Die Digital Operational Resilience Act (DORA) ist eine wegweisende EU-Verordnung, die darauf abzielt, die digitale Resilienz im Finanzsektor zu stärken. Doch was genau bedeutet das, wie ist DORA entstanden, und was müssen Unternehmen wissen, um die Anforderungen zu erfüllen? Wir erklären Ihnen die wichtigsten Aspekte DORAs.

Wie ist DORA entstanden?

DORA wurde von der Europäischen Union entwickelt, um auf die wachsenden Risiken der Digitalisierung im Finanzsektor zu reagieren. Die zunehmende Abhängigkeit von Technologien, kombiniert mit einer steigenden Anzahl von Cyberangriffen, machte deutlich, dass ein einheitlicher Rechtsrahmen erforderlich ist.

Nach einer mehrjährigen Analysephase, in der die EU-Kommission Schwachstellen in der digitalen Infrastruktur identifizierte, wurde DORA 2020 als Teil des Digital Finance Package vorgestellt. Ziel war es, die Cybersicherheit zu verbessern, Systemausfälle zu minimieren und das Vertrauen der Verbraucher in digitale Finanzdienstleistungen zu stärken.

Nach intensiven Verhandlungen im Europäischen Parlament und dem Rat der EU wurde die Verordnung im Januar 2023 offiziell verabschiedet. Unternehmen haben bis Januar 2025 Zeit, die Anforderungen umzusetzen.

Was ist DORA und wen betrifft es?

DORA steht für Digital Operational Resilience Act und zielt darauf ab, die operative Belastbarkeit von Unternehmen in der Finanzbranche zu verbessern. Ziel der Verordnung ist es, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken, um sicherzustellen, dass diese auch bei IT-Ausfällen oder Cyberangriffen funktionsfähig bleiben. Gleichzeitig definiert DORA strenge Standards für den Umgang mit IT-Risiken, die über den eigenen Betrieb hinausgehen und auch externe Dienstleister betreffen. Dies stellt Unternehmen vor erhebliche Herausforderungen, die sorgfältig adressiert werden müssen, um finanzielle und rechtliche Konsequenzen zu vermeiden.

Die Verordnung betrifft:

• Banken, Versicherungen und Zahlungsdienstleister
• Krypto-Asset-Dienstleister
• Fondsmanager und Wertpapierfirmen
• IT-Dienstleister und Cloud-Anbieter, die Finanzunternehmen unterstützen
• Selbst kleinere Unternehmen im Finanzsektor fallen unter DORA, wobei für sie vereinfachte Anforderungen gelten können. Unternehmen außerhalb des Finanzsektors, die jedoch kritische IT-Dienstleistungen an Finanzinstitute liefern, müssen ebenfalls sicherstellen, dass sie die DORA-Vorgaben erfüllen.

Durch DORA werden Unternehmen verpflichtet, ihre IT-Systeme zu sichern, Vorfälle zu melden und Risiken, die durch Drittanbieter entstehen, zu minimieren.

Die 5 zentralen Säulen DORAs

Die Verordnung umfasst fünf Kernbereiche, die Unternehmen zwingend berücksichtigen müssen:

1. IKT-Risikomanagement: Unternehmen müssen ein robustes System zur Identifikation, Bewertung und Minderung von IT-Risiken implementieren. Dies gilt sowohl für eigene IT-Infrastrukturen als auch für jene, die durch externe Dienstleister genutzt werden.
2. Meldung von Vorfällen: Unternehmen müssen signifikante IT-Vorfälle zeitnah an die zuständigen Aufsichtsbehörden melden. Dies erfordert eine klare Definition, welche Vorfälle als „bedeutend“ gelten, und ein effizientes Meldeverfahren.
3. Prüfung der digitalen Resilienz: Regelmäßige Tests, darunter Penetrationstests und Notfallübungen, sind vorgeschrieben, um die Funktionsfähigkeit und Sicherheit von IT-Systemen zu überprüfen.
4. Management externer Dienstleister: Unternehmen müssen sicherstellen, dass Drittanbieter, wie Cloud- oder Software-Dienstleister, ebenfalls DORA-konform arbeiten. Dies umfasst detaillierte Verträge, regelmäßige Audits und klare Exit-Strategien für den Fall von Compliance-Verstößen.
5. Informationsaustausch: Finanzinstitute werden ermutigt, relevante Informationen über IT-Bedrohungen und Sicherheitsvorfälle auszutauschen, um die Gesamtresilienz des Sektors zu stärken.

Strafen bei Nichteinhaltung

Die genauen Strafen für Verstöße gegen DORA sind nicht zentral in der Verordnung festgelegt, da die Durchsetzung von den nationalen Behörden der EU-Mitgliedstaaten (z. B. in Deutschland von der BaFin) abhängt. Diese Behörden verfügen jedoch über umfassende Befugnisse, einschließlich der Möglichkeit, empfindliche Geldbußen zu verhängen und regulatorische Maßnahmen durchzusetzen.

Mögliche Sanktionen bei Verstößen gegen DORA

• Signifikante Geldbußen:
  Geldstrafen können ähnlich wie bei der DSGVO auf einem prozentualen Anteil des Jahresumsatzes basieren. Die Höhe ist jedoch von den jeweiligen nationalen Regeln und der Schwere des Verstoßes abhängig.
  Beispiele für solche Bußgelder aus anderen EU-Verordnungen (wie der DSGVO) reichen von 2 % bis 4 % des Jahresumsatzes oder einem festen Betrag von bis zu 10 Millionen Euro. Es ist wahrscheinlich, dass sich DORA an diesen Größenordnungen orientieren wird.
• Einschränkungen oder Betriebsaussetzungen:
  Die zuständigen Behörden können Unternehmen verpflichten, bestimmte Dienstleistungen einzustellen oder ihre Aktivitäten einzuschränken, wenn diese eine Bedrohung für die Finanzstabilität darstellen.
• Reputationsschäden:
  Neben Geldbußen können auch öffentliche Bekanntmachungen der Verstöße das Vertrauen von Kunden, Investoren und Partnern massiv beeinträchtigen.

Warum ist DORA relevant?

DORA bietet Unternehmen die Möglichkeit, ihre digitale Resilienz zu stärken und so nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch das Vertrauen von Kunden und Investoren zu gewinnen. Gleichzeitig schafft es einen einheitlichen Standard, der langfristig die Stabilität des gesamten Finanzsektors erhöht.

Welche Schritte sollten Unternehmen jetzt tätigen?

Um sich auf DORA vorzubereiten, sollten Unternehmen bereits jetzt folgende Maßnahmen ergreifen:

• IKT-Risikobewertung: Identifizieren Sie Schwachstellen in Ihren IT-Systemen und entwickeln Sie einen klaren Plan zur Risikominderung.
• Lieferantenmanagement: Stellen Sie sicher, dass Ihre Drittanbieter DORA-konform arbeiten, und führen Sie regelmäßige Audits durch.
• Notfallmanagement: Entwickeln Sie Krisenpläne und führen Sie regelmäßig Simulationen durch, um Ihre Mitarbeiter zu schulen.
• Technologische Aufrüstung: Investieren Sie in sichere Technologien wie Verschlüsselung, Multi-Faktor-Authentifizierung und kontinuierliches Monitoring.
• Schulungen: Sensibilisieren Sie Ihre Mitarbeiter*innen für IT-Risiken und stellen Sie sicher, dass sie über die DORA-Anforderungen informiert sind.

Ihr Partner für DORA-Compliance: VinciWorks

Die Anforderungen von DORA sind komplex, aber Sie müssen diese Herausforderung nicht allein bewältigen. VinciWorks bietet praxisnahe E-Learning Schulungen und innovative Tools, um Ihr Unternehmen fit für DORA zu machen.

Erfahren Sie mehr: VinciWorks kontaktieren