11.10.2024
DORA-Verordnung: Frist, Anwendungsbereich & Anforderungen
Mit der DORA-Verordnung (Digital Operational Resilience Act) kommen auf betroffene Unternehmen neue Verpflichtungen zu. Diese müssen Finanzunternehmen und kritische Dienstleister im Bereich der Informations- und Kommunikationstechnologie (IKT-Dienstleister) bis zum 17. Januar 2025 umgesetzt haben. Trotz der zweijährigen Vorbereitungszeit besteht dringender Handlungsbedarf, da zahlreiche Aspekte zu berücksichtigen, umzusetzen und zu dokumentieren sind. Wir erklären, wer genau von der Verordnung betroffen ist, welche neuen Pflichten gelten und was es zu beachten gibt.
Inhalt
- Was ist die DORA-Verordnung?
- Welche Organisationen und Unternehmen sind von der DORA-Verordnung betroffen?
- Welche Anforderungen stellt die DORA-Verordnung?
- Welche Maßnahmen sollten Unternehmen jetzt einleiten, um sich auf DORA vorzubereiten?
- Wer ist im Unternehmen für die DORA-Compliance verantwortlich?
- Wie kann SRD Rechtsanwälte bei der Umsetzung der DORA-Verordnung unterstützen?
- Welche Sanktionen drohen bei Nicht-Einhaltung der DORA-Vorgaben?
- Welche Fristen gelten für die Implementierung der DORA-Anforderungen?
- Wie wird die Umsetzung der DORA-Verordnung überwacht und durchgesetzt?
- Unsere Einschätzung zur DORA-Verordnung
Was ist die DORA-Verordnung?
Die DORA-Verordnung ist am 17. Januar 2023 in Kraft getreten und hat zum Ziel, die operationelle Widerstandsfähigkeit des europäischen Finanzsektors zu verbessern. Im Mittelpunkt steht die Harmonisierung der IT-Sicherheitsanforderungen, um den zunehmenden Cyberrisiken zu begegnen. Dazu wurden für den Finanzsektor einheitliche Anforderungen an Risikomanagementsysteme und an die Sicherheit der von den verpflichteten Unternehmen genutzten Netz- und Informationssysteme definiert.
DORA richtet sich an den Finanzsektor und genießt als spezielleres Gesetz im Finanzsektor Anwendungsvorrang gegenüber der Network and Information Security Directive (NIS2).
Welche Organisationen und Unternehmen sind von der DORA-Verordnung betroffen?
Die Anforderungen von DORA gelten sektorübergreifend im Wesentlichen für alle beaufsichtigten Institute und Unternehmen des Finanzsektors – also z.B. für Kredit-, Zahlungs- und E-Geld-Institute sowie Anbieter von Krypto-Dienstleistungen und Versicherungsunternehmen.
Neben den Unternehmen des Finanzsektors selbst betrifft die Verordnung (un)mittelbar auch Dienstleister im Bereich der Informations- und Kommunikationstechnologie (IKT). Zu den IKT-Dienstleistern zählen Unternehmen, die für Finanzunternehmen wesentliche Dienstleistungen wie Cloud Computing, Softwarebereitstellung, Datenanalyse und Rechenzentrumsdienstleistungen erbringen. DORA definiert IKT-Dienste als digitale Dienste und Datendienste, die dauerhaft über IKT-Systeme bereitgestellt werden.
Die Definition umfasst Hardware und damit verbundene Dienstleistungen, einschließlich technischer Unterstützung in Form von Software- oder Firmware-Updates. Herkömmliche analoge Telefondienste sind von dieser Definition ausgenommen. Erbringen diese Dienstleister kritische Dienstleistungen für ein Finanzunternehmen, unterliegen sie der direkten Aufsicht durch eine Aufsichtsbehörde.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
- Für Finanzinstitute: Wir prüfen bestehende Verträge auf DORA-Konformität und unterstützen Sie bei der Verhandlung neuer Verträge mit IKT-Dienstleistern.
- Für IKT-Dienstleister: Wir begleiten Dienstleister bei der Umsetzung der DORA-Vorgaben und helfen bei der Prüfung und Anpassung von Verträgen.
- Wir erarbeiten für Sie das notwendige DORA-Vertragswerk, um Ihr Unternehmen schnellstmöglich auf die Umsetzung der Anforderungen vorzubereiten.
Welche Anforderungen stellt die DORA-Verordnung?
DORA stellt detaillierte Anforderungen an das IKT-Risikomanagement und die Verträge mit IKT-Dienstleistern. Fünf zentrale Bereiche sind besonders relevant:
- IKT-Risikomanagement (Art. 5-16 DORA)
- IKT-Drittparteienmanagement (Art. 28-44 DORA)
- Management von IKT-Vorfällen (Art. 17-23 DORA)
- Digital Operational Resilience Testing (Art. 24-27 DORA)
- Informationsaustausch (Art. 45 DORA)
IKT-Risikomanagement, Art. 5-16 DORA
Das IKT-Risikomanagement ist das Kernelement von DORA. Zusammenfassend lässt sich festhalten, dass Unternehmen eine Strategie zur digitalen Resilienz entwickeln und regelmäßig überprüfen müssen. Dazu gehört die Bewertung von Risiken im Zusammenhang mit neuen Technologien aber auch mit Altsystemen. Zudem muss die Unternehmensleitung aktiv in die Kontrolle und Steuerung der IKT-Risiken eingebunden werden. Die Dokumentation und Meldung von IKT-bezogenen Vorfällen ist ebenfalls verpflichtend.
Nach Art 5 Abs. 1 DORA müssen Finanzunternehmen zunächst über einen internen Governance- und Kontrollrahmen verfügen, der ein wirksames und umsichtiges Management von IKT-Risiken gewährleistet. Um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen DORA führt in Art. 6 Abs. 8 DORA eine „DOR-Strategie“ ein. Auch werden die Leitungsorgane dazu verpflichtet, ihre Kenntnisse und Fähigkeiten im Hinblick auf die zu managenden IKT-Risiken stets auf dem neuesten Stand zu halten, etwa durch regelmäßige Schulungen.
Das IKT-Risikomanagement muss nach Art. 6 Abs. 1 DORA in einen Risikomanagementrahmen eingebettet werden, der einmal jährlich bzw. bei Kleinstunternehmen regelmäßig dokumentiert und überprüft werden muss.
Daneben sieht das IKT-Risikomanagement unter anderem folgendes umfassen:
- Aufstellen von Strategien, Richt- und Leitlinien, Verfahren sowie IKT-Protokolle und -Tools, die um Schutz aller Informations- und IKT-Assets erforderlich sind.
- Untersuchung der Ursachen und möglicher Verbesserungen nach schwerwiegenden IKT-bezogenen Vorfällen mit Störungen von Haupttätigkeiten
- Risikobewertung für IKT-Altsysteme (Art. 8 Abs. 7 i.V.m. Art. 3 Nr. 3 DORA) jährlich und vor und nach dem Anschluss von Technologien, Anwendungen oder Systemen
- Bericht der IKT-Mitarbeiter:innen an Leitungsorgan über Vorfälle, Tests und entsprechende Empfehlungen (Art. 13 Abs. 5 DORA)
Management von Drittparteien, Art. 28-44 DORA
Ein weiterer Aspekt des Risikomanagements ist das IKT-Drittparteienrisikomanagement. Die Verordnung will damit potenziellen System- und Konzentrationsrisiken, die aus der Abhängigkeit des Finanzsektors von einigen wenigen IKT-Dienstleistern erwachsen, entgegenwirken.
Im Mittelpunkt des IKT-Drittparteienrisikomanagements stehen detaillierte Anforderungen an Outsourcing-Verträge zwischen Finanzunternehmen und externen IKT-Dienstleistern. Verträge mit externen IKT-Dienstleistern müssen Mindestanforderungen erfüllen, um sicherzustellen, dass diese den hohen Sicherheitsanforderungen von DORA genügen. In Art. 30 DORA wird der Mindestvertragsinhalt verbindlich festgelegt. Die Anforderungen sollen sicherstellen, dass alle externen Dienstleistungen, die von diesen Dienstleistern erbracht werden, den hohen Sicherheits- und Resilienzanforderungen der Verordnung entsprechen.
Dabei ist zu beachten, dass für IKT-Dienstleister, die kritische oder wichtige Funktionen erbringen, noch strengere Anforderungen gelten. Die Verträge müssen mindestens folgenden Inhalt aufweisen:
Mindestinhalt für alle IKT-Dienstleisterverträge | Zusätzlich bei kritischen oder wichtigen IKT-Diensten |
---|---|
Dienstleistungsbeschreibung, Qualität und Sicherheitsbestimmungen | Dienstleistungsgüte und Leistungsziele |
Unterauftragsvergabe und Datenverarbeitung | Sicherheits- und Resilienzverpflichtungen |
Zusammenarbeit, Unterstützung und Schulungen | Vertragsbedingungen und Berichtspflichten, inklusive Exit-Strategie |
Kündigungsrechte und Datenzugang | Überwachungs- und Kontrollrechte |
Management von IKT-Vorfällen, Art. 17-23 DORA
Die Finanzunternehmen sind verpflichtet, einen Prozess für den Umgang mit IKT-Vorfällen zu bestimmen. Dadurch soll die Erkennung, Behandlung und Meldung des Vorfalls ermöglicht und gewährleistet werden.
Ein IKT-Vorfall (Art. 3 Nr. 8 DORA) ist ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.
Die Unternehmen müssen IKT-Vorfälle anhand der Vorgaben des Art. 18 Abs. 1 DORA klassifizieren. Ausgehend von der Klassifikation kann sich eine Meldepflicht gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als zuständige Aufsichtsbehörde ergeben. Bei schwerwiegenden IKT-Vorfällen ist die Meldung verpflichtend.
Zur Einstufung der IKT-Vorfälle wurde die Delegierte Verordnung (EU) 2024/1772 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfällen erlassen.
Digital Operational Resilience Testing, Art. 24-27 DORA
Als integraler Bestandteil des IKT-Risikomanagementrahmens müssen Finanzunternehmen ein Programm zur Testung der eigenen operativen Resilienz implementieren. Die zutreffenden Maßnahmen sind dabei abhängig von der Größe sowie dem Geschäfts- und Risikoprofil.
Die Maßnahmen werden in Art. 25 Abs. 1 DORA aufgelistet. Die Auflistung ist jedoch nur beispielhaft und nicht abschließend. Demnach sollen die Tests folgendes umfassen:
- Analyse von Schwachstellen
- Open-Source Analysen
- Lückenanalysen
- Netzwerksicherheitsbewertungen
- Überprüfungen der physischen Sicherheit
- Scans von Softwarelösungen
- Quellcodeüberprüfung
- ggf. szenariobasierte Test, Kompatibilitätstest, Leistungstests, End-to-End-Test, Penetrationstests
Finanzunternehmen müssen diese Tests einmal jährlich durchführen, sofern die betroffenen IKT-Systeme und -Anwendungen kritische oder wichtige Funktionen unterstützen. Kleinstunternehmen sind von dieser Pflicht ausgenommen.
Größere Finanzunternehmen werden gemäß Art. 26 Abs. 1 DORA überdies dazu verpflichtet, alle drei Jahre bedrohungsorientierte Penetrationstests durchzuführen. Die zuständige Behörde kann das Finanzunternehmen zudem zu einer geringeren oder höheren Frequenz der Tests verpflichten.
Informationsaustausch, Art. 45 DORA
Der Austausch von Informationen über Cybervorfälle zwischen Finanzunternehmen wird gefördert, um die Resilienz branchenweit zu stärken. Hiervon sollen auch Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools erfasst werden, soweit dieser Austausch von Informationen und Erkenntnissen:
- darauf abzielt, die digitale operationale Resilienz von Finanzunternehmen zu stärken, insbesondere indem für Cyberbedrohungen sensibilisiert, die Verbreitung von Cyberbedrohungen eingeschränkt oder verhindert wird und die Verteidigungsfähigkeiten, Techniken zur Erkennung von Bedrohungen, Abmilderungsstrategien oder Phasen der Reaktion und Wiederherstellung unterstützt werden
- innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgt
- durch Vereinbarungen über den Austausch von Informationen umgesetzt wird, die den potenziell sensiblen Charakter der ausgetauschten Informationen schützen und Verhaltensregeln unterliegen, in deren Rahmen die Wahrung des Geschäftsgeheimnisses, der Schutz personenbezogener Daten im Einklang mit der DSGVO und Leitlinien für die Wettbewerbspolitik vollumfänglich befolgt werden.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
- Für Finanzinstitute: Wir prüfen bestehende Verträge auf DORA-Konformität und unterstützen Sie bei der Verhandlung neuer Verträge mit IKT-Dienstleistern.
- Für IKT-Dienstleister: Wir begleiten Dienstleister bei der Umsetzung der DORA-Vorgaben und helfen bei der Prüfung und Anpassung von Verträgen.
- Wir erarbeiten für Sie das notwendige DORA-Vertragswerk, um Ihr Unternehmen schnellstmöglich auf die Umsetzung der Anforderungen vorzubereiten.
Welche Maßnahmen sollten Unternehmen jetzt einleiten, um sich auf DORA vorzubereiten?
Die EU-weit harmonisierten Anforderungen von DORA bedeuten, dass Finanzunternehmen einen einheitlichen Reifegrad in Bezug auf Cybersicherheit und operationelle Belastbarkeit für ihre gesamte Geschäftstätigkeit in der EU sicherstellen müssen.
Folgende Checkliste kann bei der systematischen Vorbereitung auf die DORA-Anforderungen unterstützen:
- DORA-Anwendbarkeit prüfen: Fällt das Unternehmen direkt unter DORA oder als IKT-Dienstleister?
- Prozesse und Verträge überprüfen: Bestehen bereits angemessene IKT-Risikomanagementprozesse? Sind die Verträge mit externen Dienstleistern DORA-konform?
- Krisen- und Notfallpläne entwickeln: Stellen Sie sicher, dass geeignete Krisenreaktionspläne vorhanden und getestet sind.
- Kontinuierliche Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter regelmäßig für IKT-Risiken.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Wer ist im Unternehmen für die DORA-Compliance verantwortlich?
Die Verantwortung für die Einhaltung der DORA-Verordnung liegt primär bei der Unternehmensleitung. Durch DORA wurden die Pflichten und Aufgaben der Leitungsorgane der Finanzunternehmen deutlich ausgeweitet, Art. 5 Abs. 2 DORA. So werden ausreichende, aktuelle Kenntnisse und Fähigkeiten zu den zu managenden IKT-Risiken gefordert, Art. 5 Abs. 4 DORA. Die Delegation dieser Verantwortung ist stark eingeschränkt.
Obwohl die Auslagerung des IKT-Risikomanagements möglich ist, bleibt das Finanzunternehmen letztlich uneingeschränkt für die Sicherstellung des IKT-Risikomanagements verantwortlich. Finanzunternehmen müssen eine IKT-Risikokontrollfunktion ähnlich dem bereits bekannten Informationssicherheitsbeauftragten einführen, die die „Zuständigkeit für das Management und die Überwachung des IKT-Risikos“ übernimmt, Art. 6 Abs. 4 DORA.
Wie kann SRD Rechtsanwälte bei der Umsetzung der DORA-Verordnung unterstützen?
SRD-Rechtsanwälte bieten Ihnen unter anderem Unterstützung in spezifischen vertraglichen und regulatorischen Fragen im Zusammenhang mit DORA:
- Für Finanzinstitute: Wir prüfen bestehende Verträge auf DORA-Konformität und unterstützen Sie bei der Verhandlung neuer Verträge mit IKT-Dienstleistern.
- Für IKT-Dienstleister: Wir begleiten Dienstleister bei der Umsetzung der DORA-Vorgaben und helfen bei der Prüfung und Anpassung von Verträgen.
- Wir erarbeiten für Sie das notwendige DORA-Vertragswerk, um Ihr Unternehmen schnellstmöglich auf die Umsetzung der Anforderungen vorzubereiten.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Welche Sanktionen drohen bei Nicht-Einhaltung der DORA-Vorgaben?
DORA sieht keine unmittelbaren Geldbußen oder strafrechtlichen Sanktionen vor. Dies unterscheidet sie von Regelungen wie der DSGVO oder der NIS2-Richtlinie. Es liegt jedoch im Ermessen der EU-Mitgliedstaaten, in ihrem nationalen Recht Sanktionen für Verstöße gegen DORA vorzusehen. Ab Januar 2025 haben die europäischen Aufsichtsbehörden das Recht, Informationen anzufordern, Untersuchungen durchzuführen und Empfehlungen zur IKT-Sicherheit auszusprechen.
Welche Fristen gelten für die Implementierung der DORA-Anforderungen?
Die Anforderungen der Verordnung müssen bis zum 17. Januar 2025 vollständig umgesetzt sein. Unternehmen sollten rechtzeitig mit der Planung und Umsetzung beginnen, da die Umsetzung insbesondere bei komplexen Strukturen und Verträgen mit Drittparteien zeitintensiv sein kann.
Wie wird die Umsetzung der DORA-Verordnung überwacht und durchgesetzt?
Da es sich um eine Verordnung handelt, gilt DORA in den Mitgliedstaaten unmittelbar ohne weitere Umsetzungsakte. Im Rahmen der Umsetzung unterliegen Finanzunternehmen primär der Aufsicht durch die nationalen Aufsichtsbehörden. In Deutschland sind dies die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Bundesbank und auch die Europäische Zentralbank (EZB), die mit den EU-Behörden zusammenarbeiten.
Kritische Dienstleister außerhalb der EU unterliegen der direkten Aufsicht der europäischen Behörden. Verträge mit diesen Dienstleistern sollten daher besonders präzise formuliert sein, um den europäischen Vorgaben gerecht zu werden.
Unsere Einschätzung zur DORA-Verordnung
Die DORA-Verordnung stellt insbesondere die Unternehmensführung und das Vertragsmanagement vor große Herausforderungen. Der konkrete Umsetzungsaufwand hängt dabei stark von der Unternehmensgröße und dem Stand der bisherigen digitalen Resilienz ab. Trotz des Umsetzungsaufwands sehen wir DORA nicht nur als Herausforderung, sondern auch als Chance für Finanzunternehmen. Denn langfristig bietet DORA durch die Harmonisierung der Standards Vorteile, insbesondere für die IT-Sicherheit und die operative Resilienz im Finanzsektor.
Bei der Umsetzung empfiehlt es sich, DORA nicht isoliert, sondern im Kontext aller relevanten europarechtlichen Regelungen zu betrachten. Denn es ist denkbar, dass die Adressaten der Verordnung auch Adressaten anderer thematisch verwandter europäischer Rechtsakte sind. So kommt je nach Fallgestaltung beispielsweise auch die Anwendung der NIS 2-Richtlinie, der DSGVO, der KI-Verordnung oder des Cyber Resilience Act in Betracht. Wir empfehlen eine frühzeitige Umsetzung, um die Anforderungen fristgerecht zu erfüllen.
Unser Team von Expert:innen bietet Ihnen dabei professionelle Unterstützung. Kontaktieren Sie uns jetzt für ein unverbindliches Erstgespräch!
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
- Für Finanzinstitute: Wir prüfen bestehende Verträge auf DORA-Konformität und unterstützen Sie bei der Verhandlung neuer Verträge mit IKT-Dienstleistern.
- Für IKT-Dienstleister: Wir begleiten Dienstleister bei der Umsetzung der DORA-Vorgaben und helfen bei der Prüfung und Anpassung von Verträgen.
- Wir erarbeiten für Sie das notwendige DORA-Vertragswerk, um Ihr Unternehmen schnellstmöglich auf die Umsetzung der Anforderungen vorzubereiten.
Inhalt
- Was ist die DORA-Verordnung?
- Welche Organisationen und Unternehmen sind von der DORA-Verordnung betroffen?
- Welche Anforderungen stellt die DORA-Verordnung?
- Welche Maßnahmen sollten Unternehmen jetzt einleiten, um sich auf DORA vorzubereiten?
- Wer ist im Unternehmen für die DORA-Compliance verantwortlich?
- Wie kann SRD Rechtsanwälte bei der Umsetzung der DORA-Verordnung unterstützen?
- Welche Sanktionen drohen bei Nicht-Einhaltung der DORA-Vorgaben?
- Welche Fristen gelten für die Implementierung der DORA-Anforderungen?
- Wie wird die Umsetzung der DORA-Verordnung überwacht und durchgesetzt?
- Unsere Einschätzung zur DORA-Verordnung
Unsere Experten zum Thema
Weitere Neuigkeiten
04.11.2024
EuGH-Urteil zu irreführender Rabattwerbung: Bedeutung für den Handel
11.10.2024
DORA-Verordnung: Frist, Anwendungsbereich & Anforderungen
07.10.2024