Ab dem 17. Januar 2025 müssen betroffene Unternehmen die neuen Anforderungen erfüllen, die durch DORA eingeführt wurden. Die DORA verfolgt vor allem das Ziel, die digitale operationale Resilienz und die IKT-Sicherheit vollständig und konsequent zu harmonisieren. Die Notwendigkeit hierfür ergibt sich unter anderem daraus, dass rechtliche Unterschiede sowie variierende nationale Regulierungs- und Aufsichtsansätze in Bezug auf das IKT-Risiko Hindernisse für das Funktionieren des Binnenmarkts für Finanzdienstleistungen schaffen. Dies erschwert grenzüberschreitend tätigen Finanzunternehmen die ungehinderte Ausübung der Niederlassungsfreiheit sowie die Erbringung von Dienstleistungen erheblich. Darüber hinaus wird auch der Wettbewerb zwischen denselben Arten von Finanzunternehmen, die in verschiedenen Mitgliedstaaten tätig sind, durch diese Unterschiede bisher stark verzerrt. DORA begegnet IKT-Risiken durch gezielte Vorschriften zu den Kapazitäten für das IKT-Risikomanagement, die Meldung von Vorfällen, Tests der operationalen Resilienz sowie die Überwachung des IKT-Drittparteienrisikos. Beim Umgang mit DORA ist der Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Das bedeutet, dass bei der Umsetzung der Vorgaben die Größe, das Gesamtrisikoprofil sowie die Art, der Umfang und die Komplexität der Finanzdienstleistungen berücksichtigt werden müssen. Dies zeigt sich auch in den Anforderungen an das IKT-Risikomanagement: Hier sieht DORA einen sogenannten vereinfachten IKT-Risikomanagementrahmen für bestimmte Finanzunternehmen vor. Aber auf wen genau ist dieser anwendbar?

Welche Unternehmen können einen vereinfachten IKT-Risikomanagementrahmen implementieren?

Der vereinfachte IKT-Risikomanagementrahmen ist im Vergleich zum allgemeinen Rahmen, der sonst durch die DORA vorgesehen ist, deutlich reduziert und stellt weniger konkrete Anforderungen an die Implementierung eines IKT-Risikomanagements. Salopp gesagt, reduziert sich das IKT-Risikomanagement von fünfzehn auf einen Artikel. Dieser vereinfachte Rahmen gilt ausschließlich für die ausdrücklich von DORA genannten Finanzinstitute. Dazu zählen beispielsweise kleine und nicht verflochtene Wertpapierfirmen, kleine Einrichtungen der betrieblichen Altersversorgung sowie Institute, die nach der Eigenkapitalrichtlinie (CRD IV) ausgenommen sind. Diese Ausnahmen sind vor dem Hintergrund des hohen Aufwands, der mit der Umsetzung der DORA-Anforderungen verbunden ist, besonders zu begrüßen. Kleinere Unternehmen, die unter die Ausnahme fallen, können so ein IKT-Risikomanagement betreiben, das im Verhältnis zu ihrer Größe und ihrem Gesamtrisikoprofil angemessen ist. Ein ausreichendes Schutzniveau wird durch die Vorgaben des vereinfachten IKT-Risikomanagementrahmens in Verbindung mit den technischen Regulierungsstandards (RTS RMF) gewährleistet. Diese Standards legen die Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie für den vereinfachten Rahmen fest. Der vereinfachte IKT-Risikomanagementrahmen soll außerdem für Zahlungsinstitute und E-Geld-Institute gelten, die nach der Zahlungsdiensterichtlinie (PSD2) oder der E-Geld-Richtlinie von den jeweiligen Mitgliedstaaten bei der Umsetzung ausgenommen wurden. Hier gibt es jedoch ungleiche Umsetzungen durch die einzelnen Mitgliedsstaaten.

Ungleiche Anforderungen an Zahlungsinstitute in verschiedenen Mitgliedstaaten

Trotz der Harmonisierungsbestrebungen der DORA bestehen weiterhin Lücken. Diese zeigen sich besonders bei Zahlungsinstituten und E-Geld-Instituten. Denn bei der Umsetzung der PSD2 und der E-Geld-Richtlinie hatten die Mitgliedstaaten gewisse Spielräume. Es ist daher möglich, dass bei der Umsetzung in nationales Recht die Möglichkeit genutzt wird, bestimmte Zahlungsinstitute oder E-Geld-Institute „auszunehmen“ und sie vereinfachten Anforderungen im nationalen Recht zu unterstellen. Folglich verweist die DORA in diesen Fällen auf eine Ausnahme, die nur für Finanzunternehmen greift, wenn der jeweilige Mitgliedstaat diese Ausnahme im nationalen Recht umgesetzt hat .Dies steht jedoch im starken Widerspruch zur Zielsetzung der DORA, gleiche Bedingungen für alle Marktteilnehmer zu schaffen. Aus Erwägungsgrund 42 der DORA geht hervor, dass der europäische Gesetzgeber dieses Problem erkannt und die Ungleichbehandlung vergleichbarer Finanzunternehmen letztlich in Kauf genommen hat. Ein Beispiel hierfür ist, dass ein in Deutschland reguliertes Zahlungsinstitut den allgemeinen IKT-Risikomanagementrahmen einhalten muss, während ein vergleichbares Zahlungsinstitut in einem anderen Mitgliedstaat, der die Ausnahmemöglichkeit genutzt hat, den vereinfachten IKT-Risikomanagementrahmen anwenden darf. Es bleibt somit nur im Einzelfall zu prüfen, ob und inwieweit eine Anwendung des vereinfachten IKT-Risikomanagementrahmens in Betracht kommt. Auch wenn dies nicht der Fall sein sollte, ist dennoch auf eine verhältnismäßige Umsetzung des allgemeinen IKT-Managementrahmens zu achten.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.