Startseite > Security > Spotlight: DORA

EU-Verordnung für Finanzsektor

Spotlight: DORA

23. April 2024, 7:30 Uhr | Diana Künstler

Die NIS-2-Richtlinie und ihr deutsches Umsetzungsgesetz soll Mindeststandards für die Cybersicherheit von besonders wichtigen und wichtigen Einrichtungen sicherstellen. Für den Finanzsektor bestehen seit letztem Jahr ebenfalls spezifische Vorgaben durch den Digital Operational Resilience Act.

Das Europäische Parlament und der Europäische Rat haben am 14. Dezember 2022 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act)¹, beschlossen. Die Verordnung wurde am 27. Dezember 2022 im Amtsblatt der europäischen Union veröffentlicht und ist am 17. Januar 2023 in Kraft getreten. Der Act soll wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologe (IKT) zu stärken. DORA ist als EU-Verordnung unmittelbar in den Mitgliedstaaten ab dem 17. Januar 2025 anwendbar.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Wer fällt drunter?

Bis auf wenige Ausnahmen fallen so gut wie alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors unter DORA. Außerdem führt DORA verschiedene Anforderungen an die Institute und Unternehmen in puncto Cybersicherheit, IKT-Risiken und digitale operationale Resilienz zusammen.

Im Besonderen adressiert der DORA auch die IKT-Drittdienstleister, die von den Finanzunternehmen beauftragt werden – also jene Unternehmen, die „IKT-Dienstleistungen“ bereitstellen. „IKT-Dienstleistungen“ sind digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen, mit Ausnahme herkömmlicher analoger Telefondienste (Art. 3 Absatz 1 Nr. 21 DORA).

Auch die Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank bereiten sich auf DORA vor. So wird beispielsweise die Finanzaufsicht BaFin in Deutschland zum nationalen Melde-Hub für IKT-Vorfälle im Finanzsektor. Außerdem nimmt die BaFin Anzeigen im Rahmen des IKT-Drittparteimanagements entgegen, zu denen die Institute und Unternehmen verpflichtet sind, und analysiert sie mit Blick auf potenzielle Risiken für den Finanzsektor.

Wen DORA betrifft
DORA ist eine finanzsektorübergreifende europäische Verordnung und bündelt und harmonisiert Regelungen bestehender sektoraler europäischer Verordnungen und Richtlinien. In den Geltungsbereich der europäischen Verordnung DORA fallen (Artikel 2 Absatz 1 DORA): CRR-Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token, Zentralverwahrer, zentrale Gegenparteien, Handelsplätze, Transaktionsregister, Verwalter alternativer Investmentfonds, Verwaltungsgesellschaften Datenbereitstellungsdienste, ersicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, Einrichtungen der betrieblichen Altersversorgung, Ratingagenturen, Administratoren kritischer Referenzwerte, Schwarmfinanzierungsdienstleister, Verbriefungsregister IKT-Dienstleister
Ausnahmen gelten für die folgenden Unternehmen (Artikel 2 Absatz 3 DORA): Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU; Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG; Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben; gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen; Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt; Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Wen DORA betrifft

DORA ist eine finanzsektorübergreifende europäische Verordnung und bündelt und harmonisiert Regelungen bestehender sektoraler europäischer Verordnungen und Richtlinien.

In den Geltungsbereich der europäischen Verordnung DORA fallen (Artikel 2 Absatz 1 DORA):

CRR-Kreditinstitute,
Zahlungsinstitute,
Kontoinformationsdienstleister,
E-Geld-Institute,
Wertpapierfirmen,
Anbieter von Krypto-Dienstleistungen, die gemäß der Verordnung des Europäischen Parlaments und des Rates über Märkte von Krypto-Werten (MiCAR) zugelassen sind, und Emittenten wertreferenzierter Token,
Zentralverwahrer,
zentrale Gegenparteien,
Handelsplätze,
Transaktionsregister,
Verwalter alternativer Investmentfonds,
Verwaltungsgesellschaften
Datenbereitstellungsdienste,
ersicherungs- und Rückversicherungsunternehmen,
Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
Einrichtungen der betrieblichen Altersversorgung,
Ratingagenturen,
Administratoren kritischer Referenzwerte,
Schwarmfinanzierungsdienstleister,
Verbriefungsregister
IKT-Dienstleister

Ausnahmen gelten für die folgenden Unternehmen (Artikel 2 Absatz 3 DORA):

Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU;
Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG;
Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben;
gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen;
Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt;
Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU.

Welche Anforderungen gibt es?

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in folgenden sechs wesentlichen Bereichen stärken:

IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)
Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
sowie Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)

Was bedeutet das?

Die Anforderungen an das IKT-Risikomanagement beispielsweise beinhalten einen umfassenden, gut dokumentierten und regelmäßig überprüften Risikomanagementrahmen, der Maßnahmen zur Identifizierung IKT-gestützter Prozesse sowie Risikoquellen, Schutz- und Präventionsmaßnahmen, Maßnahmen zur Erkennung von IKT-bezogenen Vorfällen, Gegen- und Wiederherstellungsmaßnahmen enthält. Ein effektives Risikomanagement soll durch einen internen Governance- und Kontrollrahmen gewährleistet werden.

Zudem müssen Finanzunternehmen einen Managementprozess für die Behandlung IKT-bezogener Vorfälle einrichten, der zudem Maßnahmen zur Überwachung, Protokollierung und Meldung derartiger Vorfälle umfasst. Die Vorfälle müssen klassifiziert werden. Schwerwiegende Vorfälle unterliegen der Meldepflicht.

Weiterhin haben Finanzunternehmen ein umfassendes Programm für das Testen der digitalen operationalen Resilienz zu erstellen. Dieses Testprogramm soll einen risikobasierten Ansatz verfolgen und unter anderem Open-Source-Analysen, Gap-Analysen, Kompatibilitätstests und Penetrationstests umfassen. Bedeutsame Finanzunternehmen haben außerdem regelmäßig weitergehende bedrohungsorientierte Pen-Tests vorzunehmen.

DORA sieht außerdem vor, dass Finanzunternehmen ihre Informationen und Erkenntnisse über Cyberbedrohungen auf Grund von Information-Sharing-Vereinbarungen miteinander austauschen können, um die digitale operationale Resilienz der Finanzunternehmen zu stärken.

Umsetzung in Deutschland

Das Gesetz über die Digitalisierung des Finanzmarktes soll die Europäische Verordnung MiCA² (Markets in Crypto Assets, Verordnung (EU) 2023/1114), die Neufassung der EU-Geldtransferverordnung³ (Transfer of Funds Regulation, Verordnung (EU) 2023/1113) sowie das europäische DORA-Paket⁴ (Digital Operational Resilience Act, Verordnung (EU) 2022/2554 und Richtlinie (EU) 2022/2556) zusammengefasst in einem Finanzmarktdigitalisierungsgesetz (FinmadiG)⁵ durchführen beziehungweise umsetzen.

Das Bundesministerium der Finanzen hat am 20. Dezember 2023 den Regierungsentwurf des Finanzmarktdigitalisierungsgesetzes veröffentlicht.

Ein Großteil der in diesem Artikel dargelegten Informationen basiert auf dem DORA-Fragenkatalog der BaFin. Er wird fortlaufend aktualisiert und findet sich unter: https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html

^{1 https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022R2554

2 https://www.bundesbank.de/en/tasks/banking-supervision/individual-aspects/micar-markets-in-crypto-assets-regulation-913886

3 https://www2.deloitte.com/content/dam/Deloitte/de/Documents/finance/Deloitte-Staerkere-Regulierung-von-Krypto-Transaktionen.pdf

4 https://www.consilium.europa.eu/de/press/press-releases/2021/11/24/digital-finance-package-council-reaches-agreement-on-mica-and-dora/

5 https://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Gesetzesvorhaben/Abteilungen/Abteilung_VII/20_Legislaturperiode/2023-12-20-FinmadiG/0-Gesetz.html}