKT-Risikomanagement, Art. 5-16 DORA

Das IKT-Risikomanagement ist das Kernelement von DORA. Zusammenfassend lässt sich festhalten, dass Unternehmen eine Strategie zur digitalen Resilienz entwickeln und regelmäßig überprüfen müssen. Dazu gehört die Bewertung von Risiken im Zusammenhang mit neuen Technologien aber auch mit Altsystemen. Zudem muss die Unternehmensleitung aktiv in die Kontrolle und Steuerung der IKT-Risiken eingebunden werden. Die Dokumentation und Meldung von IKT-bezogenen Vorfällen ist ebenfalls verpflichtend.

Nach Art 5 Abs. 1 DORA müssen Finanzunternehmen zunächst über einen internen Governance- und Kontrollrahmen verfügen, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet. Um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen DORA führt in Art. 6 Abs. 8 DORA eine „DOR-Strategie“ ein. Auch werden die Leitungsorgane dazu verpflichtet, ihre Kenntnisse und Fähigkeiten im Hinblick auf die zu managenden IKT-Risiken stets auf dem neuesten Stand zu halten, etwa durch regelmäßige Schulungen.

Das IKT-Risikomanagement muss nach Art. 6 Abs. 1 DORA in einen Risikomanagementrahmen eingebettet werden, der einmal jährlich bzw. bei Kleinstunternehmen regelmäßig dokumentiert und überprüft werden muss.

Daneben sieht das IKT-Risikomanagement unter anderem folgendes umfassen:

• Aufstellen von Strategien, Richt- und Leitlinien, Verfahren sowie IKT-Protokolle und -Tools, die um Schutz aller Informations- und IKT-Assets erforderlich sind.
• Untersuchung der Ursachen und möglicher Verbesserungen nach schwerwiegenden IKT-bezogenen Vorfällen mit Störungen von Haupttätigkeiten
• Risikobewertung für IKT-Altsysteme (Art. 8 Abs. 7 i.V.m. Art. 3 Nr. 3 DORA) jährlich und vor und nach dem Anschluss von Technologien, Anwendungen oder Systemen
• Bericht der IKT-Mitarbeiter:innen an Leitungsorgan über Vorfälle, Tests und entsprechende Empfehlungen (Art. 13 Abs. 5 DORA)

Management von Drittparteien, Art. 28-44 DORA

Ein weiterer Aspekt des Risikomanagements ist das IKT-Drittparteienrisikomanagement. Die Verordnung will damit potenziellen System- und Konzentrationsrisiken, die aus der Abhängigkeit des Finanzsektors von einigen wenigen IKT-Dienstleistern erwachsen, entgegenwirken.

Im Mittelpunkt des IKT-Drittparteienrisikomanagements stehen detaillierte Anforderungen an Outsourcing-Verträge zwischen Finanzunternehmen und externen IKT-Dienstleistern. Verträge mit externen IKT-Dienstleistern müssen Mindestanforderungen erfüllen, um sicherzustellen, dass diese den hohen Sicherheitsanforderungen von DORA genügen. In Art. 30 DORA wird der Mindestvertragsinhalt verbindlich festgelegt. Die Anforderungen sollen sicherstellen, dass alle externen Dienstleistungen, die von diesen Dienstleistern erbracht werden, den hohen Sicherheits- und Resilienzanforderungen der Verordnung entsprechen.

Dabei ist zu beachten, dass für IKT-Dienstleister, die kritische oder wichtige Funktionen erbringen, noch strengere Anforderungen gelten. Die Verträge müssen mindestens folgenden Inhalt aufweisen:

Mindestinhalt für alle IKT-Dienstleisterverträge	Zusätzlich bei kritischen oder wichtigen IKT-Diensten
Dienstleistungsbeschreibung, Qualität und Sicherheitsbestimmungen	Dienstleistungsgüte und Leistungsziele
Unterauftragsvergabe und Datenverarbeitung	Sicherheits- und Resilienzverpflichtungen
Zusammenarbeit, Unterstützung und Schulungen	Vertragsbedingungen und Berichtspflichten, inklusive Exit-Strategie
Kündigungsrechte und Datenzugang	Überwachungs- und Kontrollrechte

Management von IKT-Vorfällen, Art. 17-23 DORA

Die Finanzunternehmen sind verpflichtet, einen Prozess für den Umgang mit IKT-Vorfällen zu bestimmen. Dadurch soll die Erkennung, Behandlung und Meldung des Vorfalls ermöglicht und gewährleistet werden.

Ein IKT-Vorfall (Art. 3 Nr. 8 DORA) ist ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.

Die Unternehmen müssen IKT-Vorfälle anhand der Vorgaben des Art. 18 Abs. 1 DORA klassifizieren. Ausgehend von der Klassifikation kann sich eine Meldepflicht gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als zuständige Aufsichtsbehörde ergeben. Bei schwerwiegenden IKT-Vorfällen ist die Meldung verpflichtend.

Zur Einstufung der IKT-Vorfälle wurde die Delegierte Verordnung (EU) 2024/1772 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfällen erlassen.

Digital Operational Resilience Testing, Art. 24-27 DORA

Als integraler Bestandteil des IKT-Risikomanagementrahmens müssen Finanzunternehmen ein Programm zur Testung der eigenen operativen Resilienz implementieren. Die zutreffenden Maßnahmen sind dabei abhängig von der Größe sowie dem Geschäfts- und Risikoprofil.

Die Maßnahmen werden in Art. 25 Abs. 1 DORA aufgelistet. Die Auflistung ist jedoch nur beispielhaft und nicht abschließend. Demnach sollen die Tests folgendes umfassen:

• Analyse von Schwachstellen
• Open-Source Analysen
• Lückenanalysen
• Netzwerksicherheitsbewertungen
• Überprüfungen der physischen Sicherheit
• Scans von Softwarelösungen
• Quellcodeüberprüfung
• ggf. szenariobasierte Test, Kompatibilitätstest, Leistungstests, End-to-End-Test, Penetrationstests

Finanzunternehmen müssen diese Tests einmal jährlich durchführen, sofern die betroffenen IKT-Systeme und -Anwendungen kritische oder wichtige Funktionen unterstützen. Kleinstunternehmen sind von dieser Pflicht ausgenommen.

Größere Finanzunternehmen werden gemäß Art. 26 Abs. 1 DORA überdies dazu verpflichtet, alle drei Jahre bedrohungsorientierte Penetrationstests durchzuführen. Die zuständige Behörde kann das Finanzunternehmen zudem zu einer geringeren oder höheren Frequenz der Tests verpflichten.

Informationsaustausch, Art. 45 DORA

Der Austausch von Informationen über Cybervorfälle zwischen Finanzunternehmen wird gefördert, um die Resilienz branchenweit zu stärken. Hiervon sollen auch Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools erfasst werden, soweit dieser Austausch von Informationen und Erkenntnissen:

• darauf abzielt, die digitale operationale Resilienz von Finanzunternehmen zu stärken, insbesondere indem für Cyberbedrohungen sensibilisiert, die Verbreitung von Cyberbedrohungen eingeschränkt oder verhindert wird und die Verteidigungsfähigkeiten, Techniken zur Erkennung von Bedrohungen, Abmilderungsstrategien oder Phasen der Reaktion und Wiederherstellung unterstützt werden
• innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgt
• durch Vereinbarungen über den Austausch von Informationen umgesetzt wird, die den potenziell sensiblen Charakter der ausgetauschten Informationen schützen und Verhaltensregeln unterliegen, in deren Rahmen die Wahrung des Geschäftsgeheimnisses, der Schutz personenbezogener Daten im Einklang mit der DSGVO und Leitlinien für die Wettbewerbspolitik vollumfänglich befolgt werden.

Welche Maßnahmen sollten Unternehmen jetzt einleiten, um sich auf DORA vorzubereiten?

Die EU-weit harmonisierten Anforderungen von DORA bedeuten, dass Finanzunternehmen einen einheitlichen Reifegrad in Bezug auf Cybersicherheit und operationelle Belastbarkeit für ihre gesamte Geschäftstätigkeit in der EU sicherstellen müssen.

Folgende Checkliste kann bei der systematischen Vorbereitung auf die DORA-Anforderungen unterstützen:

• DORA-Anwendbarkeit prüfen: Fällt das Unternehmen direkt unter DORA oder als IKT-Dienstleister?
• Prozesse und Verträge überprüfen: Bestehen bereits angemessene IKT-Risikomanagementprozesse? Sind die Verträge mit externen Dienstleistern DORA-konform?
• Krisen- und Notfallpläne entwickeln: Stellen Sie sicher, dass geeignete Krisenreaktionspläne vorhanden und getestet sind.
• Kontinuierliche Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für IKT-Risiken.

Wer ist im Unternehmen für die DORA-Compliance verantwortlich?

Die Verantwortung für die Einhaltung der DORA-Verordnung liegt primär bei der Unternehmensleitung. Durch DORA wurden die Pflichten und Aufgaben der Leitungsorgane der Finanzunternehmen deutlich ausgeweitet, Art. 5 Abs. 2 DORA. So werden ausreichende, aktuelle Kenntnisse und Fähigkeiten zu den zu managenden IKT-Risiken gefordert, Art. 5 Abs. 4 DORA. Die Delegation dieser Verantwortung ist stark eingeschränkt.

Obwohl die Auslagerung des IKT-Risikomanagements möglich ist, bleibt das Finanzunternehmen letztlich uneingeschränkt für die Sicherstellung des IKT-Risikomanagements verantwortlich. Finanzunternehmen müssen eine IKT-Risikokontrollfunktion ähnlich dem bereits bekannten Informationssicherheitsbeauftragten einführen, die die „Zuständigkeit für das Management und die Überwachung des IKT-Risikos“ übernimmt, Art. 6 Abs. 4 DORA.

Wie kann SRD Rechtsanwälte bei der Umsetzung der DORA-Verordnung unterstützen?

SRD-Rechtsanwälte bieten Ihnen unter anderem Unterstützung in spezifischen vertraglichen und regulatorischen Fragen im Zusammenhang mit DORA:

• Für Finanzinstitute: Wir prüfen bestehende Verträge auf DORA-Konformität und unterstützen Sie bei der Verhandlung neuer Verträge mit IKT-Dienstleistern.
• Für IKT-Dienstleister: Wir begleiten Dienstleister bei der Umsetzung der DORA-Vorgaben und helfen bei der Prüfung und Anpassung von Verträgen.
• Wir erarbeiten für Sie das notwendige DORA-Vertragswerk, um Ihr Unternehmen schnellstmöglich auf die Umsetzung der Anforderungen vorzubereiten.

Welche Sanktionen drohen bei Nicht-Einhaltung der DORA-Vorgaben?

DORA sieht keine unmittelbaren Geldbußen oder strafrechtlichen Sanktionen vor. Dies unterscheidet sie von Regelungen wie der DSGVO oder der NIS2-Richtlinie. Es liegt jedoch im Ermessen der EU-Mitgliedstaaten, in ihrem nationalen Recht Sanktionen für Verstöße gegen DORA vorzusehen. Ab Januar 2025 haben die europäischen Aufsichtsbehörden das Recht, Informationen anzufordern, Untersuchungen durchzuführen und Empfehlungen zur IKT-Sicherheit auszusprechen.

Welche Fristen gelten für die Implementierung der DORA-Anforderungen?

Die Anforderungen der Verordnung müssen bis zum 17. Januar 2025 vollständig umgesetzt sein. Unternehmen sollten rechtzeitig mit der Planung und Umsetzung beginnen, da die Umsetzung insbesondere bei komplexen Strukturen und Verträgen mit Drittparteien zeitintensiv sein kann.

Wie wird die Umsetzung der DORA-Verordnung überwacht und durchgesetzt?

Da es sich um eine Verordnung handelt, gilt DORA in den Mitgliedstaaten unmittelbar ohne weitere Umsetzungsakte. Im Rahmen der Umsetzung unterliegen Finanzunternehmen primär der Aufsicht durch die nationalen Aufsichtsbehörden. In Deutschland sind dies die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Bundesbank und auch die Europäische Zentralbank (EZB), die mit den EU-Behörden zusammenarbeiten.

Kritische Dienstleister außerhalb der EU unterliegen der direkten Aufsicht der europäischen Behörden. Verträge mit diesen Dienstleistern sollten daher besonders präzise formuliert sein, um den europäischen Vorgaben gerecht zu werden.

Unsere Einschätzung zur DORA-Verordnung

Die DORA-Verordnung stellt insbesondere die Unternehmensführung und das Vertragsmanagement vor große Herausforderungen. Der konkrete Umsetzungsaufwand hängt dabei stark von der Unternehmensgröße und dem Stand der bisherigen digitalen Resilienz ab. Trotz des Umsetzungsaufwands sehen wir DORA nicht nur als Herausforderung, sondern auch als Chance für Finanzunternehmen. Denn langfristig bietet DORA durch die Harmonisierung der Standards Vorteile, insbesondere für die IT-Sicherheit und die operative Resilienz im Finanzsektor.

Bei der Umsetzung empfiehlt es sich, DORA nicht isoliert, sondern im Kontext aller relevanten europarechtlichen Regelungen zu betrachten. Denn es ist denkbar, dass die Adressaten der Verordnung auch Adressaten anderer thematisch verwandter europäischer Rechtsakte sind. So kommt je nach Fallgestaltung beispielsweise auch die Anwendung der NIS 2-Richtlinie, der DSGVO, der KI-Verordnung oder des Cyber Resilience Act in Betracht. Wir empfehlen eine frühzeitige Umsetzung, um die Anforderungen fristgerecht zu erfüllen.

Unser Team von Expert:innen bietet Ihnen dabei professionelle Unterstützung. Kontaktieren Sie uns jetzt für ein unverbindliches Erstgespräch!