Welche Unternehmen sind von DORA betroffen?
Der Anwendungsbereich von DORA gilt finanzsektorübergreifend. In Art. 2 wird der Geltungsbereich noch mal klarer definiert. So gilt die Verordnung unter anderem für:
- Kontoinformationsdienstleister
- Anbieter von Krypto-Dienstleistungen
- Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- IKT-Drittdienstleister
Gemäß Art. 3 der Verordnung ist ein „IKT-Drittdienstleister“ definiert als:
„ein Unternehmen, das IKT-Dienstleistungen bereitstellt“.
IKT-Dienstleistungen hingegen sind:
„digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.
DORA erstreckt sich in ihrem Anwendungsbereich also nicht ausschließlich auf Unternehmen, die unmittelbar im Finanzsektor agieren. Sie umfasst auch mittelbar jene Unternehmen, die IKT-Dienstleistungen wie z. B. Software- oder Hardwarelösungen für Unternehmen im Finanzsektor bereitstellen.
Einige Bestimmungen der Verordnung hängen jedoch auch von der Unternehmensgröße ab. So sind viele Anforderungen für Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme von weniger als 2 Mio. EUR nicht umzusetzen.
Was wird in DORA geregelt?
DORA harmonisiert die verschiedenen Anforderungen an die Institute und Unternehmen in Bezug auf Informationssicherheit, Cybersecurity, IKT-Risikomanagement und digitale operationale Resilienz, um so vor allem auch einen faireren Wettbewerb innerhalb der EU zu schaffen. Relevante Anforderungen, die daraus resultieren, sind u. a.:
- Risikomanagement
Der zentrale Punkt von DORA ist das Risikomanagement. Es verlangt von Finanzunternehmen, ein robustes Risikomanagement-System zu implementieren, das alle Arten von IKT-Risiken identifiziert, bewertet und steuert. Dies beinhaltet die Entwicklung von Risikominderungsstrategien und die Implementierung von Kontrollmechanismen.
- ISMS (Informationssicherheitsmanagementsysteme)
Finanzunternehmen müssen ISMS implementieren, die den internationalen Standards entsprechen und regelmäßig aktualisiert werden.
- IKT-Drittparteirisikomanagement
DORA betont die Notwendigkeit, Risiken zu managen, die durch die Nutzung von IKT-Drittdienstleistern entstehen. Finanzunternehmen müssen die Sicherheitsmaßnahmen ihrer Lieferanten bewerten und überwachen, um sicherzustellen, dass diese den Anforderungen entsprechen.
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
DORA schreibt vor, dass Finanzunternehmen Prozesse für die schnelle Identifikation und Klassifizierung von IKT-bezogenen Vorfällen etablieren müssen. Mechanismen zur Berichterstattung solcher Vorfälle an die zuständigen Behörden sind ebenfalls erforderlich.
- Testen der digitalen operationalen Resilienz
Finanzunternehmen müssen regelmäßige Tests ihrer digitalen operationalen Resilienz durchführen. Dies beinhaltet sowohl interne als auch externe Tests, um Schwachstellen zu identifizieren und die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen.
- Vereinbarungen über den Austausch von Informationen
DORA fördert den Austausch von Informationen zwischen Finanzunternehmen und Behörden, um ein besseres Verständnis und eine bessere Reaktion auf IKT-Risiken zu ermöglichen.
- Neue Vertragsanforderungen
DORA führt neue Vertragsanforderungen ein, insbesondere im Hinblick auf Vereinbarungen mit IKT-Drittdienstleistern. Diese Anforderungen sollen sicherstellen, dass alle Verträge die notwendigen Sicherheitsstandards und -protokolle enthalten.
Ab wann gilt DORA und wird es eine Übergangsfrist geben?
Ab dem 17. Januar 2025 tritt DORA in Kraft.
Im Rahmen dieser Verordnung müssen Finanzunternehmen und IKT-Drittdienstleister bestehende Verträge nachverhandeln, um sie an die neuen Anforderungen anzupassen. Dabei sollen wesentliche Vertragsbestimmungen berücksichtigt werden.
Es ist keine Übergangsfrist für die Anpassung der bestehenden vertraglichen Vereinbarungen vorgesehen.
Daher ist ein dokumentierter Implementierungszeitplan erforderlich, um die Umsetzung zeitnah zu gewährleisten.
Gibt es Schnittstellen zu der NIS-2-Richtlinie?
Im Dezember 2022 wurde die NIS-2-Richtlinie veröffentlicht, um das Cybersecurity-Niveau und insbesondere die Sicherheit kritischer Sektoren innerhalb der EU sicherzustellen.
DORA nimmt namentlich Bezug auf NIS-2. So wird z. B. in EW 16 von DORA gesagt, dass es sich bei der Verordnung um eine Spezialregelung zur NIS-2-Richtlinie handelt. Fallen Unternehmen also in den Geltungsbereich beider Rechtsvorschriften, hat DORA Vorrang vor NIS-2. In DORA wird es wie folgt beschrieben:
Folglich verkörpert [DORA] eine Lex specialis zu [NIS-2]. Es ist zugleich von entscheidender Bedeutung, dass eine enge Beziehung zwischen dem Finanzsektor und dem derzeit in [NIS-2] festgelegten horizontalen Rahmen der Union für Cybersicherheit aufrechterhalten wird […].
In Situationen, in denen die NIS-2-Richtlinie Bereiche abdeckt, die von DORA nicht berücksichtigt werden, müssen Unternehmen dennoch die NIS-2-Richtlinie beachten.
Was geschieht mit den geltenden nationalen Regelungen?
Die deutsche Bankenaufsicht plant die aktuell geltenden „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) zu überprüfen, um Überschneidungen mit DORA zu verhindern.
Die BAIT richten sich primär an die Geschäftsleitungen der Kreditinstitute, aber auch an die unter DORA fallenden zahlungsdiensteaufsichtlichen, versicherungsaufsichtlichen und kapitalverwaltungsaufsichtlichen Anforderungen an die IT (ZAIT, VAIT und KAIT). Diese Anforderungen sowie MaRisk bedürfen dann ebenfalls einer Überprüfung.
DORA hat als EU-Verordnung, einen Vorrang vor nationalen Gesetzen. Bei Überschneidungen mit nationalen Regelungen gilt DORA als maßgeblich und ist vorrangig anzuwenden.
Wer ist zuständig bei DORA?
In Art. 46 von DORA werden die Behörden aufgelistet, die verantwortlich sind, die Befolgung der Verordnung bei den betroffenen Instituten und Unternehmen zu überwachen. Für Kreditinstitute, die als “bedeutend” gelten, ist primär die Europäische Zentralbank (EZB) zuständig. In Deutschland obliegt diese Aufgabe für andere Kreditinstitute der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Mit der Einführung von DORA ist ebenfalls vorgesehen, dass die BaFin in Deutschland als zentrale Meldestelle für IKT-Vorfälle im Finanzbereich fungieren wird. Zusätzlich wird sie Anzeigen im Rahmen des IKT-Drittparteimanagements entgegennehmen. D. h., dass Unternehmen verpflichtet sind, Risiken, die durch Drittparteien entstehen, an die BaFin zu berichten.
DORA strebt einen einheitlichen aufsichtsrechtlichen Ansatz an und setzt auf die Harmonisierung der Sicherheitspraktiken in der EU. Die Europäischen Aufsichtsbehörden „European Supervisory Authorities (ESA)“ sind für die Einführung und Überwachung verantwortlich. Diese Behörden umfassen die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), die Europäische Bankenaufsichtsbehörde (EBA) sowie die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA).
Insbesondere die neuen Befugnisse der ESA, wie Vertragskündigungsforderungen und Geldstrafen, sind relevant.
Mögliche Sanktionen im Rahmen von DORA
Unternehmen, die die mit DORA verbundenen Anforderungen bis zum 17.01.2025 nicht erfüllt haben, sollten ab diesem Zeitpunkt mit Sanktionen seitens der zuständigen Behörden rechnen.
Die Mitgliedstaaten haben die Möglichkeit, neben den verwaltungsrechtlichen Sanktionen, die von den zuständigen Behörden verhängt werden, auch strafrechtliche Strafen zu verhängen, gem. Art. 50 ff. DORA.
Die Höhe der Zwangsgelder, die gegen IKT-Drittdienstleister verhängt werden können, ist auf ein Prozent des durchschnittlichen weltweiten Tagesumsatzes begrenzt, den der betreffende kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat, gem. Art. 35 Abs. 8 DORA.
Des Weiteren müssen verwaltungsrechtliche Sanktionen gem. Art. 54 Abs. 1 DORA von den zuständigen Behörden auf ihren Webseiten veröffentlicht werden.
Handlungsempfehlung
- Unternehmen, die in den Anwendungsbereich von DORA fallen, müssen durch ein Audit die daraus entstehenden erforderlichen Maßnahmen ermitteln. Anschließend sind die erforderlichen Maßnahmen zu ergreifen, um die Compliance vollständig sicherzustellen.
- IKT-Drittdienstleister sollen sicherstellen, dass ihre Anforderungen aus DORA, die aus dem Verhältnis zum Auftraggeber stammen, der die eigenen IKT-Dienste in Anspruch nimmt, an Sie weiterleitet. Anschließend sollten Sie diese Anforderungen umsetzen.
- Bei bestehenden Verträgen mit IKT-Drittdienstleistern ist zu überprüfen und sicherzustellen, dass diese den Anforderungen der DORA entsprechen.
Quellen:
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022R2554
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:02022L2555-20221227
www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
www.bundesbank.de/de/aufgaben/bankenaufsicht/einzelaspekte/risikomanagement/bait-dora-598580