Cybersicherheit & IT-Steuerung

Digital Operational Resilience Act (DORA) seit Januar 2023 in Kraft – Beginn der Umsetzung

Die EU-Verordnung über die digitale operationelle Resilienz nahezu aller Finanzunternehmen, der Digital Operational Resilience Act, DORA, ist im Januar 2023 in Kraft getreten.

DORA regelt europaweit Bereiche wie bspw.:

  • das IKT-Risikomanagement,
  • das Meldewesen (z. B. bei Auswirkungen schwerwiegender IKT- Vorfälle),
  • die Anforderungen an Betreiber kritischer Infrastrukturen,
  • das Management von IKT-Risiken Dritter oder
  • die verpflichtenden Threat-led-Tests der operationellen Cyberwiderstandsfähigkeit.

Auch die Meldungen, die Finanzunternehmen gegenwärtig aufgrund verschiedener gesetzlicher Anforderungen, bspw. der PSD2, an verschiedene Behörden abgeben, sollen harmonisiert werden.

Die unter den Geltungsbereich von DORA fallenden Finanzunternehmen müssen die neuen Anforderungen ab Januar 2025 verpflichtend umgesetzt haben. Damit werden nicht nur Banken in die Pflicht genommen. Nach Artikel 2 müssen insgesamt 21 verschiedene Arten von Finanzunternehmen ab 2025 über eine ausreichende Widerstandsfähigkeit ihrer operationellen Cyber- und IKT-Infrastruktur verfügen. Neben Kredit- und Zahlungsinstituten gemäß PSD2 zählen u. a. auch Wertpapierfirmen, Krypto-Dienstleister, Zentralverwahrer, Versicherungs- und Rückversicherungsunternehmen, Einrichtungen der betrieblichen Altersvorsorge oder IKT-Drittdienstleister zum Adressatenkreis von DORA.

DORA gilt unmittelbar in den EU-Mitgliedstaaten. Für in Deutschland ansässige Unternehmen und Kreditinstitute gelten aktuell die Bankaufsichtlichen Anforderungen an die IT (BAIT). Wir gehen davon aus, dass die BAIT im Wesentlichen durch DORA abgelöst werden.

Zur Umsetzung von DORA werden die EU-Aufsichtsbehörden bis Januar 2025 umfassende aufsichtsrechtliche Konkretisierungen durch technische Regulierungs- oder Implementierungsstandards (RTS / ITS) vorlegen. Erste Entwürfe dieser Level-2-Regulierungen werden Mitte 2023 sowie November 2023 erwartet. Im Anschluss beginnen die öffentlichen Konsultationen für jeweils ca. drei Monate. Damit bleibt den betroffenen Unternehmen voraussichtlich eine Umsetzungsfrist von 6 - 12 Monate bis Januar 2025. Mit den Vorbereitungen zur fristgerechten Umsetzung von DORA sollte aus Sicht der Aufsicht bereits heute begonnen werden.

Digital Operational Resilience Act