Digital Operational Resilience Act (DORA)

Resiliente Cybersicherheit für die europäische Finanzbranche durch DORA

Mitte Dezember 2022 hat die EU die als Digital Operational Resilience Act (DORA) bekannte Verordnung (EU) 2022/2554 erlassen. Hierbei handelt es sich um einen wichtigen Schritt auf dem Weg hin zu einem hohen Niveau an digitaler operationaler Resilienz des Finanzsektors im europäischen Wirtschaftsraum. Mit Blick auf die zunehmende Abhängigkeit von Informations- und Kommunikationstechnologie (IKT) und der steigenden Bedrohung durch Cyberangriffe soll DORA den Finanzsektor durch ein einheitliches Regelwerk in den Bereichen der Cybersicherheit, IKT-Risiken und der digitalen operationalen Resilienz stärken. Die Verordnung soll sicherstellen, dass Finanzunternehmen ihre digitalen Systeme und Netzwerke widerstandsfähig gestalten und sich gegen Cyberbedrohungen wappnen, um die Stabilität und Integrität des gesamten Finanzmarkts der EU zu gewährleisten. Anwendung entfaltet DORA ab dem 17. Januar 2025 und verpflichtet alle von ihrem Anwendungsbereich erfassten Unternehmen direkt und unmittelbar. Betroffen sind nahezu alle in der Europäischen Union beaufsichtigten Institute und Unternehmen aus der Finanzbranche, insbesondere Kreditinstitute, Zahlungsinstitute und Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Emittenten wertreferenzierter Token, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze und Schwarmfinanzierungsdienstleister, aber auch Transaktionsregister, Datenbereitstellungsdienste und IKT-Drittdienstleister.

IKT Risiken im Fokus der Finanzunternehmen unter DORA

Die DORA enthält verschiedene Regelungsbereiche, die zusammen das Fundament bilden, durch das die digitale Widerstandsfähigkeit des europäischen Finanzsektors sichergestellt werden soll. Hierzu zählen unter anderem das IKT-Risikomanagement, der Umgang mit IKT-Vorfällen einschließlich Meldepflichten, Tests bezüglich der digitalen operationellen Resilienz, das Management des IKT-Drittanbieterrisikos und die Überwachung kritischer IKT-Drittdienstleister. Dementsprechend gilt es, die eigene Organisation und internen Prozesse noch einmal zu prüfen und eine Übereinstimmung mit den Compliance-Pflichten der DORA sicherzustellen. Als Grundsatz ist in der DORA verankert, dass die Geschäftsleitung von Finanzunternehmen für die Umsetzung des IKT-Risikomanagementrahmens ausdrücklich verantwortlich ist. Die Geschäftsleitung eines Finanzunternehmens muss deshalb unter Geltung der DORA ausreichende Kenntnisse und Fähigkeiten für das Management von IKT-Risiken aufweisen und sich stets auf dem neuesten Stand halten, um die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten zu können. Hierzu gehört auch das regelmäßige Absolvieren entsprechender Schulungen. Ab Geltung der DORA wird es für Geschäftsleiter damit in keinem Mitgliedstaat der Europäischen Union mehr möglich sein, die Verantwortung intern vollständig auf die IT-Abteilung bzw. einen der Geschäftsleitung nachgelagerten Chief Information Officer (CIO) zu verlagern. Die digitale Betriebsstabilität wird zur originären Compliance-Pflicht der Geschäftsleitung. Eine weitere Säule der DORA-Verordnung ist die Pflicht von Finanzunternehmen zur Qualifikation von IKT-Vorfällen im Eintrittszeitpunkt und zur Meldung schwerwiegender IKT-bezogener Vorfälle bei der zuständigen Behörde. Eine Meldepflicht kann unter bestimmten Umständen auch gegenüber betroffenen Kunden bestehen und daher auch mit der Meldepflicht aus Art. 34 der Datenschutzgrundverordnung (DSGVO) zusammenfallen.

Anpassungsbedarf bei Verträgen mit IKT Dienstleistern

Darüber hinaus stellt die DORA auch konkrete Anforderungen an zwischen Finanzunternehmen und ITK-Dienstleistern geschlossene Verträge. IKT-Dienstleister sind dabei Unternehmen, die digitale Dienste anbieten. Hierzu zählen etwa Software as a Service (SAAS) und Cloud-Computing Dienstleister, Rechenzentren, Datendienste und Softwareanbieter. Die DORA sieht bestimmte Regelungen vor, die von den Vertragsparteien unbedingt zu vereinbaren sind. Damit hat die DORA konkrete Auswirkungen auf alle bereits geschlossenen oder noch zu schließenden Verträge mit IKT-Drittdienstleistern. Insbesondere für Auslagerungsverträge ergeben sich erhöhte Anforderungen. In weiten Teilen deckt sich die DORA diesbezüglich mit den schon von der BaFin erlassenen Rundschreiben BAIT, VAIT, KAIT und ZAIT und AT 9 der MaRisk. Die BaFin hat bereits angekündigt, dass sie zur Vermeidung einer Doppelregulierung dann redundante Teile der genannten Rundschreiben aufheben wird. Bestehende Verträge mit IKT Dienstleistern sollten Finanzunternehmen daher auf Compliance mit den Vorschriften der DORA überprüfen lassen und erforderlichenfalls im Wege von Nachverhandlungen anpassen. In diesem Zusammenhang müssen Finanzunternehmen neben den Bestimmungen der DORA und den zu ihr erlassenen delegierten Rechtsakten zwingend auch die Entwicklung der aufsichtlichen Praxis der zuständigen Aufsichtsbehörden – in Deutschland der BaFin – im Auge behalten.

Zuständiger Anwalt für die Beratung zur aufsichtsrechtlichen Compliance in Bezug auf DORA, den Umgang mit IKT Risiken sowie IT Auslagerungen in unserer Kanzlei ist Rechtsanwalt Anton Schröder.