Regulierung28. September 2020

DORA – Digital Operational Resilience Act – EU-Verordnung für digitale Resilienz im Finanzsektor

Von Dr. Andreas Windisch
Asquared Blog Post DE - DORA - Digital Operational Resilience Act (3195 Downloads )
Der Digital Operational Resilience Act (DORA) wurde im September 2020 von der EU-Kommission vorgeschlagen, um die digitale Widerstandsfähigkeit des Finanzsektors zu stärken. Banken, Versicherungen, Zahlungsdienstleister und ihre IT-Dienstleister müssen künftig strenge Vorgaben zu Risikomanagement, Vorfallmeldungen und Auslagerungen erfüllen. Da DORA spätestens 2025 verbindlich wird, ist es entscheidend, dass Unternehmen sich frühzeitig mit den Anforderungen befassen.

Wer oder was ist DORA?

Am 24. September 2020 veröffentlichte die EU-Kommission den Verordnungsvorschlag zur digitalen operativen Resilienz im Finanzsektor, bekannt als Digital Operational Resilience Act (DORA), Teil des „Digital Finance“-Pakets der EU. Ziel ist es, die Fragmentierung der Cyber- und IT-Risikovorschriften in der Finanzbranche zu beenden und erstmals einheitliche, sektorübergreifende Mindestanforderungen an die digitale Resilienz von Finanzdienstleistungsunternehmen zu schaffen

Wen betrifft die Verordnung?

Der Entwurf sieht vor, dass alle Finanzunternehmen im Binnenmarkt direkt erfasst werden, ohne vorherige nationale Umsetzung, darunter Banken, Versicherungen, Investmentfirmen usw. Auch IKT-Drittanbieter (Anbieter von Informations- und Kommunikationstechnologie), insbesondere solche mit systemischer Bedeutung, werden adressiert: Die Verordnung sieht vor, dass kritische Drittanbieter besondere Anforderungen erfüllen und einer EU-weiten Aufsicht unterliegen können.

Was sind die Kernelemente der Verordnung?

Der DORA-Verordnungsentwurf strukturiert sich entlang zentraler Anforderungen:

  1. IKT-Risikomanagement – Finanzakteure sollen über ein robustes Framework verfügen, um Risiken aus Informationstechnologie systematisch zu managen.
  2. Meldung von IKT-bezogenen Vorfällen – Einheitliche Schwellenwerte und Taxonomien sollen eingeführt werden, um gravierende IT-Störungen zu identifizieren und zu melden.
  3. Operational Resilience Testing – Der Vorschlag fordert regelmäßige Tests, um Schwachstellen zu identifizieren und Resilienz zu gewährleisten.
  4. Risikomanagement bei Drittanbietern – Einschließlich Due Diligence, Überwachung und Regelungen für Auslagerungen an ICT-Dienstleister.
  5. Informationsaustausch über Cyber-Bedrohungen und Zwischenfälle – um sektorenweite Abwehr zu stärken

Was müssen betroffene Unternehmen tun?

Es liegen zwar noch keine finalen Vorgaben vor, aber der Entwurf signalisiert stark in Richtung klarer Pflichten:

  • Aufbau oder Anpassung eines IKT-Risikomanagement-Frameworks; Governance und Strategie für digitale Resilienz.
  • Einrichtung eines Vorfallmanagements mit Meldewegen und Schwellenwerten für IKT-Vorfälle.
  • Regelmäßige Tests, z. B. auf Liefersicherheit oder Belastungsszenarien.
  • Überprüfung und Vertragsgestaltung gegenüber ICT-Drittanbietern, insbesondere im Bereich Cloud oder kritischer Infrastruktur.
  • Aufbau oder Beteiligung an Informationsnetzwerken zum Cyber-Threat-Sharing.

All das im Bewusstsein, dass kleinere Unternehmen proportional entlastet werden können – zum Beispiel durch einen „vereinfachten IKT-Risikomanagementrahmen“.

Welche Timeline gilt es zu beachten?

DORA ist ein vielversprechender Verordnungsvorschlag, der den digital bedingten Risiken im Finanzsektor EU-weit einen kohärenten, einheitlichen Rahmen geben soll. Mit Fokus auf IKT-Risiken, Incident-Reporting, Resilienz-Tests, Drittanbieter-Oversight und Cybersharing will DORA regulatorische Fragmentierung beenden und die Widerstandsfähigkeit der Finanzinstitute stärken.

Die EU strebt eine zügige Verabschiedung und Umsetzung an – wenngleich Details zur konkreten Umsetzungszeit, Detailvorgaben und Aufsichten noch ausstehen, lassen die gängigen zeitlichen Umsetzungshinweise die Konstruktion einer groben Timeline zu. Abbildung 1 illustriert den anzunehmenden zeitlichen Rahmen von heute bis zur verpflichtenden Anwendung der regulatorischen Anforderungen voraussichtlich Ende 2024 bzw. Anfang 2025.

DORA-Verordnung: Übersicht voraussichtliche Timeline

Für Finanzinnovatoren und IT-Verantwortliche bedeutete das: Die Weichen technologisch und organisatorisch zu stellen – im Bewusstsein, dass bald verpflichtende Pflichten rund um IKT-Resilienz auf EU-Ebene eingeführt werden.

Quellen

  1. Europäische Kommission, „Proposal for a Regulation on digital operational resi-lience for the financial sector (COM/2020/595 final)“, Link
  2. Europäische Kommission, „Explanatory Memorandum to the Proposal for a Regulation on digital operational resilience (Impact Assessment)“, Link
  3. Europäische Kommission, „Impact Assessment Report accompanying the DORA proposal (SWD(2020)198 final)“, Link

Dr. Andreas Windisch

Andreas ist Unternehmer und Berater in den Bereichen Automotive, Banking und Financial Services und beschäftigt sich seit über 20 Jahren mit der Entwicklung Software-basierter Systeme. Vor der Gründung von asquared war er bereits viele Jahre als Berater in verantwortlichen Rollen u.a. für den Aufbau der Kooperationsinitiativen paydirekt und verimi tätig.

Kommentar

Dieser Beitrag wurde noch nicht kommentiert.

Schreibe einen Kommentar