Eine neue Verordnung, die in aller Munde ist, wenn es um Technologie im Finanzdienstleistungsbereich geht, zaubert ein Lächeln auf viele Gesichter. Sie wurde nach der berühmten amerikanischen Familienfernsehserie “Dora the Explorer” benannt, hat aber leider nicht viel mit dem kleinen hispanischen Mädchen gemeinsam, das mit seinem roten, stiefeltragenden Affen auf Abenteuerreise geht.
Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union Vorschriften für die gesamte Finanzdienstleistungsbranche zu Cyberrisiken, IKT-Risiken und digitaler operationeller Resilienz veröffentlicht (Verordnung (EU) 2022/2554).
- Nahezu alle beaufsichtigten Institute und Unternehmen des europäischen Finanzdienstleistungssektors müssen die Vorschriften einhalten.
- Sie zielt darauf ab, den Regulierungsraum zu vereinheitlichen, indem sie verschiedene Anforderungen an Institute und Unternehmen in den Bereichen Cyberrisiken, IKT-Risiken und digitale betriebliche Widerstandsfähigkeit zusammenfasst.
- Die Einhaltung der Vorschriften ist bis zum 17. Januar 2025 erforderlich.
Im Gegensatz zu den von der Europäischen Bankenaufsichtsbehörde veröffentlichten Leitlinien sind die DORA-Anforderungen europäisches Recht und gelten unmittelbar für Institute und Unternehmen im europäischen Finanzdienstleistungssektor – eine nationale Umsetzung durch lokale Behörden ist nicht erforderlich.
Im Zusammenhang mit DORA müssen die nationalen Aufsichtsbehörden ihre Aufsichtspraxis umgestalten und neue Verfahren einführen, z. B:
- Beaufsichtigung von zugewiesenen kritischen IKT-Drittdienstleistern
- als nationale Meldestellen für IKT-bezogene Vorfälle im Finanzsektor fungieren
- als nationale Meldestellen für IKT-Risiken von Drittanbietern fungieren und einen Makroüberblick über das IKT-Risiko des Finanzsektors bieten.
Die DORA-Vorschriften behandeln sechs Hauptthemen:
- IKT-Risikomanagement
- Meldung von IKT-Vorfällen und erheblichen Cyber-Bedrohungen
- Prüfung der digitalen operativen Belastbarkeit, einschließlich bedrohungsgesteuerter Penetrationstests (TLPT)
- Management von IKT-Drittanbietern
- Europäischer Überwachungsrahmen für kritische IKT-Drittdienstleister
- Informationsaustausch und Krisen- und Notfallübungen im Cyberspace
Die europäischen Aufsichtsbehörden (ESMA, EBA und EIOPA) arbeiten gemeinsam an der Weiterentwicklung der technischen Vorschriften und Durchführungsstandards (RTS/ITS).
Parallel zu den DORA-Veröffentlichungen wurden Leitlinien veröffentlicht, um die Konsistenz mit bestehenden Richtlinien wie Solvency II, Mifid II oder PSD II zu gewährleisten.
Bleiben Sie dran für neue Beiträge in unserer DI DORA-Serie.