SBS Firmengruppe Logos

| Compliance, IT-Recht

DORA - Die digitale Betriebssicherheit im Finanzsektor


Mit der Einführung von DORA, der Verordnung (EU) 2022/2554 über digitale operationale Resilienz im Finanzsektor, hat die Europäische Union einen umfassenden Rechtsrahmen geschaffen, der sich auf Cybersicherheit, Risiken der Informations- und Kommunikationstechnologie (IKT) und die digitale operationale Resilienz im Finanzwesen fokussiert. Diese Regelung ist von zentraler Bedeutung, um den europäischen Finanzmarkt gegenüber Bedrohungen durch Cybervorfälle und Probleme in der IKT zu wappnen. Praktisch alle unter die Aufsicht fallenden Finanzinstitute und -unternehmen der EU sind von DORA betroffen und müssen den Anforderungen gerecht werden.

Das DORA-Regelwerk trat am 17. Januar 2023 in Kraft und wird ab dem 17. Januar 2025 zur Anwendung kommen. In dem Finanzmarktdigitalisierungsgesetz (FinmadiG) werden Regelungen verschiedener Verordnungen, darunter auch DORA, in das nationale Recht umgesetzt und integriert.

Umsetzung durch Aufsichtsbehörden

Die drei wichtigsten Aufsichtsbehörden der Europäischen Union sind die ESMA (EU-Wertpapieraufsichtsbehörde), EBA (EU-Bankenaufsichtsbehörde) und EIOPA (EU-Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung). Sie arbeiten zusammen an Regeln und Richtlinien. Ihr Ziel ist es, die Umsetzung von DORA in verschiedenen Bereichen sicherzustellen und klar zu gestalten.

In Deutschland bereiten sich die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank intensiv auf die Umsetzung von DORA vor. Dabei wird die Aufsichtspraxis angepasst und Notwendigkeiten für IT-Prozesse und -Strukturen werden implementiert. Ein zentrales Element dieser Maßnahmen ist die Rolle der BaFin, die zum nationalen Meldezentrum für IKT-Vorfälle im Finanzsektor wird. Außerdem ist die BaFin verantwortlich für die Entgegennahme von Meldungen im Rahmen des IKT-Drittparteienmanagements, die die Institute und Unternehmen an sie richten müssen. Diese Meldungen werden daraufhin auf mögliche Risiken für den Finanzsektor geprüft.

Die sechs Kernbereiche von DORA

DORA hat das Ziel, die digitale operationale Resilienz des gesamten Finanzsektors in Europa in sechs zentralen Bereichen zu verbessern:

  1. Risikomanagement im Bereich IKT,
  2. Umgang mit und Klassifizierung von IKT-bezogenen Vorfällen sowie deren Berichterstattung,
  3. Überprüfung der digitalen operationalen Resilienz, einschließlich von bedrohungsorientierten Penetrationstests,
  4. Risikomanagement im Zusammenhang mit IKT-Drittparteien,
  5. Entwicklung eines Überwachungsrahmens für kritische Drittanbieter im IKT-Bereich,
  6. Etablierung von Vereinbarungen zum Informationsaustausch sowie Durchführung von Übungen für Cyberkrisen und Notfälle.


Umsetzung gesetzlicher Vorgaben durch Unternehmen und Dienstleister

Bis zum 17. Januar 2025 müssen die von DORA erfassten Finanzunternehmen sowie die Drittanbieter im IKT-Bereich die Anforderungen der neuen Verordnung erfüllen. Die Verordnung bezieht sich unter anderem auf Finanzanlageberater, Finanzdienstleister, Börsen, Versicherungen und Versicherungsvermittler, gilt jedoch nicht für sehr kleine, kleine oder mittelständische Unternehmen als nebenberufliche Versicherungsvermittler und Rückversicherungsvermittler. Sie verpflichtet Unternehmen, geeignete Maßnahmen zu ergreifen, um ihre digitale Betriebssicherheit zu gewährleisten.

Um die beaufsichtigten Marktteilnehmer bei der Umsetzung von DORA zu unterstützen, bietet die BaFin eine Vielzahl an Ressourcen an. Dazu zählen Informationsveranstaltungen und Gespräche mit Fachleuten. Darüber hinaus wurde eine neu gestaltete Informationsseite eingerichtet, die zentrale Informationen über DORA und deren praktische Implementierung bündelt. Diese Seite wird fortlaufend aktualisiert und mit neuen Inhalten angereichert, um die Verantwortlichen im Finanzsektor bestmöglich zu informieren und zu unterstützen.

Die gesetzlichen Anforderungen für Finanzinstitute beinhalten Regelungen zum Risikomanagement, zur Störungsmeldung, zum Informationsaustausch und zu Penetrationstests. Außerdem müssen Vorgaben zu den Vertragsinhalten mit IKT-Drittanbietern beachtet werden.

Die neuen Vorschriften sollen dazu beitragen, dass Unternehmen besser auf Cyberbedrohungen vorbereitet sind und die Sicherheit ihrer Daten gewährleistet bleibt.

Weitere Informationen:

Compliance-Recht


SBS Legal - Kanzlei für Finanz- und IT-Recht

DORA ist ein bedeutender Fortschritt zur Verbesserung der digitalen Sicherheit im europäischen Finanzwesen. Durch die Kooperation zwischen Aufsichtsbehörden und Unternehmen soll die Resilienz gegenüber digitalen Bedrohungen erhöht werden, was letztendlich auch den Schutz der Verbraucher gewährleistet.

Haben Sie noch Fragen zu DORA?

Als erfahrene Rechtsanwälte, spezialisiert auf das Finanz- und IT-Recht, unterstützen wir Sie gerne bei der Umsetzung der DORA-Anforderungen. Wir bieten Ihnen umfassende rechtliche Beratung in den Bereichen Risikomanagement, Compliance und Vertragsgestaltung. Gemeinsam entwickeln wir maßgeschneiderte Lösungen für Ihr Unternehmen.

Lassen Sie uns zusammen die Herausforderungen der digitalen Transformation angehen. Vertrauen Sie auf unser Fachwissen, um Ihre digitale Resilienz zu verbessern. Kontaktieren Sie uns noch heute für einen Beratungstermin!

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht