• 1000

Der Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung, die im Januar 2023 in Kraft getreten ist. Sie ist Teil des digitalen Finanzpakets der EU-Kommission mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen. Es soll sichergestellt werden, dass Finanzmarktteilnehmer auch bei größeren Vorfällen, die die  Informations- und Kommunikationstechnologie (IKT) betreffen, sicher und zuverlässig weiterarbeiten.

Für von der Verordnung betroffene Unternehmen gilt für die vollständige Umsetzung der Verordnung eine Übergangsfrist bis Januar 2025. 

Die neuen Anforderungen an die Sicherheit der IKT, die operative Widerstandsfähigkeit ebenso wie Meldepflichten bei zum Beispiel Cyberangriffen, werden im Folgenden erläutert.

Anforderungen & aktuelle Entwicklungen

DORA legt großen Wert auf die Gesamtverantwortung des Leitungsorgans für die digitale Betriebsstabilität. Das Management muss dafür sorgen, dass das Unternehmen ausreichend vor IKT-Störungen und Cyberangriffen geschützt ist.

DORA sieht dafür ein ganzheitliches IKT-Risikomanagement-Rahmenwerk als grundlegend für die Schaffung resilienter Finanzunternehmen vor. Dieses befähigt, IKT-Risiken zu identifizieren, zu bewerten, zu steuern und zu überwachen.

Ein Beispiel für die Umsetzung der DORA-Anforderungen ist die Etablierung von widerstandsfähigen IKT-Systemen nach einem einheitlichen Standard im gesamteuropäischen Wirtschaftsraum. 

Finanzunternehmen müssen sicherstellen, dass ihre IT-Systeme und -Prozesse in der Lage sind, potenzielle Bedrohungen schnell und effektiv zu erkennen und darauf zu reagieren.

Um die Reaktionsfähigkeit zu erhöhen, spezifiziert DORA unter anderem Anforderungen an Prozesse und Systeme zur umgehenden Erkennung und Abwehr potenzieller Gefährdungen. 

Ein Beispiel für die Umsetzung dieser Anforderung ist die automatische Netzwerkisolierung im Falle von Cyberangriffen. Dadurch wird das Risiko von Datenverlusten oder Systemausfällen minimiert und die Wiederherstellung des Normalbetriebs erleichtert.

Eine weitere DORA-Anforderung ist es, die Meldepflichten für schwerwiegende IKT-Vorfälle in der gesamten europäischen Finanzindustrie zu vereinheitlichen. Dies soll dazu beitragen, die Reaktion auf solche Vorfälle zu verbessern und eine effektive Zusammenarbeit zwischen den nationalen und europäischen Behörden zu gewährleisten. 

Ein Beispiel für die Umsetzung dieser Anforderung ist die Einführung einheitlicher Verfahren zur Überwachung, Klassifizierung und Meldung von IKT-Vorfällen an die zuständigen Behörden.

Die regelmäßige Überprüfung der Betriebsstabilität und Sicherheit von kritischen IT-Systemen ist von entscheidender Bedeutung für den reibungslosen Betrieb von Finanzunternehmen. Um sicherzustellen, dass mögliche IKT-Störungen erkannt und behoben werden, wird ein risikobasierter Testansatz gefordert.

Ein Beispiel für die Umsetzung dieser Anforderung ist die Durchführung von Penetrationstests an Live-Produktionssystemen mindestens alle drei Jahre. Dabei werden gezielt Schwachstellen im System gesucht, um potenzielle Angriffsvektoren zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen.

DORA soll Finanzunternehmen eine effektive Überwachung der Risiken durch IKT-Drittanbieter ermöglichen. Dies ist insbesondere deshalb wichtig, da immer mehr Finanzunternehmen auf die Dienstleistungen von Drittanbietern für ihre IT-Systeme und -Prozesse angewiesen sind.

Ein Beispiel für die Umsetzung dieser Anforderung ist die Einführung von Strafzahlungen und neuen Kündigungsoptionen für IKT-Drittanbieter, die Anforderungen der DORA-Verordnung nicht einhalten. Durch diese Maßnahmen werden Finanzunternehmen in die Lage versetzt, eine solide Überwachung des Risikos durch IKT-Drittanbieter sicherzustellen.

DORA beinhaltet auch die Konkretisierung der Anforderungen seitens der ESAs (European Supervisory Authorities) durch technische Regulierungs- und Implementierungs- bzw. Durchfühurungsstandards (RTS/ITS).

Die nachfolgende Grafik zeigt nach DORA-Kapiteln gegliedert die Übersicht und Zeitleiste der in der ersten Runde bereitgestellten (pink) und in der nächsten Runde noch anstehenden (blau) Konkretisierungen. Die aktuelle öffentliche Konsultationsphase der ersten Runde läuft seit dem 19.6.2023 bis zum 11.9.2023. Die Europäische Kommission soll dann bis zum 17.1.2024 die überarbeiteten Entwürfe erhalten. Die RTS/ITS der zweiten Runde zur öffentlichen Konsultation werden Ende November/Anfang Dezember 2023 erwartet:

Herausforderungen für Kund:innen

Die Einführung der DORA-Verordnung kann für Finanzunternehmen eine Reihe von Herausforderungen mit sich bringen, da diese möglicherweise nicht ausreichend auf die Umsetzung der neuen Anforderungen vorbereitet sind. 

Um den Anforderungen gerecht zu werden und die Geschäftstätigkeit weiterhin angemessen und erfolgreich auszuüben, müssen IKT-Systeme auf den neuesten Stand gebracht, Prozesse optimiert und Mitarbeitende geschult werden. 

Rechtliche Aspekte

Mit Blick auf das Vertragsmanagement bestimmt DORA unter anderem Anforderungen an Verträge mit IKT-Drittparteien, die in das Vertragsmanagement der Finanzunternehmen Eingang finden müssen. In der Umsetzung gilt es daher (Bestands-) Verträge zu kategorisieren, Soll-Anforderungen festzulegen, Gap-Analysen durchzuführen und potentielle Lücken zu schließen.

Weiterhin verändert DORA die Anforderungen an die Verantwortung und Haftungsrisiken der Unternehmen und Geschäftsleiter im Hinblick auf IKT-Drittrisiken. Hier gilt es Beispielsweise den Umfang und die Bedingungen des Versicherungsschutzes zu überprüfen und ggfs. anzupassen.

So unterstützt Sie KPMG

  • KPMG verfügt über ein umfassendes fachliches Repertoire bezüglich aller relevanten Disziplinen im Bereich der DORA-Verordnung, einschließlich Managementberatung, ISM (Information Security Management), IRM (Information Risk Management), BCM (Business Continuity Management), Outsourcing und Cloud-Lösungen. Wir sind darauf spezialisiert, unsere Kund:innen in allen Belangen dieser Disziplinen zu beraten und zu unterstützen.
  • Wir verfügen über ein tiefes Verständnis für Prozesse, Risiken und Kontrollen sowie Governance-Strukturen. Unsere Expertise und unser Know-how ermöglichen es uns, unsere Kund:innen bei der Implementierung von effektiven Kontrollmechanismen und Risikomanagement-Strategien zu unterstützen.
  • Unsere umfangreiche Projekterfahrung mit Unternehmen der Branche hat uns wertvolle Einblicke und Erkenntnisse verschafft, die uns helfen, Herausforderungen und Anforderungen unserer Kund:innen besser zu verstehen. Mit unserem bewährten Vorgehensmodell setzen wir diese Erkenntnisse gezielt ein und entwickeln maßgeschneiderte Lösungen, optimal zugeschnitten auf die individuellen Bedürfnisse unserer Kund:innen.
  • Wir profitieren von einem direkten Zugang zu weltweiter Expertise und Erfahrung durch unser Unternehmensnetzwerk. Wir arbeiten eng mit unseren internationalen Teams zusammen und können auf ein breites Spektrum an Erfahrung und Fachwissen zugreifen, das speziell auf den Finanzsektor zugeschnitten ist. 
  • Neben unserer fachlichen und methodischen Expertise bieten wir außerdem Know-how für die Umsetzung von Tools. Wir unterstützen unsere Kund:innen bei der Implementierung von marktüblichen GRC-Tools, um Risiken und Kontrollen effizient zu managen und zu steuern. Darüber hinaus bieten wir Tools für das effektive Management von Drittanbietern und deren Verträgen im Bereich Informationstechnologie (IKT).

Publikationen

Ihre Ansprechpersonen

Dr. Matthias Henke

Dr. Matthias Henke*

Partner, Legal Financial Services
KPMG Law Rechtsanwaltsgesellschaft mbH
+49 174 9044502
Kontaktformular

Dr. Frank Püttgen

Dr. Frank Püttgen*

Senior Manager, Legal Financial Services
KPMG Law Rechtsanwaltsgesellschaft mbH
+49 151 55109012
Kontaktformular

*Die Rechtsdienstleistungen werden durch die KPMG Law Rechtsanwaltsgesellschaft mbH erbracht.