SBS Firmengruppe Logos

| IT-Recht, Kryptorecht

DORA kommt: Finanzunternehmen aufgepasst


Die EU schafft jedes Jahr zahlreiche Maßnahmen, um den Binnenmarkt zu regeln. So liegt es auch mit der Verordnung (EU) 2022/2554 vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor (DORA). Ab dem 17. Januar 2025 werden zahlreiche Unternehmen verpflichtet, die komplexen neuen Anforderungen dieser Verordnung zu erfüllen. Wir werfen einen Blick auf wichtige Regelungsbereiche.

Zweck der DORA

Dreh- und Angelpunkt der Verordnung sind sog. Informations- und Kommunikationstechnologien (IKT). Diese sorgen dafür, dass Schlüsselsektoren unserer Volkswirtschaften, einschließlich des Finanzsektors, am Laufen gehalten werden, und verbessern das Funktionieren des Binnenmarkts. Die zunehmende Digitalisierung und Vernetzung verstärken auch das IKT-Risiko, das die Gesellschaft insgesamt - und insbesondere das Finanzsystem - anfälliger für Cyberbedrohungen oder IKT-Störungen macht.

An diesem Punkt setzt die DORA mit 64 Artikeln an. Es geht um die Stärkung der implementierenden Unternehmen hinsichtlich ihrer digitalen Resilienz, um die Sicherheit und Stabilität der gesamten Branche zu fördern.


Wichtige Pflichten

Da es sich um ein sehr komplexes Regelwerk handelt, lassen sich die Pflichten kaum zusammenfassen. Finanzunternehmen müssen über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen verfügen, der Teil ihres Gesamtrisikomanagementsystems ist und es ihnen ermöglicht, IKT-Risiken schnell, effizient und umfassend anzugehen und ein hohes Niveau an digitaler operationaler Resilienz zu gewährleisten.

Leitungsorgane müssen dafür sorgen, dass hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechterhalten werden. Hierfür sollen stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Tools genutzt werden. Alle Quellen für IKT-Risiken, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und bewerten Cyberbedrohungen und IKT-Schwachstellen, müssen regelmäßig überprüft werden.

Finanzunternehmen müssen über Mechanismen verfügen, um anomale Aktivitäten, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, umgehend zu erkennen und potenzielle einzelne wesentliche Schwachstellen zu ermitteln. Auch müssen sie über Kapazitäten und Personal verfügen, um Informationen über Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu sammeln und ihre wahrscheinlichen Auswirkungen auf ihre digitale operationale Resilienz zu untersuchen.

Man merkt schnell – es handelt sich um zahlreiche Pflichten. Und das war nur ein Ausschnitt aus dem komplexen Regelungskatalog. Insbesondere kleine Unternehmen müssen hier hinreichend entlastet werden.

Trifft es auch die kleinsten Unternehmen?

Die DORA will bei der Implementierung der Anforderungen die Größe und das Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte des jeweiligen Unternehmens berücksichtigen. Dies ist der sog. Grundsatz der Verhältnismäßigkeit, der in Art. 4 DORA festgeschrieben ist.

Darum gelten viele der Pflichten nur eingeschränkt und abgewandelt für kleinere Unternehmen. Die DORA definiert die Stufen wie folgt:

Unternehmensstufen

„Kleinstunternehmen“ ist ein Finanzunternehmen, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet;

„Kleinunternehmen“ ist ein Finanzunternehmen, das 10 oder mehr, aber weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR überschreitet, nicht jedoch 10 Mio. EUR;

„mittleres Unternehmen“ ist ein Finanzunternehmen, das kein Kleinunternehmen ist, das weniger als 250 Personen beschäftigt und dessen Jahresumsatz 50 Mio. EUR und/oder dessen Jahresbilanzsumme 43 Mio. EUR nicht überschreitet.


Der Pflichtenkatalog differenziert dann zwischen verschiedenen Unternehmensstufen. Viele der Vorschriften gelten bspw. nicht oder nur eingeschränkt für Kleinstunternehmen. So müssen sie keine gesonderte Kontrollfunktion einrichten, um den IKT-Risikorahmen zu überprüfen.

IKT-Drittdienstleister

In der Praxis kommt es häufig vor, dass Finanzunternehmen IKT-Dienstleistungen von IKT-Drittdienstleistern vornehmen lassen. Dabei entstehen ganz eigene Risiken. Insbesondere das solche, die sich aus der Konzentration der Abhängigkeiten von kritischen IKT-Drittdienstleistern grenzüberschreitend ergeben.

Darum greift die DORA intensiv regelnd in diese Beziehungen ein und stellt Mindestanforderungen. Für solche IKT-Drittdienstleister, die nach der Verordnung als kritische eingestuft werden, ganz besonders. Von den Finanzunternehmen verlangt DORA eine Einschätzung und Überwachung der IKT-Drittparteienrisiken – und zwar während des gesamten Lebenszyklus des Bezugs.

So soll schon vor Vertragsabschluss eine Ex-ante-Risikobewertung stattfinden, die bspw. berücksichtigt, wie abhängig das Unternehmen von dem jeweiligen IKT-Drittdienstleister ist und welche Risiken aus der Vertragsbeziehung entstehen könnten. Die Unternehmen sind jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach der DORA verantwortlich und haben daher auch weitrechende Kontrollrechte. Zahlreiche Vertragsinhalte werden ebenfalls vorgegeben. Das schränkt ein eventuelles Über-Unterordnungsverhältnis ein.

Wichtige Fragen noch unklar

Obwohl die Regelungen der DORA bald gelten, sind einige wichtige Fragen noch unklar. Sie wird deshalb durch eine Reihe von sog. Regulatory Technical Standards (sogenannte RTS) ergänzt, welche bei Unklarheiten ergänzend helfen sollen. Einige Fragepunkte sind aber trotzdem noch offen.

Insbesondere die Frage, wann genau ein Unternehmen als IKT-Drittdienstleister gilt. Art. 3 Nr. 19 DORA definiert „IKT-Drittdienstleister“ bloß als ein Unternehmen, das IKT-Dienstleistungen bereitstellt. „IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.
Auch wenn diese weite Definition durch die Erwägungsgründe und RTS weiter ausgestaltet wurde, stellen sich in der Praxis noch immer wichtige Fragen. So stellt sich die Frage, ob ein Unternehmen, das schon nach MiFID II oder MiCAR reguliert wird, nun auch die DORA beachten muss, wenn es dauerhaft eine regulierte Finanzdienstleistung gegenüber einem anderen Finanzunternehmen erbringt. Ob sich diese Umstände gegenseitig ausschließen sollen, bleibt abzuwarten.


SBS LEGAL – Ihre Kanzlei für das IT-Recht

IT-Recht steht für Informationstechnologierecht: Es handelt sich dabei um eine vielfältige Rechtsmaterie, die sich im stetigen Wandel befindet und untrennbar mit dem technischen Fortschritt der digitalen Welt verbunden ist. Neuste technische Entwicklungen müssen mit den bestehenden Gesetzen in Einklang gebracht werden. Cloud-Computing, Industrie 4.0, Big Data, Social-Media und Datenschutz sind nur einige der Themen, die das IT-Recht hervorbringt.

Da Informationstechnologie heutzutage in nahezu jedem Bereich unseres Lebens steckt, ist auch das IT-Recht sehr facettenreich. Eine klare Grenze lässt sich für dieses Rechtsgebiet nicht ziehen. Von Vertragsgestaltung zwischen App-Herstellern und Kunden, AGB-Prüfungen von Softwareanbietern oder auch Cyberangriffen kann alles dabei sein. Die fortschreitende Digitalisierung bringt immer neue Rechtsfragen in diesem Bereich hervor.

Haben Sie noch Fragen zum IT-Recht?

Sie brauchen eine Beratung für eine informationstechnische Fragestellung, bspw. zu der Frage, wobei Finanzunternehmen bezüglich der DORA aufgepasst haben sollten? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht