DORA | Digital Operational Resilience Act
Start am 17.01.2025

Der Zweck bzw. die Ziele von DORA sind die

• Stärkung der Sicherheit und operationalen Resilienz des gesamten europäischen Finanzsektors
• Schaffung einheitlicher und konsistenter Anforderungen für den gesamten Finanzsektor → Harmonisierung in der EU
• Berücksichtigung proportionaler Anforderungen → Prinzip der Proportionalität (z.B. gelten für Kleinstunternehmen andere Anforderungen)

Adressaten von DORA

Finanzunternehmen:

• Kreditinstitute
• Zahlungsinstitute, einschließlich gemäß der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute
• Kontoinformationsdienstleister
• E-Geld-Institute, einschließlich gemäß der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute
• Wertpapierfirmen
• Anbieter von Krypto-Dienstleistungen, die der Verordnung über Märkte von Krypto-Wertenzugelassen sind, und Emittenten wertreferenzierter Token
• Zentralverwahrer
• zentrale Gegenparteien
• Handelsplätze
• Transaktionsregister
• Verwalter alternativer Investmentfonds
• Verwaltungsgesellschaften
• Datenbereitstellungsdienste
• Versicherungs- und Rückversicherungsunternehmen
• Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit
• Einrichtungen der betrieblichen Altersversorgung
• Ratingagenturen
• Administratoren kritischer Referenzwerte
• Schwarmfinanzierungsdienstleister
• Verbriefungsregister

Sonstige Unternehmen:

• IKT-Drittdienstleister

Für bestimmte Adressaten gelten Vereinfachungen hinsichtlich der DORA-Anforderungen. Dies gilt für

• Kleine und nicht verflochtene Wertpapierfirmen
• Entsprechend der Richtlinie (EU) 2015/2366 ausgenommene Zahlungsinstitute
• Entsprechend der Richtlinie 2013/36/EU ausgenommene Institute, die Deutschland nicht vom Geltungsbereich von DORA ausgenommen hat
• Nach der Richtlinie 2009/110/EG ausgenommene E-Geld-Institute
• Kleine Einrichtungen der betrieblichen Altersversorgung
• Kleinstunternehmen

DORA findet zudem keine Anwendung auf folgende Unternehmen:

• Verwalter alternativer Investmentfonds im Sinne von Artikel 3 Absatz 2 der Richtlinie 2011/61/EU
• Versicherungs- und Rückversicherungsunternehmen im Sinne von Artikel 4 der Richtlinie 2009/138/EG
• Einrichtungen der betrieblichen Altersversorgung, die Altersversorgungssysteme mit insgesamt weniger als 15 Versorgungsanwärtern betreiben
• Gemäß den Artikeln 2 und 3 der Richtlinie 2014/65/EU ausgenommene natürliche oder juristische Personen
• Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit, bei denen es sich um Kleinstunternehmen oder kleine oder mittlere Unternehmen handelt
• Postgiroämter im Sinne von Artikel 2 Absatz 5 Nummer 3 der Richtlinie 2013/36/EU

Die Adressaten der DORA treffen insbesondere folgende Pflichten bzw. erwartete Handlungen:

• Einrichtung eines IKT-Risikomanagements
• Einrichtung eines IKT-Drittparteirisikomanagements
• Einrichtung eines IKT-Vorfallmeldewesens
• Durchführung von Tests der digitalen operationellen Resilienz inklusive fortgeschrittener Threat Led Penetration Tests („TLPT“) für „systemrelevante“ Finanzunternehmen
• Informationsaustausch mit anderen Finanzunternehmen sowie Cyberübungen

Das IKT-Risikomanagement besteht aus den folgenden Teilen:

Governance und Organisation

Die Geschäftsleitung hat ein wirksames und umsichtiges Management von IKT-Risiken zu gewährleisten, um ein hohes Niveau an digitaler operationaler Resilienz zu erreichen.

IKT-Risikomanagementrahmen:

Der IKT-Risikomanagementrahmen umfasst mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT- Protokolle und -Tools, die erforderlich sind, um alle Informations- und IKT-Assets, einschließlich Computer-Software, Hardware und Server, ordnungsgemäß und angemessen zu schützen sowie um alle relevanten physischen Komponenten und Infrastrukturen, wie etwa Räumlichkeiten, Rechenzentren und ausgewiesene sensible Bereiche zu schützen, damit der angemessene Schutz aller Informations- und IKT-Assets vor Risiken, einschließlich der Beschädigung und des unbefugten Zugriffs oder der unbefugten Nutzung, gewährleistet ist.

Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, haben die Zuständigkeit für das Management und die Überwachung des IKT-Risikos an eine Kontrollfunktion zu übertragen und stellen ein angemessenes Maß an Unabhängigkeit dieser Kontrollfunktion sicher, um Interessenkonflikte zu vermeiden. Finanzunternehmen müssen hierbei für eine angemessene Trennung und Unabhängigkeit von IKT-Risikomanagementfunktionen, Kontrollfunktionen und internen Revisionsfunktionen gemäß dem Modell der drei Verteidigungslinien oder einem internen Modell für Risikomanagement und Kontrolle sorgen.

IKT-Systeme, -Protokolle und -Tools

Um IKT-Risiken zu bewältigen und zu managen, haben Finanzunternehmen stets auf dem neuesten Stand zu haltende IKT-Systeme, -Protokolle und -Tools zu verwenden und unterhalten, die (a) angemessen, (b) zuverlässig, (c) mit ausreichenden Kapazitäten ausgestattet und (d) technologisch resilient sind.

Kontinuierliche Identifizierung aller Quellen für IKT-Risiken

Finanzunternehmen müssen kontinuierlich alle Quellen für IKT-Risiken ermitteln, insbesondere das Risiko gegenüber und von anderen Finanzunternehmen, und müssen Cyberbedrohungen und IKT-Schwachstellen, die für ihre IKT-gestützten Geschäftsfunktionen, Informations- und IKT-Assets relevant sind, bewerten. Zudem haben Finanzunternehmen regelmäßig, mindestens jedoch einmal jährlich die sie betreffenden Risikoszenarien zu überprüfen.

Schutz und Prävention

Um einen angemessenen Schutz von IKT-Systemen zu gewährleisten und Gegenmaßnahmen zu organisieren, haben Finanzunternehmen kontinuierlich die Sicherheit und das Funktionieren der IKT-Systeme und -Tools zu überwachen und zu kontrollieren und durch den Einsatz angemessener IKT-Sicherheitstools, -Richtlinien und -Verfahren die Auswirkungen von IKT-Risiken auf IKT-Systeme zu minimieren.

Erkennung

Finanzunternehmen haben über Mechanismen zu verfügen, um anomale Aktivitäten, darunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle, umgehend zu erkennen und potenzielle einzelne wesentliche Schwachstellen zu ermitteln.

Reaktion und Wiedererstellung

Als Teil des IKT-Risikomanagementrahmens legen Finanzunternehmen eine umfassende IKT-Geschäftsfortführungsleitlinie fest, die als eigenständige spezielle Leitlinie, die fester Bestandteil der allgemeinen Geschäftsfortführungsleitlinie des Finanzunternehmens ist, verabschiedet werden kann.

Backup und Restoration

Um die Wiederherstellung von IKT-Systemen und Daten mit minimaler Ausfallzeit sowie begrenzten Störungen und Verlusten sicherzustellen, haben Finanzunternehmen als Teil ihres IKT-Risikomanagementrahmens zu entwickeln und zu dokumentieren:

1. Richtlinien und Verfahren für die Datensicherung, in denen der Umfang der Daten, die der Sicherung unterliegen, und die Mindesthäufigkeit der Sicherung auf der Grundlage der Kritikalität der Informationen oder des Vertraulichkeitsgrads der Daten festgelegt werden;
2. Wiedergewinnungs- und Wiederherstellungsverfahren und -methoden.

Lernprozesse und Weiterentwicklung

Finanzunternehmen müssen über Kapazitäten und Personal verfügen, um Informationen über Schwachstellen und Cyberbedrohungen, IKT-bezogene Vorfälle, insbesondere Cyberangriffe, zu sammeln und ihre wahrscheinlichen Auswirkungen auf ihre digitale operationale Resilienz zu untersuchen.

Kommunikation

Als Teil des IKT-Risikomanagementrahmens müssen Finanzunternehmen über Kommunikationspläne verfügen, die je nach Sachlage eine verantwortungsbewusste Offenlegung zumindest von schwerwiegenden IKT-bezogenen Vorfällen oder Schwachstellen gegenüber Kunden und anderen Finanzunternehmen sowie der Öffentlichkeit ermöglichen.

Bzgl. des IKT-Drittparteirisikomanagements gelten folgende Prinzipien:

Verantwortung

Finanzunternehmen bleiben jederzeit im vollen Umfang für die Einhaltung und Erfüllung aller Verpflichtungen (DORA & Finanzdienstleistungsrecht) verantwortlich.

Grundsatz der Verhältnismäßigkeit

Das Management des IKT-Drittparteienrisikos orientiert sich an den IKT bezogenen Abhängigkeiten, den Risiken aus der Drittvergabe, der Kritikalität der betroffenen Funktion und den Auswirkungen auf Kontinuität und Verfügbarkeit.

Strategien

Strategie für das IKT-Drittparteienrisiko (ggf. unter Beachtung der Mehranbieter-Strategie) und eine dazugehörige Leitlinie zur Nutzung von Dienstleistungen von IKT-Drittdienstleistern zur Unterstützung kritischer oder wichtiger Funktionen.

Überprüfung der Risiken

Das Leitungsorgan prüft regelmäßig auf Grundlage des Gesamtrisikoprofils Risiken aus der Nutzung von IKT-Drittdienstleistern bezogen auf kritische oder wichtige Funktionen.

Interne Berichtspflichten

Das Leitungsorgan ist zu informieren über:  Vertragsvereinbarungen, relevante geplante wesentlichen Änderungen in Bezug auf IKT-Drittdienstleister, inkl. potenzieller Auswirkungen auf kritische oder wichtige Funktionen.

Informationsregister

Führung eines Informationsregisters mit allen vertraglichen Vereinbarungen; jährliche Meldung eines Berichts an die Aufsicht; auf Verlangen Vorlage des Informationsregisters.

Meldepflicht

Zeitnahe Unterrichtung der zuständigen Behörde über jede geplante vertragliche Vereinbarung zur Unterstützung kritischer oder wichtiger Funktionen.

Überwachungsfunktion

Einrichtung einer Überwachungsfunktion zur Nutzung von IKT-Drittdienstleistern (oder Übernahme durch ein Mitglied der Geschäftsleitung).

Vertragsmanagement

Das Vertragsmanagement umfasst alle Aufgaben, die den Abschluss und die Einhaltung von der Verträgen mit IKT-Drittdienstleistern betreffen. Diese Verträge müssen wesentliche Vertragsbestimmungen enthalten, die DORA vorgibt.

Geeignetheit von IKT-Drittdienstleistern

Vor Abschluss einer vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen müssen Finanzunternehmen bei potenziellen IKT-Drittdienstleistern der gebotenen Sorgfaltspflicht nachkommen und während des gesamten Auswahl- und Bewertungsprozesses sicherstellen, dass der IKT-Drittdienstleister geeignet ist.

Ausstiegsstrategien und -pläne

Diese vertraglichen Vereinbarungen müssen spezielle Ausstiegsstrategien vorsehen, die insbesondere verbindliche Übergangszeiträume ermöglichen, in denen die IKT-Drittdienstleister weiterhin die einschlägigen Dienste bereitstellen, um das Risiko von Störungen auf Ebene des Finanzunternehmens zu verringern oder es Letzterem zu ermöglichen, effektiv zu anderen IKT-Drittdienstleistern zu wechseln oder alternativ zu internen Lösungen zu wechseln, die der Komplexität der bereitgestellten IKT-Dienstleistungen entsprechen.

Finanzunternehmen haben alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen zu erfassen und zu dokumentieren. Finanzunternehmen sind verpflichtet schwerwiegende IKT-bezogener Vorfälle zu melden. Darüber hinaus können sie freiwillig erhebliche Cyberbedrohungen melden.

Finanzunternehmen haben ein Programm für Tests der digitalen operationalen Resilienz zu etablieren und zu pflegen. Das Testprogramm hat das Ziel IKT Systeme, Prozesse und Mitarbeitende auf die Effizienz der Fähigkeiten für Prävention, Erkennung, Reaktion und Wiederherstellung zu testen, um potenzielle Schwachstellen aufzudecken und zu beseitigen. Grundsätzlich unterscheidet DORA zwischen zwei Testarten:

• Grundlegende Tests von Schwachstellenbewertung und scans bis Penetrationstests für alle Finanzunternehmen
• Erweiterte Tests wie Threat Led Penetration Tests („TLPT“) nur für Finanzunternehmen, die aus IKT-Perspektive ausgereift genug und von gewisser systemischer Relevanz sind

DORA enthält Regelungen bzw. Anregungen zu folgenden Themen:

• Freiwilliger Austausch von Informationen und Erkenntnissen zwischen Finanzunternehmen zur Verbesserung der „Situational Awareness“
• Sektorübergreifende Krisenmanagement- und Notfallübungen mit Cyberbezug zur Verbesserung der Kommunikation und Stärkung der Resilienz im Finanzsektor – „Cyberübungen“