Es konnten bereits in etlichen Punkten, wie z. B. beim Geltungsbereich der Verordnung und bei Cyber-Resilienz-Tests von Infrastrukturen, Verhandlungsergebnisse erzielt werden. Allerdings sind aktuell auch noch eine Vielzahl an Fragen offen. Dazu gehören insbesondere stimmige Festlegungen zur Definition von IKT-Dienstleistungen sowie sogenannte „gruppeninternen IKT-Dienstleistern“, um den erforderlichen Handlungsspielraum nicht unnötig zu begrenzen. Darüber hinaus sind auch die genauen Anforderungen an die Meldung von Sicherheitsvorfällen noch in der Diskussion.

Wir halten es für entscheidend, dass die von ihr geforderte durchgängige Verankerung des Proportionalitätsprinzips sowohl in der EU-Verordnung als auch in der geplanten Umsetzung durch die europäische Finanzaufsicht gelingt und DORA als „Lex Specialis“ für den Finanzsektor Geltung erlangt. Insbesondere vermeidbare Mehrfach-Regulierung muss der Vergangenheit angehören.