Anforderungen sicher und strukturiert umsetzen
Mit dem Digital Operational Resilience Act führt die Europäische Union erstmals ein umfassendes regulatorisches Rahmenwerk zur Stärkung der digitalen Resilienz im Finanzsektor ein.
Die Verordnung verpflichtet Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologien (IKT) systematisch zu steuern, Cyberrisiken zu kontrollieren und ihre Widerstandsfähigkeit gegenüber IT-Störungen und Cyberangriffen deutlich zu erhöhen.
Die Creditreform Compliance Services unterstützt Finanzunternehmen bei der strukturierten Umsetzung der DORA-Anforderungen – von der GAP-Analyse über den Aufbau geeigneter Governance-Strukturen bis zur Implementierung eines belastbaren IKT-Risikomanagements.
Digitale Systeme bilden heute die Grundlage nahezu aller Geschäftsprozesse im Finanzsektor. Gleichzeitig steigen die Risiken durch Cyberangriffe, IT-Ausfälle und Abhängigkeiten von externen IKT-Dienstleistern.
Die DORA-Verordnung adressiert genau diese Herausforderungen. Ziel ist es, die digitale operationale Resilienz des europäischen Finanzsystems zu stärken und Finanzunternehmen widerstandsfähiger gegenüber digitalen Störungen zu machen.
Für betroffene Unternehmen bedeutet DORA insbesondere:
Welche Unternehmen konkret betroffen sind, hängt von der jeweiligen Rolle im Finanzsektor ab.
Die DORA-Verordnung gilt für eine Vielzahl regulierter Finanzunternehmen innerhalb der Europäischen Union. Dazu zählen insbesondere:
Neben den unmittelbar regulierten Finanzunternehmen sind auch zahlreiche IKT-Dienstleister mittelbar von DORA betroffen. Dazu zählen unter anderem Cloud-Anbieter, Rechenzentren, Managed Service Provider, SaaS-Anbieter und externe IT-Dienstleister.
DORA richtet sich primär an Finanzunternehmen. Diese müssen jedoch sicherstellen, dass auch ihre Dienstleister bestimmte regulatorische Anforderungen erfüllen. Dadurch entstehen Anforderungen an Vertragsgestaltung, Nachweise, Sicherheitsmaßnahmen, Kontrollrechte und das laufende Dienstleistermanagement.
Kritische IKT-Drittdienstleister können darüber hinaus einem europäischen Überwachungsrahmen unterliegen.
Unsere DORA Beratung kombiniert regulatorische Expertise mit pragmatischer Umsetzung.
Dabei verfolgen wir einen strukturierten Ansatz:
.
Unser Ziel ist es, Finanzunternehmen dabei zu unterstützen, DORA-Anforderungen effizient umzusetzen und gleichzeitig ihre digitale Resilienz nachhaltig zu stärken.
Die DORA-Verordnung gilt für eine Vielzahl von Unternehmen aus dem Finanzsektor innerhalb der Europäischen Union. Dazu gehören insbesondere Banken, Versicherungen, Wertpapierfirmen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, E-Geld-Institute, Kryptowerte-Dienstleister sowie weitere regulierte Finanzunternehmen. Auch bestimmte IKT-Drittdienstleister können mittelbar betroffen sein, wenn sie kritische Dienstleistungen für Finanzunternehmen erbringen.
Ziel der Verordnung ist es, die digitale operationelle Resilienz des europäischen Finanzsektors zu stärken und einheitliche Anforderungen an Informationssicherheit, IKT-Risikomanagement, Vorfallmanagement und Drittparteiensteuerung zu schaffen.
Quelle: FAQs - Bafin sowie Verordnung (EU) 2022/2554)
Die DORA-Verordnung ist am 16. Januar 2023 in Kraft getreten und wird seit dem 17. Januar 2025 verbindlich angewendet. Seit diesem Datum müssen betroffene Finanzunternehmen die regulatorischen Anforderungen vollständig umsetzen und nachweisen können.
Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten, da es sich bei DORA um eine EU-Verordnung und nicht um eine nationales Umsetzungsgesetz erfordernde Richtlinie handelt.
Quelle: ESMA sowie Verordnung (EU) 2022/2554)
DORA und NIS2 verfolgen zwar beide das Ziel, die Cybersicherheit und digitale Resilienz in Europa zu stärken, unterscheiden sich jedoch deutlich im Anwendungsbereich und in der regulatorischen Struktur.
DORA ist eine sektorspezifische EU-Verordnung für den Finanzsektor und regelt detailliert Anforderungen an IKT-Risikomanagement, digitale Betriebsstabilität, Incident Reporting, Resilienztests sowie die Steuerung von IKT-Drittdienstleistern.
NIS2 hingegen ist eine EU-Richtlinie mit branchenübergreifendem Fokus auf kritische und wichtige Einrichtungen, beispielsweise aus Energie, Gesundheit, Transport oder Industrie. Sie muss jeweils durch nationale Gesetze umgesetzt werden.
Für Finanzunternehmen gilt DORA grundsätzlich als vorrangige Spezialregelung („lex specialis“) gegenüber NIS2.
Die wesentlichen Anforderungen aus DORA gelten seit dem 17. Januar 2025 verbindlich. Eine allgemeine Übergangsfrist über dieses Datum hinaus sieht die Verordnung grundsätzlich nicht vor.
Allerdings wurden und werden einzelne technische Regulierungsstandards (RTS) und Implementing Technical Standards (ITS) schrittweise konkretisiert und veröffentlicht. Unternehmen mussten daher bereits vor dem Anwendungsbeginn entsprechende Vorbereitungen treffen, um die Anforderungen fristgerecht erfüllen zu können.
Quelle: Europäische Aufsichtsbehörden sowie Bafin
Nutzen Sie unseren kostenlosen Rückrufservice oder schreiben Sie uns eine Nachricht
Abonnieren Sie unseren Newsletter