DORA - Digital Operational Resilience Act

Der Digital Operationale Widerstandsakt - kurz DORA - ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft getreten ist und ab dem 17. Januar 2025 gilt. Er zielt darauf ab, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Investmentfirmen zu stärken und sicherzustellen, dass der Finanzsektor in Europa auch bei schwerwiegenden Betriebsstörungen widerstandsfähig bleibt. DORA harmonisiert die Vorschriften in Bezug auf die operationelle Widerstandsfähigkeit für den Finanzsektor und gilt für 20 verschiedene Arten von Finanzunternehmen und Drittanbieter von Informations- und Kommunikationstechnologien.

Für wen gilt DORA?

• Einlagenkreditinstitut (CRR)
• Zahlungsinstitute
• E-Geld-Institute
• Wertpapierfirmen
• Krypto-Dienstleister (MiCA)
• Zentralverwahrer (CSD)
• Zentrale Gegenparteien (CCP)
• Handelsplätze
• Transaktionsregister
• Verwaltungsgesellschaften
• Verwalter alternativer Investmentfonds (AIFM)
• Datenbereitstellungsdienste
• Versicherungsunternehmen
• Rückversicherungsunternehmen
• Versicherungsvermittler
• Berichtswesen (EbAVs)
• Ratingagenturen
• Verbriefungsregister
• Schwarm-finanzierungsdienstleister
• und Administratoren der genannten Einheiten

Ausgeschlossen sind: kleine Berichtsunternnehmungen, kleine und nicht verflochtene Wertpapierfirmen und Kleinstunternehmen

Warum wurde das DORA-Framework entworfen?

Der Finanzsektor ist zunehmend von Technologie und von Technologieunternehmen abhängig, um Finanzdienstleistungen anzubieten. Dies macht Finanzinstitute anfälliger für Cyber-Angriffe oder -vorfälle.

Wenn Risiken aus der Informations- und Kommunikationstechnik (ICT) nicht ordnungsgemäß gemanagt werden, können sie zu Störungen der grenzüberschreitenden Finanzdienstleistungen führen. Dies kann wiederum Auswirkungen auf andere Unternehmen, Branchen und sogar auf die gesamte Wirtschaft haben, was die Bedeutung der digitalen operativen Widerstandsfähigkeit des Finanzsektors unterstreicht.

Module des DORA-Frameworks

• Risikomanagement

• Risikomanagement von Dritten

• Digitales operatives Resilienz-Testing

• IT-Sicherheitsvorfälle

• Informationsaustausch

• Überwachung wichtiger Drittanbieter

DORA ermöglicht es auf nationaler Ebene, Ausnahmen vom Anwendungsbereich für bestimmte Bereiche festzulegen, wie zum Beispiel im Bereich der Förderinstitute.

Die finalen Entwürfe für das DORA-Framework sind auf der Webseite des ESMA zu finden.

Ziele von Dora

• Einführung einheitlicher und einheitlicher Standards für den gesamten Finanzsektor
• Verbesserung der Sicherheit und Widerstandsfähigkeit des gesamten europäischen Finanzsektors
• Berücksichtigung des Prinzips der Verhältnismäßigkeit bei der Festlegung von Anforderungen

Fazit

Das Idee von DORA ist es, die digitale Betriebsfähigkeit des Finanzsektors der EU zu stärken, indem die Informations- und Kommunikationstechnologie (IKT) der Finanzunternehmen sowie das Risikomanagement von Drittparteien und die Berichterstattung über IKT-Vorfälle verbessert werden.

Es ist wichtig, die Anforderungen zu verstehen und daraus den Handlungsbedarf und konkrete Maßnahmen abzuleiten, damit ein priorisierter Umsetzungsplan erstellt werden kann. Zum Beispiel können speziell entwickelte DORA-Check-up-Tools für die Analyse verwendet werden, welche eine Vielzahl an Informationen für jede Anforderung enthält, wie z.B. Schlüsselfragen und detaillierte Handlungsanforderungen. Dies bildet die Grundlage für die erfolgreiche Umsetzung von DORA im nächsten Schritt.