Unter dem Namen Digital Operational Resilience Act (DORA) hat die EU eine neue Verordnung erlassen, die die digitale operationale Resilienz des Finanzsektors EU-weit vereinheitlichen und stärken soll. Die im Dezember 2022 erlassene DORA tritt am 17. Januar 2025 in Kraft und muss ab diesem Zeitpunkt von den verpflichteten Unternehmen eingehalten werden. Ihre Existenzberechtigung findet die Verordnung in der mittlerweile auch im Finanzsektor weit verbreiteten Nutzung von Informations- und Kommunikationstechnologien (IKT), die sich aus der zunehmenden Digitalisierung und Vernetzung ergibt. Mit DORA soll den daraus folgenden Risiken von Cyberbedrohungen und Störungen entgegengewirkt werden. Die Verordnung verpflichtet Finanzunternehmen und bestimmte IKT-Dienstleister, umfassende Maßnahmen zur Erreichung dieses Ziels zu ergreifen. Unter den Begriff des Finanzunternehmens fallen nahezu alle klassischen Akteure der Finanzbranche wie Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute und Finanzdienstleister, aber gerade auch Kryptodienstleister und Emittenten wertreferenzierter Token. Die betroffenen Unternehmen sehen sich einer Reihe zusätzlicher gesetzlicher Anforderungen gegenüber. Infolgedessen müssen die internen Prozesse und Abläufe geprüft und gegebenenfalls an die DORA angepasst werden. Da die Anforderungen der DORA sehr weitreichend sind, könnte dies insbesondere für kleinere Unternehmen eine erhebliche Belastung darstellen. Daher ist es von besonderer Bedeutung, ob die DORA für solche Unternehmen Ausnahmen vorsieht. Gibt es also Erleichterungen für kleinere Unternehmen?

Gleiche Regeln für alle? Anwendung gegenüber kleineren Unternehmen

Eines der leitenden Prinzipien bei der DORA ist der Grundsatz der Verhältnismäßigkeit. So können die einzelnen Pflichten ein Finanzunternehmen im Einzelfall je nach Größe, Gesamtrisikoprofil, Art, Umfang und Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte unterschiedlich treffen. Es gilt im Grunde, dass die Anforderungen proportional zum Risiko steigen. Dementsprechend teilt die DORA Finanzunternehmen in Kleinstunternehmen, Kleinunternehmen und mittlere Unternehmen und alle darüber liegenden Finanzunternehmen auf. Ein Kleinstunternehmen liegt – mit einigen Ausnahmen wie etwa für Handelsplätze, zentrale Gegenparteien oder Transaktionsregister – vor, wenn in dem Unternehmen weniger als zehn Personen beschäftigt werden und der Jahresumsatz bzw. die Jahresbilanzsumme 2 Mio. EUR nicht übersteigt. Ein Kleinunternehmen ist ein Finanzunternehmen, das 10 bis 50 Personen beschäftigt und bei dem der Jahresumsatz bzw. die Jahresbilanzsumme über 2 Mio. EUR, aber nur bis zu 10 Mio. EUR liegt. Ein mittleres Unternehmen beschäftigt weniger als 250 Personen, der Jahresumsatz liegt bei bis zu 50 Mio. EUR und die Jahresbilanzsumme bei bis zu 24 Mio. EUR. Bereits aus dieser Einordnung in eine der Größenordnungen kann eine Reihe von Ausnahmen und Erleichterungen von den Anforderungen der DORA für die entsprechenden Finanzunternehmen folgen.

Welche Ausnahmen kommen konkret in Betracht?

Die DORA verlangt von Finanzunternehmen, dass sie ein angemessenes IKT-Risikomanagement implementieren. Dazu gehört ein solider, umfassender und gut dokumentierter IKT-Risikomanagementrahmen, der es ermöglicht, Risiken schnell zu erkennen und zu beheben. Ein solcher Rahmen muss mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools umfassen, die erforderlich sind, um alle Informations- und IKT-Assets, einschließlich Software, Hardware und Server, ordnungsgemäß zu schützen. Er muss außerdem alle relevanten physischen Komponenten und Infrastrukturen, wie etwa Räumlichkeiten, Rechenzentren und ausgewiesene sensible Bereiche schützen. Zur Verwaltung und Überwachung des IKT-Risikos müssen Finanzunternehmen außerdem eine unabhängige Kontrollfunktion einführen und den IKT-Risikorahmen jährlich sowie anlassbezogen überprüfen und dokumentieren. Kleinstunternehmen sind hiervon ausgenommen und sie können auf eine gesonderte Kontrollfunktion verzichten. Ferner müssen sie den IKT-Risikorahmen lediglich regelmäßig sowie anlassbezogen prüfen und dokumentieren. Dies ist nur eine von vielen Ausnahmen, die dem Proportionalitätsgedanken der DORA entsprechen. Es sollte im konkreten Einzelfall geprüft werden, ob gesetzliche Ausnahmen in Betracht kommen. Selbst ohne spezifische gesetzliche Ausnahme kann der Umfang der Maßnahmen, die ein Finanzunternehmen ergreifen muss, je nach Risikoprofil erheblich variieren. Insgesamt stellt DORA ein äußerst komplexes Regelwerk dar, das die Unternehmen aus der Finanzbranche zur weiteren Professionalisierung ihrer Geschäftsorganisation in Bezug auf IKT-Risiken zwingt.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.