Vorläufige Einigung über den Digital Operational Resilience Act (DORA) auf EU-Ebene
Financial Services Newsflash
Financial Services Newsflash
Am 11. Mai 2022 haben die französische EU-Ratspräsidentschaft und das EU-Parlament eine vorläufige Einigung über den Digital Operational Resilience Act (DORA) erzielt. Diese bildet im Rahmen der Digital Finance Package einen Rechtsrahmen mit dem Hauptziel, Cyber-Bedrohungen zu verhindern und abzuschwächen, um eine digitale operationelle Resilienz der Finanzindustrie zu gewährleisten.
DORA als Teil des Pakets zur Digitalisierung des Finanzsektors legt einheitliche Anforderungen an die Sicherheit von Netzwerken und Informationssystemen von Unternehmen und Organisationen des Finanzsektors sowie von kritischen Dritten fest, die ihnen Dienste hinsichtlich Informations- und Kommunikationstechnologien (IKT) zur Verfügung stellen. Demzufolge ist zu gewährleisten, dass alle Teilnehmer am Finanzsystem notwendige Sicherheitsvorkehrungen treffen, um potenzielle Cyber-Angriffe sowie andere Risiken zu mindern.
So fordert DORA taugliche IKT-Risikomanagementfunktionen und eine harmonisierte Berichterstattung über wesentliche IKT-Vorfälle. Des Weiteren sollte eine Prüfung der digitalen Betriebsstabilität erfolgen, sowie ein entsprechendes Management des IKT-Drittrisikos durch Finanzunternehmen vorgenommen werden. Letztlich ist ein Informationstausch über Cyberbedrohungen zwischen den Finanzunternehmen erforderlich.
Die digitale operationelle Resilienz basiert auf einer Reihe von Grundprinzipien und -anforderungen, vor allem an das IKT-Risikomanagement, die sich an Standards, Leitlinien und Empfehlungen orientieren und spezifische IKT-Risikomanagementfunktionen (Identifizierung, Schutz und Prävention, Erkennung, Reaktion und Wiederherstellung, Lernprozess und Fortschritt sowie Kommunikation) behandeln.
Zusätzlich nimmt die Verordnung Änderungen in den bereits bestehenden Richtlinien Solvency II, AIFMD, IORP, MiFID II, PSD II und CRD IV vor, um bestimmte Anforderungen entsprechend DORA anzupassen. Dies unterstreicht abermals den breiten Anwendungsbereich des DORA-Rahmenwerks samt seiner umfangreichen materiellen Ausstrahlungswirkung.
Die zuständigen Europäischen Aufsichtsbehörden, also die ESAs ESMA, EBA und EIOPA werden anschließend technische Standards entwickeln, die von den verschiedenen Marktteilnehmern, also von Kreditinstituten, Zentralen Gegenparteien, Wertpapierverwahrstellen über Versicherungen bis hin zu Vermögensverwaltungen und Krypto-Asset-Dienstleistern, einzuhalten sind. Ausgenommen von diesen Vorschriften sind Wirtschaftsprüfer, die jedoch bei einer zukünftigen Überarbeitung dieser Regelung mit in den Anwendungsbereich aufgenommen werden können. Zudem ist auch vorgesehen, dass kritische Drittstaats-IKT-Dienstleister, die in der EU für Finanzunternehmen tätig sind, einen gesellschaftsrechtlichen Sitz, etwa in Form einer Tochtergesellschaft haben müssen, um so auch für sie die umfassende und ordnungsgemäße Aufsichtswirkung entfalten zu können.
Die zuständigen Aufsichtsbehörden haben ihre Aufsichts-, Ermittlungs- und Sanktionsbefugnisse jedenfalls wirksam und verhältnismäßig auszuüben.
Die DORA-Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Eine finale Version der EU-Primärgesetzgebung ist frühestens für 2023 zu erwarten.
Sie finden im Legislativvorschlag alle weiteren Informationen.
Unser Anliegen ist es, Sie stets auf dem neusten Informationsstand zu halten. Auch in herausfordernden Zeiten sind wir ein verlässlicher Partner für Sie und stehen mit Rat und Tat zur Seite. Wir unterstützen Sie gerne bei Fragestellungen und der Beratung in Bezug auf DORA in Ihrer Organisation.
