DORA: Was Finanzunternehmen und ihre Dienstleister beachten müssen

Entstehungsgeschichte von DORA

Die Finanzkrise von 2008 hat gezeigt, wie wichtig die Stabilität des Finanzsystems ist. In den letzten Jahren haben IKT-bezogene Risiken jedoch immer mehr an Bedeutung gewonnen. Systemausfälle, ob durch Cyberangriffe verursacht oder nicht, können erhebliche Auswirkungen auf Finanzunternehmen, ihre Kunden und schließlich die gesamte Wirtschaft haben. Um diese Risiken zu minimieren und die Resilienz des Finanzsektors zu stärken, hat die EU-Kommission bereits 2020 DORA vorgeschlagen. Die Verordnung ist Teil des sog. „Digital Finance Package“ und zielt darauf ab, einen einheitlichen Rechtsrahmen für das Management von IKT-Risiken zu schaffen. DORA soll Überschneidungen und Doppelarbeit vermeiden und den Informationsaustausch zwischen den zuständigen Behörden verbessern. DORA ist am 16.01.2023 in Kraft getreten und findet seit dem 17.01.2025 unmittelbar Anwendung in allen Mitgliedsstaaten der EU.

Anwendungsbereich von DORA

DORA hat weitreichende Auswirkungen auf Finanzunternehmen und ihre IKT-Dienstleister. Die Verordnung vereinheitlicht die Anforderungen an das IKT-Risikomanagement und legt spezifische Pflichten für die Zusammenarbeit mit externen Dienstleistern fest.

DORA gilt für eine Vielzahl von Finanzunternehmen, darunter:

• Kreditinstitute
• Zahlungsinstitute
• Wertpapierfirmen
• Versicherungsunternehmen
• Kryptowährungsdienstleister
• und viele mehr

Einige Kleinstunternehmen sind von bestimmten Anforderungen ausgenommen.

Kernpunkte von DORA

DORA basiert auf fünf Säulen:

1. IKT-Risikomanagement: Finanzunternehmen müssen einen umfassenden Rahmen für das Management von IKT-Risiken schaffen, der Strategien, Richtlinien, Verfahren und Kontrollen umfasst. Die Geschäftsleitung trägt die Verantwortung für die Umsetzung des IKT-Risikomanagements.
2. IKT-Vorfallsmanagement: Finanzunternehmen müssen Prozesse für die Erkennung, Klassifizierung, Meldung und Behebung von IKT-Vorfällen einrichten. Schwerwiegende Vorfälle müssen den zuständigen Behörden gemeldet werden.
3. Testen der digitalen operationalen Resilienz: Finanzunternehmen müssen regelmäßig Tests durchführen, um die Wirksamkeit ihrer IKT-Sicherheitsmaßnahmen zu überprüfen.
4. Management des IKT-Drittparteienrisikos: Finanzunternehmen müssen ihre Abhängigkeiten von IKT-Drittdienstleistern überwachen und steuern.
5. Überwachungsrahmen für „kritische“ IKT-Dienstleister: DORA sieht einen Überwachungsrahmen auch direkt gegenüber solchen IKT-Dienstleistern vor, die als „kritisch“ eingeordnet werden. Auch diese Dienstleister selbst unterliegen damit der direkten behördlichen Aufsicht. Begründet wird das mit der zunehmenden Auslagerung auf IKT-Dienstleister und der damit einhergehenden Abhängigkeit der Finanzunternehmen.

Pflichten für IKT-Dienstleister

Ein zentraler Aspekt von DORA ist die Einbeziehung von IKT-Dienstleistern in den regulatorischen Rahmen der Finanzunternehmen. IKT-Drittdienstleister im Sinne von DORA sind Unternehmen, die IKT-Dienstleistungen für Finanzunternehmen erbringen. Der Begriff der IKT-Dienstleistung ist weit gefasst und umfasst sämtliche digitale Dienste und Datendienste im Bereich der Informations- und Kommunikationstechnologie (IKT):

• Cloud-Dienste
• Hardwaredienstleistungen
• IT-Beratung
• Datenverarbeitung
• und vieles mehr

Alle IKT-Dienstleister müssen bestimmte Anforderungen erfüllen, um die Sicherheit und Resilienz der von ihnen erbrachten Dienstleistungen zu gewährleisten. Dazu gehören:

• Einhaltung angemessener Sicherheitsstandards
• Vertragliche Vereinbarungen, die bestimmte Mindestinhalte enthalten
• Unterstützung der Auftraggeber bei der Einhaltung der Anforderungen des DORA
• Mitwirkung bei der Schulung von Finanzunternehmen zur Cyber- und Informationssicherheit

IKT-Dienstleister, die als kritisch eingestuft werden, unterliegen darüber hinaus einer direkten Aufsicht durch die zuständigen Behörden. Diese Behörden können:

• Informationen und Unterlagen anfordern
• Untersuchungen und Inspektionen durchführen
• Empfehlungen aussprechen
• Sanktionen verhängen

Besonders wichtig: Mindestinhalte für IKT-Verträge

DORA legt Mindestinhalte für Verträge zwischen Finanzunternehmen und IKT-Dienstleistern fest. Diese umfassen u.a.:

• Eine klare und vollständige Beschreibung der Funktionen und IKT-Dienstleistungen
• Angaben zum Leistungs-, Speicher- und Verarbeitungsort der Daten
• Bestimmungen zur Informationssicherheit und zum Datenschutz
• Regelungen zur Dienstleistungsgüte
• Regelungen zu Unterstützungs-, Kooperations- und Schulungspflichten
• Kündigungsrechte und Mindestkündigungsfristen

Für IKT-Dienstleister, die kritische oder wichtige Funktionen bereitstellen (nicht zu verwechseln mit kritischen IKT-Dienstleistern gem. Art. 31 DORA) gelten zusätzliche Anforderungen, wie z.B.:

• Weitergehende, vollständige Beschreibung der Dienstleistungsgüte
• Berichtspflichten des IKT-Dienstleisters
• Beteiligung an Penetrationstests
• Das Recht des Finanzunternehmens, die Leistung des IKT-Dienstleisters fortlaufend zu überwachen
• Festlegung von Ausstiegsstrategien, die einen verbindlichen Übergangszeitraum enthalten
• und viele mehr

Zusammenfassung

DORA ist ein wichtiger Schritt zur Stärkung der digitalen operationalen Resilienz des Finanzsektors. Die Verordnung legt umfassende Anforderungen an das IKT-Risikomanagement von Finanzunternehmen und ihren IKT-Dienstleistern fest. Unternehmen, die in den Geltungsbereich von DORA fallen, müssen sich mit den neuen Pflichten auseinandersetzen und die notwendigen Maßnahmen zur Umsetzung ergreifen. DORA findet bereits seit dem 17. Januar 2025 Anwendung!

Weitere Informationen

Übersichtsseite der BaFin