SBS Firmengruppe Logos

| IT-Recht

Die wichtigsten Fakten zur neuen DORA-Verordnung


Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act = DORA) wirft aktuell viele Fragen auf. Der EU-Gesetzgeber will damit ab dem 17. Januar 2025 eine finanzsektorweite Regulierung in den Bereichen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz schaffen. Wir bei SBS Legal schauen uns die wichtigsten Fakten zu dieser neuen Verordnung für Finanzunternehmen an.

Überblick

Die erste Herausforderung besteht bereits darin, sich einen Überblick über das Regelungsgeflecht der DORA zu verschaffen. Sie enthält 64 Artikel und schafft dabei weitreichende Änderungen, um Informations- und Kommunikationstechnologien (IKT) zu schützen.

Überblick: Wichtigste Regelungsbereiche

- IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)

- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)

- Testen der digitalen operationalen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)

- Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)

- Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)

- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)


IKT-Risikomanagement

Ein Kernbereich der DORA sind die Regelungen zum IKT-Risikomanagement in den Artikeln 5 bis 16. Zunächst werden an betroffene Finanzunternehmen im Bereich der Governance und Organisation neue Anforderungen gestellt. Sie müssen einen internen Governance- und Kontrollrahmen zur Gewährleistung eines umsichtigen Managements von IKT-Risiken schaffen. Dabei werden Kleinstunternehmen jedoch privilegiert – sie müssen weniger Maßnahmen treffen.


Das Leitungsorgan des Finanzunternehmens definiert, genehmigt, überwacht und verantwortet dabei die Umsetzung aller Vorkehrungen im Zusammenhang mit dem IKT-Risikomanagementrahmen. Ihm fallen auch wichtige Aufgaben wie die Gesamtverantwortung für die Festlegung und Genehmigung der Strategie für die digitale operationale Resilienz als auch die Zuweisung angemessener Budgetmittel für den IKT-Risikomanagementrahmen zu. Seine Mitglieder sollen außerdem ausreichende Kenntnisse und Fähigkeiten aktiv auf den neuesten Stand zu halten.

Der zweite Teil des IKT-Risikomanagements besteht darin, dass Finanzunternehmen gem. Art. 6 ff. DORA einen  soliden, umfassenden und gut dokumentierter sog. IKT-Risikomanagementrahmen schaffen sollen. Dieser setzt sich aus den Elementen

- Identifizierung,

- Schutz und Prävention,

-  Erkennung,

- Gegenmaßnahmen und Wiederherstellung,

- Lernen und

- Weiterentwicklung und Kommunikation

Zusammen. Dabei wird insgesamt ein Proportionalitätsgedanke berücksichtigt. Kleinere Unternehmen müssen weniger strenge Anforderungen erfüllen.

Behandlung, Klassifizierung und Berichterstattung

Kapitel III der DORA setzt sich mit der Behandlung, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen auseinander. Diese werden definiert als „ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.“ Finanzunternehmen müssen Systeme und Verfahren zur Erfassung solcher Vorfälle einbauen. Dazu gehört bspw. der Einsatz von Frühwarnindikatoren.

Außerdem sollen Vorfälle und Bedrohungen klassifiziert werden; die Kriterien hierfür gibt Art. 18 DORA vor. Cyberbedrohungen sollen auf der Grundlage der Kritikalität der risikobehafteten Dienste eingestuft werden. Schließlich sollen Vorfälle und Bedrohungen der zuständigen Behörde gemeldet werden. In Deutschland wird die Finanzaufsicht BaFin nationale Meldestelle für IKT-Vorfälle im Finanzsektor.

Testen der digitalen operationalen Resilienz

Finanzunternehmen sollen ein umfassenden Testprogramm einführen. Dieses soll eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Tools umfassen, die gemäß den Artikeln 25 und 26 anzuwenden sind. Ausnahmen im Hinblick auf das Testprogramm, nicht jedoch bezüglich der Testpflicht, gibt es für Kleinstunternehmen und für Finanzunternehmen, die in Artikel 16 (vereinfachter IKT-Risikomanagementrahmen) genannt sind.

Es werden also allgemeine Anforderungen für das Testen der digitalen operationalen Resilienz im Rahmen des Testprogramms von Finanzunternehmen aufgestellt. Darüber hinaus führt DORA jedoch für spezielle Finanzunternehmen erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von Threat-led Penetration Testing (TLPT) ein.

Management des IKT-Drittparteienrisikos

Der EU-Gesetzgeber hat auch berücksichtigt, dass zahlreiche Finanzunternehmen ihre Cyber-Sicherheit an Drittparteien auslagern. Die Unternehmen sollen diese Drittparteien daher nun genau überwachen, hierfür räumt DORA ihnen auch einige Rechte und Garantien ein.

So soll bereits vor Vertragsabschluss eine Ex-ante-Risikobewertung und Due-Diligence bzgl. des Drittanbieters erfolgen. Dabei sollen die Finanzunternehmen bspw. berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Außerdem sollen abgeschlossene IKT-Vertragsbeziehungen in ein Informationsregister eingetragen werden.

Überwachungsrahmen für kritische IKT-Drittdienstleister

Damit noch nicht genug bzgl. der IKT-Drittdienstleister. DORA ordnet in Art. 31 ff. den Aufbau eines europäischen Überwachungsrahmenwerks für kritische IKT-Drittdienstleister an, die auf dem Finanzmarkt tätig sind. Die Einstufung als kritisch orientiert sich dabei an Kriterien wie den systemischen Auswirkungen auf die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen, falls der betreffende IKT-Drittdienstleister bei der Erbringung seiner Dienste einer umfassenden Betriebsstörung ausgesetzt wäre.

Der Rahmen spielt sich unter den drei europäischen Aufsichtsbehörden EBA, ESMA und EIOPA ab. Sie dürfen die kritischen IKT-Drittdienstleister mit Sonderrechten überwachen – kommen diese ihren Pflichten nicht nach, können Zwangsgelder drohen. Finanziert wird das Überwachungsrahmenwerk durch Überwachungsgebühren, welche die kritischen IKT Drittdienstleister entrichten müssen.

Deutsche Umsetzung

In Deutschland laufen die größten Veränderungen im Finanzrecht auf das Gesetz über die Digitalisierung des Finanzmarktes, sog. Finanzmarktdigitalisierungsgesetz (FinmadiG) hinaus. Dieses soll die MiCAR, die Neufassung der EU-Geldtransferverordnung sowie das europäische DORA-Paket zusammengefasst durchführen bzw. umsetzen.

Dabei sind der deutsche Finanzsektor und die Aufsicht grundsätzlich in einer guten Startposition für die Anwendbarkeit von DORA ab 2025. Denn einzelne Instrumente, die die BaFin in der Vergangenheit bereits geschaffen hat, um die IKT-Sicherheit des deutschen Finanzsektors zu erhöhen, finden sich in DORA wieder.


SBS LEGAL – Ihre Kanzlei für das IT-Recht

IT-Recht steht für Informationstechnologierecht: Es handelt sich dabei um eine vielfältige Rechtsmaterie, die sich im stetigen Wandel befindet und untrennbar mit dem technischen Fortschritt der digitalen Welt verbunden ist. Neuste technische Entwicklungen müssen mit den bestehenden Gesetzen in Einklang gebracht werden. Cloud-Computing, Industrie 4.0, Big Data, Social-Media und Datenschutz sind nur einige der Themen, die das IT-Recht hervorbringt.

Da Informationstechnologie heutzutage in nahezu jedem Bereich unseres Lebens steckt, ist auch das IT-Recht sehr facettenreich. Eine klare Grenze lässt sich für dieses Rechtsgebiet nicht ziehen. Von Vertragsgestaltung zwischen App-Herstellern und Kunden, AGB-Prüfungen von Softwareanbietern oder auch Cyberangriffen kann alles dabei sein. Die fortschreitende Digitalisierung bringt immer neue Rechtsfragen in diesem Bereich hervor.

Haben Sie noch Fragen zum IT-Recht?

Sie brauchen eine Beratung für eine informationstechnische Fragestellung, bspw. zu der Frage, was die wichtigsten Fakten bezüglich der DORA-Verordnung sind? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht