Am 28. November 2022 nahm der Europäische Rat den Digital Operational Resilience Act (DORA) an. Das Europäische Parlament hat darüber schon am 10. November 2022 entschieden. Damit ist das Gesetzgebungsverfahren beendet. Mit einer Veröffentlichung ist in Kürze, voraussichtlich bis zum Ende dieses Jahres, zu rechnen.
Geltung
DORA tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft und gilt 24 Monate nach diesem Inkrafttreten. Dies bedeutet, dass die betroffenen Finanzunternehmen die neue Regulierung Ende 2024 zu beachten haben. Bis dahin gibt es eine Übergangszeit zur Vorbereitung.
Aufgrund des weiten Geltungsbereiches sowie der strengen Anforderungen empfiehlt sich eine ausführliche Befassung mit der DORA bereits jetzt.
DORA als Reaktion auf gesteigerte Gefährdung von Finanzunternehmen durch Cyberangriffe
Die EU reagiert mit DORA auf die wachsende Gefahr für Unternehmen der Finanzindustrie durch Cyberbedrohungen und schafft EU-weit einheitliche Anforderungen. So soll sichergestellt werden, dass der europäische Finanzsektor im Falle einer schwerwiegenden Störung die Betriebsstabilität aufrechterhalten kann.
Von der Verordnung betroffene Unternehmen
Die Anforderungen betreffen die in Art. 2 DORA definierten Finanzunternehmen. Unter den Geltungsbereich fallen alle auf EU-Ebene regulierten und sonstige, im Finanzsektor tätigen Unternehmen und Organisationen sowie Drittleister, die ihnen Dienstleistungen im Bereich der Informations- und Kommunikationstechnologien (IKT) erbringen (bspw. Cloud-Plattformen). Letzter werden in der Verordnung IKT-Drittanbieter genannt.
Von den neuen Vorgaben werden eine Vielzahl an Unternehmen betroffen sein. Dies verlangt von den Unternehmen eine genaue Prüfung, ob und inwieweit eine Umsetzungsnotwendigkeit besteht.
Die wichtigsten Neuerungen
DORA bildet einen einheitlichen Rechtsrahmen für die EU und bezweckt, dass Unternehmen Störungen im Zusammenhang mit IKT bewältigen können.
Dazu müssen Finanzunternehmen zur Gewährleistung eines wirksamen Managements von IKT-Risiken zunächst über interne Governance- und Kontrollrahmen verfügen. Finanzunternehmen sind daneben zur Prüfung der digitalen Betriebsstabilität verpflichtet; die Anforderungen werden durch die Verordnung spezifiziert. Über allgemeine Tests hinaus besteht eine Verpflichtung zur Durchführung von Penetrationstests (TLPT). Daneben steht die umfassende Überwachung von IKT-Drittanbietern, woraus auch neue Anforderungen an die vertraglichen Regelungen mit solchen erwachsen. Schließlich werden auch die Meldepflichten bei Vorfällen in Bezug zu IKT verstärkt, so ist etwa ein spezifischer Incident-Management-Prozess einzurichten.