DORA

DORA has been in force since 17 January 2025, and financial companies must submit their Registers of Information to BaFin in accordance with DORA requirements by 11 April 2025. Financial companies should prepare themselves in advance and ensure that the registers are submitted in the correct form.

Die DORA bringt ab Januar 2025 einheitliche Vorgaben für die IKT-Sicherheit, doch Ausnahmen für kleinere Finanzunternehmen sorgen für Erleichterungen. Dennoch bleiben durch nationale Umsetzungsspielräume Unterschiede zwischen EU-Mitgliedstaaten bestehen.

DORA bringt neue Anforderungen an die digitale Resilienz von Finanzunternehmen, während die Abgrenzung zwischen Finanz- und IKT-Dienstleistungen im einzelnen Fragen aufwirft. Klare Auslegungsgrundsätze für die Interpretation der Regelungen werden dringend benötigt, um rechtliche Sicherheit für die Branche zu schaffen.

Die DORA schränkt die vertraglichen Freiheiten der Finanzunternehmen und IKT-Drittdienstleister erheblich ein, indem sie eine Reihe zwingender Vorgaben zur Vertragsgestaltung macht. Dadurch könnten gerade mittelständische Finanzunternehmen in eine stärkere Verhandlungsposition rücken, während selbst große IKT-Anbieter verpflichtet werden, die neuen Vorgaben umzusetzen.

Die DORA verpflichtet Finanzunternehmen, dass IKT-Drittparteienrisiko durch eine angemessene Vertragsgestaltung zu managen. Hierzu gibt die DORA Mindestinhalte vor, die die Position des Finanzinstituts stärken und die Sicherheit erhöhen sollen. Doch welche Folgen hat dies auf künftige und bestehende Verträge?

Die DORA verlangt von den betroffenen Finanzunternehmen die Durchführung regelmäßiger Tests ihrer digitalen operationalen Resilienz. Doch was sehen diese Tests eigentlich vor und müssen alle Finanzunternehmen dieselben Tests durchführen?

Die BaFin beaufsichtigt eine große Zahl von Finanzunternehmen und stellt an diese eine Reihe von Anforderungen an die eingesetzte IT. Nun steht das Inkrafttreten der DORA kurz bevor. In Zukunft wird sich der Umgang mit Informations- und Kommunikationstechnologie (IKT) nach den Vorgaben der DORA richten. Doch inwieweit unterscheidet sich die DORA in ihren Anforderungen von denjenigen, deren Einhaltung die BaFin bereits jetzt fordert?

Die DORA legt Finanzunternehmen eine Reihe neuer Pflichten auf. Dies kann besonders für kleine Unternehmen eine hohe Belastung darstellen. Doch wer fällt eigentlich in den Anwendungsbereich der Verordnung und sind die Spielregeln für alle Betroffenen dieselben?

Nicht nur MiCAR wird die europäische Kryptobranche in den kommenden Jahren beschäftigen. Auch die DORA Verordnung wird unmittelbar auf Krypto-Dienstleister und Token-Emittenten anwendbar sein. Aber was bedeutet das für die Branche?