Kommentar

3/24 Lesedauer: min

Der Digital Operational Resilince Act (DORA) und seine Folgen

Seit dem 17. Januar 2023 ist der Digital Operational Resilience Act (DORA) bereits in Kraft. Anwenden müssen ihn die Unternehmen ab dem 17. Januar 2025. Höchste Zeit also sich anzusehen, was dies für Unternehmen bedeutet.

Bild: Shutterstock / Vector Image Plus

Die Finanzbranche ist von je her streng reguliert. Dennoch möchte die EU die Branche resilienter gegenüber Cyberangriffe machen. Dafür sollen die Finanzunternehmen über die notwendigen Sicherheitsvorkehrungen verfügen, um Angriffe und andere Risiken der Informations- und Kommunikationstechnologie (IKT) einzudämmen. Daneben soll auch ein EU-weiter einheitlicher Aufsichtsrahmen geschaffen werden.

Betroffen von DORA ist das ganze Spektrum des europäischen Finanzsektors von Kredit- und Zahlungsinstituten über Anbieter von Krypto-Dienstleistungen und Versicherungsunternehmen und Versicherungsvermittlern bis hin zu Ratingagenturen und Prüfungsgesellschaften betroffen. Unterstützt durch technische Implementierungsstandards (ITS) und technische Regulierungsstandards (RTS) soll der DORA die operationale Resilienz und Sicherheit der Finanzbranche stärken.

Neue Pflichten, neue Anforderungen

Die Aufgaben und Pflichten von Unternehmen ergeben sich im Wesentlichen aus fünf Themenbereichen (Kapiteln) im DORA:

IKT-Risikomanagement (Kapitel 2): Unternehmen sind verpflichtet, einen internen Governance- und Kontrollrahmen zu schaffen, der ein wirksames Management von IKT-Risiken ermöglicht. Dabei müssen angemessene, zuverlässige und technologisch resiliente IKT-Systeme, Protokolle und Tools verwendet werden. Erforderlich ist auch, diese fortlaufend zu überwachen und ggf. zu aktualisieren.

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel 3):
DORA gibt Finanzunternehmen die Pflicht auf, sogenannte IKT-bezogene Vorfälle nach vorgegebenen Kriterien zu klassifizieren und schwerwiegende IKT-bezogene Vorfälle an die zuständige Behörde zu melden.

Testen der digitalen operationalen Resilienz (Kapitel 4):
Um IKT-bezogene Vorfälle zu vermeiden, sind Unternehmen verpflichtet, ihre digitale operationale Resilienz zu testen. Die Tests sind dabei als Bestandteil des IKT-Risikomanagements zu integrieren. Für die Durchführung des Tests dürfen auch externe Dienstleister beauftragt werden, sofern sie den DORA-Anforderungen entsprechen.

Management des IKT-Drittparteienrisikos (Kapitel 5):
Hiermit ist der komplette Lebenszyklus der vertraglichen Vereinbarung gemeint: Von den Governance-Prinzipien, den Mindestvertragsinhalten, der laufenden Überwachung bis hin zu Szenarien zum Ausstieg und der Vertragsbeendigung. Dabei ist ein Informationsregister über die Vertragsbeziehungen zu erstellen und bei Bedarf zu aktualisieren. Zwar stimmen die Vorgaben unter DORA größtenteils mit den bestehenden Mindestvorgaben für Auslagerungsverträge in den sektoralen Vorschriften überein. Im Einzelnen ergeben sich jedoch Ergänzungen bzw. Präzisierungen des geltenden Rahmens.

Vereinbarungen über den Austausch von Informationen (Kapitel 6):
Im DORA wird zudem ein freiwilliger Austausch von Informationen und Erkenntnissen über Cyberbedrohungen der Finanzunternehmen geregelt. Ziel dabei ist es, die operationale Resilienz des Finanzsektors zu stärken und eine Schärfung des Bewusstseins für alle Marktteilnehmenden zu ermöglichen. Der Austausch ist freiwillig und soll innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgen. Zusätzlich sind sektorübergreifende Simulationsübungen und eine Zusammenarbeit im Finanzbereich zur Stärkung der Resilienz vorgesehen.

Die Ausnahmeregeln

Wie auch bei anderen Rechtsakten ist der Gesetzgeber bemüht, Erleichterungen und Ausnahmen für kleine Unternehmen zu schaffen. Daher wurde auch beim DORA der Grundsatz der Verhältnismäßigkeit festgelegt: Die betroffenen Unternehmen sollen die Vorschriften in angemessener Weise entsprechend ihrer „Größe und ihrem Gesamtrisikoprofil sowie der Art, dem Umfang und der Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte“ umsetzen. Die Empfehlung der Europäischen Kommission zur Kategorisierung der Unternehmen richtet sich nach Personalbestand und wirtschaftlichem Gewicht:

  • Ein Kleinstunternehmen hat bis zu zehn Mitarbeiter und einen Umsatz bzw. eine Bilanzsumme von bis zu 2 Millionen Euro
  • Ein kleines Unternehmen hat bis zu 50 Mitarbeiter und einen Umsatz bzw. eine Bilanzsumme von bis zu 10 Millionen Euro
  • Ein mittleres Unternehmen hat bis zu 250 Mitarbeiter, einen Umsatz von bis zu 50 Millionen Euro und eine Bilanzsumme von bis zu 43 Millionen Euro.

In den Genuss von Erleichterungen etwa im Hinblick auf Art und Häufigkeit der durchzuführenden Tests, die DORA verpflichtend vorgibt, werden in der Praxis allerdings meist nur die Kleinstunternehmen kommen.

Höchste Zeit zu handeln

Ähnlich wie die Datenschutzgrundverordnung (DSGVO) handelt es sich beim DORA um eine EU-Verordnung, die eine sofortige rechtliche Wirkung in den EU-Mitgliedsstaaten hat, anders als zum Beispiel bei einer EU-Richtlinie. Wie gezeigt sind die Anforderungen vielfältig und die Zeit für die Umsetzung ist nicht mehr lang. Wer nach den zurzeit gültigen BaFin-Anforderungen – Bankaufsichtliche Anforderungen an die IT (BAIT), Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT), Versicherungsaufsichtliche Anforderungen an die IT (VAIT) oder Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT) – gut aufgestellt ist, der dürfte allerdings bei rechtzeitiger Planung den DORA gut bewältigen können.

Melanie Ludolph

Rechtsanwältin

Melanie Ludolph ist Rechtsanwältin bei Fieldfisher, einer internationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für com! professional stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor.