Der Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung, die im Januar 2023 in Kraft getreten ist. Sie ist Teil des digitalen Finanzpakets der EU-Kommission mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen. Es soll sichergestellt werden, dass Finanzmarktteilnehmer auch bei größeren Vorfällen, die die Informations- und Kommunikationstechnologie (IKT) betreffen, sicher und zuverlässig weiterarbeiten.
Für von der Verordnung betroffene Unternehmen gilt für die vollständige Umsetzung der Verordnung eine Übergangsfrist bis Januar 2025.
Die neuen Anforderungen an die Sicherheit der IKT, die operative Widerstandsfähigkeit ebenso wie Meldepflichten bei zum Beispiel Cyberangriffen, werden im Folgenden erläutert.
Anforderungen & aktuelle Entwicklungen
DORA beinhaltet auch die Konkretisierung der Anforderungen seitens der ESAs (European Supervisory Authorities) durch technische Regulierungs- und Implementierungs- bzw. Durchfühurungsstandards (RTS/ITS).
Die nachfolgende Grafik zeigt nach DORA-Kapiteln gegliedert die Übersicht und Zeitleiste der in der ersten Runde bereitgestellten (pink) und in der nächsten Runde noch anstehenden (blau) Konkretisierungen. Die aktuelle öffentliche Konsultationsphase der ersten Runde läuft seit dem 19.6.2023 bis zum 11.9.2023. Die Europäische Kommission soll dann bis zum 17.1.2024 die überarbeiteten Entwürfe erhalten. Die RTS/ITS der zweiten Runde zur öffentlichen Konsultation werden Ende November/Anfang Dezember 2023 erwartet:
Herausforderungen für Kund:innen
Die Einführung der DORA-Verordnung kann für Finanzunternehmen eine Reihe von Herausforderungen mit sich bringen, da diese möglicherweise nicht ausreichend auf die Umsetzung der neuen Anforderungen vorbereitet sind.
Um den Anforderungen gerecht zu werden und die Geschäftstätigkeit weiterhin angemessen und erfolgreich auszuüben, müssen IKT-Systeme auf den neuesten Stand gebracht, Prozesse optimiert und Mitarbeitende geschult werden.
Rechtliche Aspekte
Mit Blick auf das Vertragsmanagement bestimmt DORA unter anderem Anforderungen an Verträge mit IKT-Drittparteien, die in das Vertragsmanagement der Finanzunternehmen Eingang finden müssen. In der Umsetzung gilt es daher (Bestands-) Verträge zu kategorisieren, Soll-Anforderungen festzulegen, Gap-Analysen durchzuführen und potentielle Lücken zu schließen.
Weiterhin verändert DORA die Anforderungen an die Verantwortung und Haftungsrisiken der Unternehmen und Geschäftsleiter im Hinblick auf IKT-Drittrisiken. Hier gilt es Beispielsweise den Umfang und die Bedingungen des Versicherungsschutzes zu überprüfen und ggfs. anzupassen.
So unterstützt Sie KPMG
- KPMG verfügt über ein umfassendes fachliches Repertoire bezüglich aller relevanten Disziplinen im Bereich der DORA-Verordnung, einschließlich Managementberatung, ISM (Information Security Management), IRM (Information Risk Management), BCM (Business Continuity Management), Outsourcing und Cloud-Lösungen. Wir sind darauf spezialisiert, unsere Kund:innen in allen Belangen dieser Disziplinen zu beraten und zu unterstützen.
- Wir verfügen über ein tiefes Verständnis für Prozesse, Risiken und Kontrollen sowie Governance-Strukturen. Unsere Expertise und unser Know-how ermöglichen es uns, unsere Kund:innen bei der Implementierung von effektiven Kontrollmechanismen und Risikomanagement-Strategien zu unterstützen.
- Unsere umfangreiche Projekterfahrung mit Unternehmen der Branche hat uns wertvolle Einblicke und Erkenntnisse verschafft, die uns helfen, Herausforderungen und Anforderungen unserer Kund:innen besser zu verstehen. Mit unserem bewährten Vorgehensmodell setzen wir diese Erkenntnisse gezielt ein und entwickeln maßgeschneiderte Lösungen, optimal zugeschnitten auf die individuellen Bedürfnisse unserer Kund:innen.
- Wir profitieren von einem direkten Zugang zu weltweiter Expertise und Erfahrung durch unser Unternehmensnetzwerk. Wir arbeiten eng mit unseren internationalen Teams zusammen und können auf ein breites Spektrum an Erfahrung und Fachwissen zugreifen, das speziell auf den Finanzsektor zugeschnitten ist.
- Neben unserer fachlichen und methodischen Expertise bieten wir außerdem Know-how für die Umsetzung von Tools. Wir unterstützen unsere Kund:innen bei der Implementierung von marktüblichen GRC-Tools, um Risiken und Kontrollen effizient zu managen und zu steuern. Darüber hinaus bieten wir Tools für das effektive Management von Drittanbietern und deren Verträgen im Bereich Informationstechnologie (IKT).
Publikationen
Blogbeiträge
Webcasts
Weitere interessante Inhalte für Sie
Ihre Ansprechpersonen
Nadine Schmitz
Partner, Financial Services
KPMG AG Wirtschaftsprüfungsgesellschaft
Peter Hertlein
Partner, Financial Services, IT Compliance & Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Partner, Legal Financial Services
KPMG Law Rechtsanwaltsgesellschaft mbH
+49 174 9044502
Kontaktformular
Senior Manager, Legal Financial Services
KPMG Law Rechtsanwaltsgesellschaft mbH
+49 151 55109012
Kontaktformular
*Die Rechtsdienstleistungen werden durch die KPMG Law Rechtsanwaltsgesellschaft mbH erbracht.