DORA — Digital Operational Resilience Act
DORA (Verordnung EU 2022/2554) stärkt die digitale Betriebsstabilität des EU-Finanzsektors mit einheitlichen IKT-Risikomanagement- und Resilienzanforderungen.
Zusammenfassung
Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung (2022/2554), die einheitliche Anforderungen an das IKT-Risikomanagement, die Meldung von IKT-Vorfällen, Tests der digitalen Betriebsstabilität und das Management von Drittparteirisiken im Finanzsektor festlegt.
- IKT-Risikomanagement: Finanzunternehmen müssen umfassende Rahmenbedingungen für das Management von IKT-Risiken einrichten und aufrechterhalten.
- Vorfallsmeldung: Einheitliche Klassifizierung und Meldung schwerwiegender IKT-bezogener Vorfälle an Aufsichtsbehörden.
- Resilienztests: Regelmäßige Tests, einschließlich bedrohungsgesteuerter Penetrationstests (TLPT) für systemrelevante Institute.
- Drittparteirisiken: Strenge Anforderungen an Verträge mit IKT-Drittanbietern, insbesondere Cloud-Diensten.
Geschichte
DORA entstand als Reaktion auf die wachsende Abhängigkeit des Finanzsektors von digitalen Systemen und die zunehmenden Cyberangriffe auf Finanzinstitute. Die EU-Kommission legte den Entwurf im September 2020 als Teil des „Digital Finance Package“ vor. Nach Trilogverhandlungen wurde DORA am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und trat am 17. Januar 2023 in Kraft. Die Anwendbarkeit begann am 17. Januar 2025, nachdem die zugehörigen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS) von ESAs erarbeitet worden waren.
Geltungsbereich
DORA gilt direkt (ohne nationale Umsetzung) für ein breites Spektrum von Finanzunternehmen: Banken, Versicherungen, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Handelsplätze, Zentralverwahrer, zentrale Gegenparteien, Kreditratingagenturen, Verwalter alternativer Investmentfonds, OGAW-Verwaltungsgesellschaften und Krypto-Assetdienstleister. Darüber hinaus sind IKT-Drittanbieter, die als „kritisch“ eingestuft werden, der direkten Aufsicht durch europäische Aufsichtsbehörden (ESAs) unterworfen.
Kernanforderungen
- IKT-Risikomanagement-Rahmenwerk: Umfassende Strategie, Governance, kontinuierliche Überwachung und Verbesserung.
- Vorfallsmanagement: Klassifizierung, Meldung innerhalb definierter Fristen (Erstmeldung: 4 Stunden für kritische Vorfälle), Ursachenanalyse.
- TLPT: Bedrohungsgesteuerte Penetrationstests mindestens alle 3 Jahre für bedeutende Institute.
- Drittparteirisikomanagement: Vertragsanforderungen, Ausstiegsstrategien, Konzentrations-risikoüberwachung.
- Informationsaustausch: Freiwilliger Austausch von Bedrohungsinformationen zwischen Finanzinstituten.
- Governance: Klare Verantwortlichkeiten der Führungsebene für IKT-Risiken.