DORA – Digital Operational Resilience Act

Wer kleine Kinder hat, assoziiert mit der Bezeichnung „DORA“ möglicherweise die gleichnamige US-Zeichentrickserie „Dora the Explorer“. Die siebenjährige Dora reist mit ihren Freunden um die Welt und löst dabei verschiedene Rätsel. Für viele Marktteilnehmer aus dem Finanzsektor gibt auch die DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, (noch) Rätsel auf. Was ist „die“ DORA und was regelt sie eigentlich? Für wen und ab wann gilt die DORA und was kommt spezifisch an Anforderungen auf die Betroffenen zu? In unserem Quick Bite geben wir erste Antworten. 

Hintergrund und Regelungsgegenstand

Die DORA ist wie das DLT Pilot Regime (Verordnung (EU) 2022/858 des Europäischen Parlaments und des Rates vom 30.5.2022 über eine Pilotregelung für auf Basis der DLT basierende Marktinfrastrukturen) und die MiCAR (Verordnung (EU) 2023/1114 über Märkte für Kryptowerte) Teil des Maßnahmenpakets der Europäischen Kommission vom 24. September 2020 zur Digitalisierung des Finanzsektors. Ergänzt wird die DORA durch die digitale operative Resilienz Richtlinie (EU) 2022/2556 vom 14. Dezember 2022. Verordnung und Richtlinie bilden zusammen das sog. DORA-Paket.

Mit der DORA soll in Europa ein einheitlicher Standard für die digitale Betriebsstabilität im gesamten Finanzsektor geschaffen werden, die bei voranschreitender Digitalisierung des Finanzmarkts immer wichtiger wird. Um ein hohes Niveau an digitaler operativer Resilienz (Widerstandsfähigkeit) zu erreichen, werden durch die DORA einheitliche Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen festgelegt, die Geschäftsprozesse von Finanzunternehmen unterstützen. 

Zentraler Anknüpfungspunkt der Regulierung sind die sog. Informations- und Kommunikationstechnologien, an deren Verwendung die DORA verschiedene Anforderungen stellt. Umfasst ist die Informationsübertragung bzw. die Weiterleitung, Codierung und Speicherung von Informationen. Nach der Europäischen Kommission umfassen Informations- und Kommunikationstechnologien (IKT) „alle technischen Medien, die für die Handhabung von Informationen und zur Unterstützung der Kommunikation eingesetzt werden; hierzu zählen unter anderem Computer- und Netzwerkhardware sowie die zugehörige Software.“ 

An Unternehmen der Finanzbranche (sog. Finanzunternehmen), die IKT verwenden, werden die folgenden Anforderungen festgelegt, und zwar in Bezug auf:

• Risikomanagement im Bereich IKT. Dies umfasst ein wirksames und umsichtiges Management von IKT-Risiken, für das das Leistungsorgan die letztendliche Verantwortung trägt. Das erfordert u.a. Leitlinien, um hohe Standards in Bezug auf Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten; die Festlegung von Aufgaben und Verantwortlichkeiten für alle IKT-bezogenen Funktionen, eine sog. IKT-Geschäftsfortführungsleitlinie, IKT-Reaktions- und Wiederherstellungspläne sowie interne IKT-Revisionspläne, deren Einhaltung das Leistungsorgan überwacht und regelmäßig überprüft. Erforderlich sind zudem Leitlinien in Bezug auf Vereinbarungen über die Nutzung von IKT-Dienstleistungen, die von IKT-Dienstleistern bereitgestellt werden. 
• Meldung von IKT-Vorfällen und auf freiwilliger Basis erheblicher Cyberbedrohungen an die Behörden.
• Meldung schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle für bestimmte Finanzunternehmen (Kreditinstitute, Zahlungsinstitute, E-Geld-Institute).
• Tests der digitalen operationellen Resilienz.
• Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen.
• Maßnahmen für das solide Management des IKT-Drittparteienrisikos.

Daneben enthält die DORA auch Anforderungen an IKT-Drittdienstleister und – ähnlich wie die MaRisk und die BAIT in Deutschland für Auslagerungen (auch von IT-Dienstleistungen) – Anforderungen an Vereinbarungen über die Nutzung von IKT-Dienstleistungen. Dabei sind bestimmte Mindestinhalte zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister zwingend zu vereinbaren (Art. 30 Abs. 2 DORA). Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bedürfen zusätzlicher Regelungen (Art. 30 Abs. 3 DORA).

Adressaten der DORA

Die DORA gilt vornehmlich für sog. Finanzunternehmen. Dies sind die in Art. 2 Abs. 1 lit. a-t DORA genannten Unternehmen. Die Definition der Finanzunternehmen umfasst u.a. Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, MiFID-Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen und Emittenten vermögenswertereferenzierender Token (sog. ART) nach der MiCAR sowie Kapitalverwaltungsgesellschaften (KVGen), Versicherungs- und Rückversicherungsunternehmen einschließlich deren Vermittler, Ratingagenturen und Schwarmfinanzierungsdienstleister nach der ECSP-VO (Verordnung (EU) 2020/1503).

Die DORA gilt auch für sog. IKT-Drittdienstleister, die nicht als Finanzunternehmen angesehen werden. Das sind Unternehmen, die IKT-Dienstleistungen bereitstellen, d.h. „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“ (Art. 3 Nr. 21 DORA). So sind z.B. Anbieter von Cloud-Computing-Diensten, die Finanzunternehmen IKT-Dienstleistungen bereitstellen, eine Kategorie digitaler Infrastruktur, die unter die DORA fällt. 

Für bestimmte Unternehmen wie (kleine) registrierte KVGen nach § 2 Abs. 4 KAGB gilt die DORA hingegen nicht (Art. 2 Abs. 3 lit. a DORA).

Inkrafttreten und Anwendung

Die DORA wurde am 27. Dezember 2022 im Amtsblatt der EU veröffentlicht und ist am 17. Januar 2023 in Kraft treten. Für ihre Anwendung erhält die DORA allerdings eine Übergangsfrist von 2 Jahren und gilt damit verbindlich ab dem 17. Januar 2025. 

Umsetzung in Deutschland 

Mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG), das seit dem 22. Dezember 2023 als Regierungsentwurf vorliegt (BR-Drucksache 670/23), soll neben der MiCAR, der Neufassung der EU-Geldtransferverordnung (Verordnung (EU) 2023/1113) auch das DORA-Paket in Deutschland umgesetzt werden. So enthält § 26 des neu geschaffenen Kryptomärkteaufsichtsgesetzes - KMAG eine Ermächtigung der BaFin, bei Verstößen gegen die DORA Anordnungen zu treffen, um deren Einhaltung sicherzustellen.

Die BaFin sieht den deutschen Finanzsektor grundsätzlich in einer guten Ausgangsposition für die Anwendbarkeit von DORA ab 2025. Viele der durch das DORA-Paket auferlegten Pflichten werden von den deutschen Finanzdienstleistungsunternehmen aufgrund der bestehenden Verwaltungspraxis der BaFin in diesem Bereich bereits erfüllt. So existieren harmonisierte Auslagerungsanzeigen, aufsichtsrechtliche Rahmenbedingungen für IT-Mehrmandantendienstleister und harmonisierte Strukturen für das Meldewesen von IKT-Vorfällen.

In der praktischen Umsetzung von Bedeutung sind vor allem die Anforderungen an die vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern. Bei der Aufsetzung der Verträge sind die vorgegebenen Mindestelemente zu beachten und ggf. bestehende Verträge zu überprüfen, ob diese den Anforderungen der DORA entsprechen.