Digital Operational Resilience Act (DORA) - Was Unternehmen jetzt beachten müssen

(AG) Die neue EU-Verordnung DORA ist da und stellt einen wichtigen Schritt in Richtung einer erhöhten digitalen operationalen Resilienz bzw. Widerstandsfähigkeit von digitalen Systemen gegenüber Störungen für den Finanzsektor dar. Mit dem Ziel, die IT-Sicherheit von Finanzunternehmen wie Banken und Versicherungsunternehmen zu stärken, führt DORA umfassende Vorschriften für das Risikomanagement von Informations- und Kommunikationstechnologien (IKT [oder ITK]) ein.

Welche Unternehmen sind von DORA betroffen?

Der Anwendungsbereich von DORA gilt finanzsektorübergreifend. In Art. 2 wird der Geltungsbereich noch mal klarer definiert. So gilt die Verordnung unter anderem für:

  • Kontoinformationsdienstleister
  • Anbieter von Krypto-Dienstleistungen
  • Datenbereitstellungsdienste
  • Versicherungs- und Rückversicherungsunternehmen
  • IKT-Drittdienstleister

Gemäß Art. 3 der Verordnung ist ein „IKT-Drittdienstleister“ definiert als:

„ein Unternehmen, das IKT-Dienstleistungen bereitstellt“.

IKT-Dienstleistungen hingegen sind:

„digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.

DORA erstreckt sich in ihrem Anwendungsbereich also nicht ausschließlich auf Unternehmen, die unmittelbar im Finanzsektor agieren. Sie umfasst auch mittelbar jene Unternehmen, die IKT-Dienstleistungen wie z. B. Software- oder Hardwarelösungen für Unternehmen im Finanzsektor bereitstellen.

Einige Bestimmungen der Verordnung hängen jedoch auch von der Unternehmensgröße ab. So sind viele Anforderungen für Kleinstunternehmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz bzw. einer Bilanzsumme von weniger als 2 Mio. EUR nicht umzusetzen.

Was wird in DORA geregelt?

DORA harmonisiert die verschiedenen Anforderungen an die Institute und Unternehmen in Bezug auf Informationssicherheit, Cybersecurity, IKT-Risikomanagement und digitale operationale Resilienz, um so vor allem auch einen faireren Wettbewerb innerhalb der EU zu schaffen. Relevante Anforderungen, die daraus resultieren, sind u. a.:

  • Risikomanagement
    Der zentrale Punkt von DORA ist das Risikomanagement. Es verlangt von Finanzunternehmen, ein robustes Risikomanagement-System zu implementieren, das alle Arten von IKT-Risiken identifiziert, bewertet und steuert. Dies beinhaltet die Entwicklung von Risikominderungsstrategien und die Implementierung von Kontrollmechanismen.
  • ISMS (Informationssicherheitsmanagementsysteme)
    Finanzunternehmen müssen ISMS implementieren, die den internationalen Standards entsprechen und regelmäßig aktualisiert werden.
     
  • IKT-Drittparteirisikomanagement
    DORA betont die Notwendigkeit, Risiken zu managen, die durch die Nutzung von IKT-Drittdienstleistern entstehen. Finanzunternehmen müssen die Sicherheitsmaßnahmen ihrer Lieferanten bewerten und überwachen, um sicherzustellen, dass diese den Anforderungen entsprechen.
     
  • Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
    DORA schreibt vor, dass Finanzunternehmen Prozesse für die schnelle Identifikation und Klassifizierung von IKT-bezogenen Vorfällen etablieren müssen. Mechanismen zur Berichterstattung solcher Vorfälle an die zuständigen Behörden sind ebenfalls erforderlich.
     
  • Testen der digitalen operationalen Resilienz
    Finanzunternehmen müssen regelmäßige Tests ihrer digitalen operationalen Resilienz durchführen. Dies beinhaltet sowohl interne als auch externe Tests, um Schwachstellen zu identifizieren und die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen.
     
  • Vereinbarungen über den Austausch von Informationen
    DORA fördert den Austausch von Informationen zwischen Finanzunternehmen und Behörden, um ein besseres Verständnis und eine bessere Reaktion auf IKT-Risiken zu ermöglichen.
     
  • Neue Vertragsanforderungen
    DORA führt neue Vertragsanforderungen ein, insbesondere im Hinblick auf Vereinbarungen mit IKT-Drittdienstleistern. Diese Anforderungen sollen sicherstellen, dass alle Verträge die notwendigen Sicherheitsstandards und -protokolle enthalten.

Ab wann gilt DORA und wird es eine Übergangsfrist geben?

Ab dem 17. Januar 2025 tritt DORA in Kraft.

Im Rahmen dieser Verordnung müssen Finanzunternehmen und IKT-Drittdienstleister bestehende Verträge nachverhandeln, um sie an die neuen Anforderungen anzupassen. Dabei sollen wesentliche Vertragsbestimmungen berücksichtigt werden.

Es ist keine Übergangsfrist für die Anpassung der bestehenden vertraglichen Vereinbarungen vorgesehen.

Daher ist ein dokumentierter Implementierungszeitplan erforderlich, um die Umsetzung zeitnah zu gewährleisten.

Gibt es Schnittstellen zu der NIS-2-Richtlinie?

Im Dezember 2022 wurde die NIS-2-Richtlinie veröffentlicht, um das Cybersecurity-Niveau und insbesondere die Sicherheit kritischer Sektoren innerhalb der EU sicherzustellen.

DORA nimmt namentlich Bezug auf NIS-2. So wird z. B. in EW 16 von DORA gesagt, dass es sich bei der Verordnung um eine Spezialregelung zur NIS-2-Richtlinie handelt. Fallen Unternehmen also in den Geltungsbereich beider Rechtsvorschriften, hat DORA Vorrang vor NIS-2. In DORA wird es wie folgt beschrieben:

Folglich verkörpert [DORA] eine Lex specialis zu [NIS-2]. Es ist zugleich von entscheidender Bedeutung, dass eine enge Beziehung zwischen dem Finanzsektor und dem derzeit in [NIS-2] festgelegten horizontalen Rahmen der Union für Cybersicherheit aufrechterhalten wird […].

In Situationen, in denen die NIS-2-Richtlinie Bereiche abdeckt, die von DORA nicht berücksichtigt werden, müssen Unternehmen dennoch die NIS-2-Richtlinie beachten.

Was geschieht mit den geltenden nationalen Regelungen?

Die deutsche Bankenaufsicht plant die aktuell geltenden „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) zu überprüfen, um Überschneidungen mit DORA zu verhindern.

Die BAIT richten sich primär an die Geschäftsleitungen der Kreditinstitute, aber auch an die unter DORA fallenden zahlungsdiensteaufsichtlichen, versicherungsaufsichtlichen und kapitalverwaltungsaufsichtlichen Anforderungen an die IT (ZAIT, VAIT und KAIT). Diese Anforderungen sowie MaRisk bedürfen dann ebenfalls einer Überprüfung.

DORA hat als EU-Verordnung, einen Vorrang vor nationalen Gesetzen. Bei Überschneidungen mit nationalen Regelungen gilt DORA als maßgeblich und ist vorrangig anzuwenden.

Wer ist zuständig bei DORA?

In Art. 46 von DORA werden die Behörden aufgelistet, die verantwortlich sind, die Befolgung der Verordnung bei den betroffenen Instituten und Unternehmen zu überwachen. Für Kreditinstitute, die als “bedeutend” gelten, ist primär die Europäische Zentralbank (EZB) zuständig. In Deutschland obliegt diese Aufgabe für andere Kreditinstitute der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Mit der Einführung von DORA ist ebenfalls vorgesehen, dass die BaFin in Deutschland als zentrale Meldestelle für IKT-Vorfälle im Finanzbereich fungieren wird. Zusätzlich wird sie Anzeigen im Rahmen des IKT-Drittparteimanagements entgegennehmen. D. h., dass Unternehmen verpflichtet sind, Risiken, die durch Drittparteien entstehen, an die BaFin zu berichten.

DORA strebt einen einheitlichen aufsichtsrechtlichen Ansatz an und setzt auf die Harmonisierung der Sicherheitspraktiken in der EU. Die Europäischen Aufsichtsbehörden „European Supervisory Authorities (ESA)“ sind für die Einführung und Überwachung verantwortlich. Diese Behörden umfassen die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), die Europäische Bankenaufsichtsbehörde (EBA) sowie die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA).

Insbesondere die neuen Befugnisse der ESA, wie Vertragskündigungsforderungen und Geldstrafen, sind relevant.

Mögliche Sanktionen im Rahmen von DORA

Unternehmen, die die mit DORA verbundenen Anforderungen bis zum 17.01.2025 nicht erfüllt haben, sollten ab diesem Zeitpunkt mit Sanktionen seitens der zuständigen Behörden rechnen.

Die Mitgliedstaaten haben die Möglichkeit, neben den verwaltungsrechtlichen Sanktionen, die von den zuständigen Behörden verhängt werden, auch strafrechtliche Strafen zu verhängen, gem. Art. 50 ff. DORA.

Die Höhe der Zwangsgelder, die gegen IKT-Drittdienstleister verhängt werden können, ist auf ein Prozent des durchschnittlichen weltweiten Tagesumsatzes begrenzt, den der betreffende kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat, gem. Art. 35 Abs. 8 DORA.

Des Weiteren müssen verwaltungsrechtliche Sanktionen gem. Art. 54 Abs. 1 DORA von den zuständigen Behörden auf ihren Webseiten veröffentlicht werden.

Handlungsempfehlung

  • Unternehmen, die in den Anwendungsbereich von DORA fallen, müssen durch ein Audit die daraus entstehenden erforderlichen Maßnahmen ermitteln. Anschließend sind die erforderlichen Maßnahmen zu ergreifen, um die Compliance vollständig sicherzustellen.
  • IKT-Drittdienstleister sollen sicherstellen, dass ihre Anforderungen aus DORA, die aus dem Verhältnis zum Auftraggeber stammen, der die eigenen IKT-Dienste in Anspruch nimmt, an Sie weiterleitet. Anschließend sollten Sie diese Anforderungen umsetzen.
  • Bei bestehenden Verträgen mit IKT-Drittdienstleistern ist zu überprüfen und sicherzustellen, dass diese den Anforderungen der DORA entsprechen.

Quellen:

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022R2554

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:02022L2555-20221227

www.bafin.de/DE/Aufsicht/DORA/DORA_node.html

www.bundesbank.de/de/aufgaben/bankenaufsicht/einzelaspekte/risikomanagement/bait-dora-598580

(AG) Die neue EU-Verordnung DORA ist da und stellt einen wichtigen Schritt in Richtung einer erhöhten digitalen operationalen Resilienz bzw.…

Combined Shape

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

27.12.2023 Blog | Update-News, Datenschutz, Informationssicherheit

Der Einsatz von generativer Künstlicher Intelligenz (KI) in Unternehmen eröffnet neue Möglichkeiten, geht jedoch mit erheblichen…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

18.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AG) In Deutschland nutzen ca. 80% der Bevölkerung ab 14 Jahren Kommunikationsdienste wie WhatsApp. Doch was ist, wenn wir in einem privaten Chat…

Combined Shape

17.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AR) In einer zunehmend vernetzten Welt sind öffentliche WLAN-Netzwerke zu einem festen Bestandteil unseres Alltags geworden. Ob in Cafes, Flughäfen…

Combined Shape

14.12.2022 Blog | Informationssicherheit

Die Online-Dienste von Microsoft sind sowohl aus dem privatunternehmerischen als auch aus dem öffentlichen (u.a. Schulen und Behörden) Alltag nicht…

Combined Shape

08.06.2022 Blog | Update-News, Datenschutz, Informationssicherheit

Wie das Nachrichtenportal „heise online“ berichtete (Zero Day Lücke in Microsoft Office erlaubt Codeschmuggel), haben Sicherheitsforscher eine…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Ein IT-Sicherheitsvorfall kann für Unternehmen schwerwiegende Folgen haben.

Combined Shape

Der Digital Operational Resilience Act (DORA) soll in der EU einen einheitlichen Rahmen für ein effektives und umfassendes Management von…

Combined Shape

21.05.2024 Podcast | Update-News, Datenschutz, Informationssicherheit

Begleite uns in die Welt der Künstlichen Intelligenz (KI) und ihrer neuen Regulierung!

Combined Shape

In diesem Podcast nehmen wir dich mit auf eine Reise durch die Vorbereitung auf NIS-2.

Combined Shape

In dieser Folge geht es um die Chancen und Risiken des Einsatzes von KI in Unternehmen. Es geht um Anforderungen, rechtliche Unsicherheiten und…

Combined Shape

In dieser Folge geht es um den Wert der Priavtsphäre und warum Datenschutzmanagement wichtig ist.

Combined Shape

Gute Nachrichten! Die Ära der Passwörter ist vorbei!

Combined Shape

In diesem Podcast geht es um das Thema ISO-Zertifizierungen im digitalen Zeitalter.

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In unserer neusten Folge geht es um das wichtige Thema Business Continuity Management.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zusammenspiel von physischer Sicherheit und…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die technische Anwendung von Datenschutz auf…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um Business Continuity Management.

Combined Shape

22.03.2022 Podcast | Informationssicherheit

In der neuen Folge geht es um die anlasslose Prüfung durch das BayLDA.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

02.11.2021 Podcast | Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Videoüberwachung.

Combined Shape

19.10.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenpannen.

Combined Shape

In der neuen Folge geht es um Sicherheit in Lieferketten und welche Rolle die Dienstleister dabei spielen.

Combined Shape

13.04.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

Die neue Folge behandelt den Drittstaatentransfer mit aktuellem Bezug zum US-Anbieter Mailchimp, nachdem eine Beschwerde gegen ein Unternehmen…

Combined Shape

30.03.2021 Podcast | Informationssicherheit

Im aktuellen Podcast geht es um den aktuellen Vorfall und die Sicherheitslücken bei Microsoft Exchange.

Combined Shape

02.03.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um KI und wie diese mit datenschutzrechtlichen Anforderungen zusammenzubringen ist.

Combined Shape

02.02.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um den Hype um die neue, exklusive Social Media Plattform Clubhouse und ihren Datenschutz.

Combined Shape

In der neuen Folge geht es um Incident Management und IT-Sicherheitsvorfälle.

Combined Shape

10.11.2020 Podcast | Informationssicherheit

In der neuen Folge geht es um die Sicherheit von Passwörtern, die Auswirkungen von unsicherer Passwortverwaltung und dem Einsatz von Passwortmanagern.

Combined Shape

27.10.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datensammelflut bei Alltagsgegenständen.

Combined Shape

29.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um den TISAX® Standard zur Informationssicherheit.

Combined Shape

01.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die sichere Softwareentwicklung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Sprachassistenten und Kameras im Gesundheitswesen.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Security Awareness und Social Engineering im Zusammenhang…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die aktuelle IT-Security Bedrohungslage für Unternehmen.

Combined Shape

26.05.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In dieser Folge geht es um Startups und Unternehmensgründung und die pragmatische Umsetzung vom Datenschutz und der Informationssicherheit sowie das…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Arbeitszeiterfassung per App oder in der Cloud.

Combined Shape

28.04.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In der Folge geht es um die Einführung von Microsoft 365 (vormals bekannt als Office 365) sowie die Risiken aus Sicht eines Unternehmens.

Combined Shape