Digital Operational Resilience Act – Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA)

Der Digital Operational Resilience Act ist am 17.01.2023 in Kraft getreten und nach einer 24-monatigen Übergangsfrist seit dem 17.01.2025 anzuwenden. Der DORA soll das Cybersicherheitsniveau der Finanzbranche innerhalb der EU vereinheitlichen und erhöhen.

Die Vorordnung gilt grundsätzlich für alle Versicherungs- und Rückversicherungsunternehmen, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Ratingagenturen, Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen sowie für Transaktionsregister, Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste, die in Summe als „Finanzunternehmen“ definiert sind. Der DORA gilt außerdem für IKT-Drittdienstleister (Informations- und Kommunikationstechnik-Drittdienstleister) (Art. 2 Abs. 1 DORA).

Ein IKT-Dienstleister ist definiert als „ein Unternehmen, das IKT-Dienstleistungen bereitstellt“. IKT-Dienstleistungen sind definiert als „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher Telefondienste“ (Art. 3 Abs. 19 und 21 DORA).

Von der Verordnung ausgenommen sind beispielsweise Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersvorsorge. Des weiteren sind einzelne Vorgaben des DORA abhängig von der Unternehmensgröße umzusetzen. Demnach sind zahlreiche Vorgaben für Kleinstunternehmen nicht umzusetzen und für kleinere und mittlere Unternehmen (KMU) nur eingeschränkt relevant.

Die Dora-Verordnung soll einen Rechtsrahmen mit einheitlichen Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen Dritten, die Dienstleistungen im Bereich IKT bereitstellen (z. B. Cloud-Plattformen oder Datenanalysedienste), schaffen. Somit soll sichergestellt werden, dass Unternehmen in der Lage sind, auf Störungen und Bedrohungen in Verbindung mit IKT angemessen reagieren zu können. Dadruch sollen erfolgreiche Cyberangriffe möglichst verhindert werden und deren Auswirkungen weitestgehend gemindert werden.

Die betroffenen Unternehmen müssen umfangreiche Vorgaben an die Cybersicherheit erfüllen. Diese lassen sich im Wesentlichen in 5 Säulen zusammenfassen. In der ersten Säule „ICT-Risk Management“ muss die Geschäftsführung sicherstellen, dass ein angemessener Rahmen geschaffen wird, um Risiken der Cybersicherheit und Geschäftskontinuität angemessen zu identifizieren und durch Maßnahmen effektiv zu mindern.

In Säule zwei „ICT Incident Reporting“ wird festgelegt, dass das Unternehmen in der Lage sein muss, Bedrohungen in ihrer IKT-Landschaft zeitnah zu erkennen und zu behandeln. Außerdem müssen angemessene Prozesse und Verfahren etabliert sein, um sie betroffenen Dritten sowie der zuständigen Behörde zu kommunizieren. Dabei sieht die Meldefrist eine zeitnahe Erstmeldung innerhalb von maximal 24 Stunden ab Erkennung des Vorfalls und 72 Stunden bis zur Übermittlung einer detaillierten Zwischenmeldung vor.

Säule drei nennt sich „Digital Resilience Training“. Diese Säule definiert Vorgaben, welche periodische Tests der Systeme und Prozesse vorschreiben. Darunter fallen beispielsweise Schwachstellenprüfungen, Penetrationstests und Übungen von Prozessen wie der Behandlung von Vorfällen und Krisenübungen.

„Third Party Risk Management“ ist Säule vier. Diese regelt das systematische managen von Abhängigkeiten von externen IKT-Dienstleistern. Im Vordergrund steht dabei die Identifikation kritischer Drittanbieter, die Implementierung vertraglicher und sicherheitsrelevanter Standards sowie die kontinuierliche Überwachung und das Risikomanagement.

Die letzte Säule ist das „Threat Intelligence Sharing“. Zur stetigen Verbesserung der „Situational Awareness“ ist ein freiwilliger Austausch von Informationen und Erkenntnissen zwischen Finanzunternehmen vorgesehen. Ergänzt wird dies durch sektorübergreifendes Krisenmanagement und Notfallübungen zur Verbesserung der Kommunikation und Stärkung der Resilienz im Finanzsektor.

Bei einem Verstoß gegen den DORA, müssen Unternehmen mit verwaltungsrechtlichen und/oder strafrechtlichen Sanktionen rechnen. Denkbar sind regulatorische Geldbußen, je nach schwere des Verstoßes aber auch Sanktionsmaßnahmen, wie die Einschränkung der Geschäftstätigkeit. Eine weitere Konsequenz bei Nichteinhaltung der DORA könnte auch ein Reputationsverlust sein, welcher zum Vertrauensverlust und damit zu Geldeinbußen führen kann.