Häufig gestellte Fragen: Was ist die DORA-Verordnung, ab wann gilt sie und wer ist betroffen?
  1. Home
  2. Blog
  3. Häufig gestellte Fragen: Was ist die DORA-Verordnung, ab wann gilt sie und wer ist betroffen?

Häufig gestellte Fragen: Was ist die DORA-Verordnung, ab wann gilt sie und wer ist betroffen?

Veröffentlicht: 28. Dezember 2024 von Hannah und René

Einleitung

DORA, kurz für Digital Operational Resilience Act, ist eine EU-Verordnung, die darauf abzielt, die digitale Widerstandsfähigkeit von Finanzinstituten zu stärken, indem sie strenge Sicherheitsanforderungen an die Informations- und Kommunikationssysteme (IKT-Systeme) stellt.

{frontmatter.image.alt}

Seit wann gilt die DORA-Verordnung?

Die DORA-Verordnung trat bereits am 17. Januar 2022 in Kraft und wird ab dem 17. Januar 2025 angewendet. Ab diesem Zeitpunkt müssen alle betroffenen Organisationen die Anforderungen der Verordnung umsetzen.

In Deutschland wird die Verordnung durch das nationale Finanzmarktdigitalisierungsgesetz geregelt. Es dient der nationalen Umsetzung der EU-weiten DORA-Regelungen. Ein Gesetzentwurf wurde im Oktober 2023 veröffentlicht.

Wer ist von der DORA-Verordnung betroffen?

Gemäß Artikel 2 der DORA-Verordnung sind 21 verschiedene Arten von Finanz- und IT-Dienstleistungsunternehmen verpflichtet, strenge Standards zur IT-Sicherheit und Betriebsresilienz einzuhalten:

  1. Administratoren kritischer Referenzwerte: Organisationen, die wichtige Finanz-Benchmarks verwalten. Wenn Sie Referenzwerte für Finanzprodukte festlegen, sind Sie betroffen.
  2. Anbieter von Krypto-Dienstleistungen: Organisationen, die wichtige Finanz-Benchmarks verwalten. Wenn Sie Referenzwerte für Finanzprodukte festlegen, sind Sie betroffen.
  3. Datenbereitstellungsdienste: Unternehmen, die Finanzmarktinformationen bereitstellen. Wenn Sie Finanzdaten bereitstellen oder analysieren, gehören Sie dazu.
  4. E-Geld-Institute Unternehmen, die elektronische Geldmittel ausgeben, einschließlich derer, die nach der Richtlinie 2009/110/EG ausgenommen sind. Wenn Sie E-Geld ausgeben oder verwalten, betrifft DORA Ihr Unternehmen.
  5. Einrichtungen der betrieblichen Altersvorsorge: Organisationen, die betriebliche Altersvorsorgepläne verwalten. Wenn Ihr Unternehmen Pensionspläne anbietet oder verwaltet, sind Sie betroffen.
  6. Handelsplätze: Plattformen, auf denen Wertpapiere oder andere Finanzinstrumente gehandelt werden. Wenn Sie einen solchen Handelsplatz betreiben, sind Sie betroffen.
  7. IKT-Drittdienstleister: Anbieter von IKT-Diensten, die für Finanzinstitute von wesentlicher Bedeutung sind. Wenn Sie IT-Dienstleistungen für Finanzinstitute erbringen, sind Sie betroffen.
  8. Kontoinformationsdienstleister: Dienstleister, die Kunden Kontoinformationen von einem oder mehreren Zahlungskonten bereitstellen. Wenn Sie Kontoinformationen aggregieren oder zugänglich machen, gehören Sie zu dieser Gruppe.
  9. Kreditinstitute: Alle Banken und Finanzinstitute, die Kreditgeschäfte betreiben, fallen unter diese Kategorie. Wenn Ihr Unternehmen Kredite vergibt oder Bankdienstleistungen anbietet, gehört es hierher.
  10. Ratingagenturen: Unternehmen, die Kreditratings für Unternehmen oder Finanzinstrumente erstellen. Wenn Sie Ratings anbieten, gehören Sie zu dieser Gruppe.
  11. Schwarmfinanzierungsdienstleister: Plattformen, die Crowdfunding-Dienste anbieten. Wenn Sie Crowdfunding-Dienste betreiben, gehören Sie hierher.
  12. Transaktionsregister: Register, in denen Finanztransaktionen aufgezeichnet werden. Wenn Ihr Unternehmen Transaktionsdaten speichert, gehört es in diese Kategorie.
  13. Verbriefungsregister: Unternehmen, die Daten zu Verbriefungen speichern und bereitstellen. Wenn Ihr Unternehmen in der Verbriefung tätig ist, fällt es unter diese Regelung.
  14. Versicherungs- und Rückversicherungsunternehmen: Unternehmen, die Versicherungen und Rückversicherungen anbieten. Wenn Sie in diesen Bereichen tätig sind, fallen Sie unter die Verordnung.
  15. Versicherungsvermittler: Vermittler, die Versicherungen, Rückversicherungen oder Versicherungen in Nebentätigkeit anbieten. Wenn Sie als Vermittler tätig sind, betrifft DORA Ihr Unternehmen.
  16. Verwalter alternativer Investmentfonds: Unternehmen, die alternative Investmentfonds verwalten. Wenn Ihr Unternehmen alternative Investments betreut, ist es betroffen.
  17. Verwaltungsgesellschaften: Organisationen, die Investmentfonds oder Pensionskassen verwalten. Wenn Ihr Unternehmen in der Verwaltung solcher Fonds tätig ist, fällt es unter diese Regelung.
  18. Wertpapierfirmen: Unternehmen, die Wertpapierdienstleistungen anbieten oder Wertpapiertransaktionen durchführen. Wenn Ihr Unternehmen im Bereich Wertpapiere tätig ist, fällt es unter diese Kategorie.
  19. Zahlungsinstitute: Unternehmen, die Zahlungsdienste anbieten, einschließlich derer, die nach der Richtlinie (EU) 2015/2366 ausgenommen sind. Wenn Ihr Unternehmen Zahlungen verarbeitet oder Zahlungslösungen anbietet, sind Sie betroffen.
  20. Zentrale Gegenparteien: Unternehmen, die als Gegenpartei für Transaktionen agieren und Clearing-Dienste anbieten. Wenn Ihr Unternehmen diese Funktion erfüllt, ist es betroffen.
  21. Zentralverwahrer: Organisationen, die Wertpapiere verwahren und Abwicklungsdienste erbringen. Wenn Ihr Unternehmen in der Wertpapierverwahrung tätig ist, gehört es hierher.

Warum ist DORA für Banken und Finanzdienstleister wichtig?

DORA verlangt, dass Banken und Finanzdienstleister ihre Cybersicherheitsmaßnahmen verbessern, um sich gegen wachsende Cyberbedrohungen zu schützen und ihre operative Resilienz sicherzustellen.

Dazu gehört auch, dass die Unternehmen nicht nur die eigene IT-Infrastruktur, sondern auch die der von ihnen genutzten Drittanbieter gründlich kennen und mögliche Schwachstellen und Risiken frühzeitig erkennen.

Was passiert, wenn die betreffenden Unternehmen DORA nicht einhalten?

Die Nichteinhaltung der DORA-Verordnung kann ernsthafte rechtliche und finanzielle Konsequenzen nach sich ziehen. Die Höhe der Strafen und Sanktionen variiert je nach Schwere des Verstoßes und der spezifischen Umstände:

  1. Bußgelder: Unternehmen, die gegen DORA verstoßen, können mit erheblichen Geldstrafen belegt werden. Diese Strafen können in die Millionenhöhe gehen, abhängig von der Schwere des Verstoßes und der Größe des Unternehmens. Die Höhe der Geldbuße wird in der Regel prozentual zum jährlichen Umsatz des Unternehmens berechnet.
  2. Verwaltungsmaßnahmen: Neben Geldstrafen können Aufsichtsbehörden auch andere Verwaltungsmaßnahmen ergreifen, wie die Anordnung zur Umsetzung bestimmter Maßnahmen innerhalb einer festgelegten Frist oder die Einschränkung von Geschäftstätigkeiten, bis die Compliance-Anforderungen erfüllt sind.
  3. Verantwortung der Geschäftsleitung: Die Geschäftsführung kann persönlich haftbar gemacht werden, was zu rechtlichen Konsequenzen für einzelne Führungskräfte führen kann.
  4. Einschränkungen oder Verlust von Lizenzen: In extremen Fällen kann die Nichteinhaltung zu Lizenzbeschränkungen oder dem vollständigen Entzug von Geschäftslizenzen führen, was für das betroffene Unternehmen existenzbedrohend sein kann.
  5. Strafrechtliche Konsequenzen: Wenn die Nichteinhaltung auf vorsätzliche Missachtung von Vorschriften oder grobe Fahrlässigkeit zurückzuführen ist, können auch strafrechtliche Maßnahmen gegen die Verantwortlichen in Betracht gezogen werden.
  6. Reputationsschäden: Die Nichteinhaltung von DORA kann zu erheblichen Reputationsschäden führen, da Verstöße oft öffentlich gemacht werden. Dies kann das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen und langfristig negative Auswirkungen auf das Unternehmen haben.

Welche Anforderungen werden an Lernprozesse und Weiterentwicklung gestellt (Artikel 13)?

Artikel 13 der DORA-Verordnung legt den Fokus auf die kontinuierliche Entwicklung und Verbesserung der Kompetenzen von Führungskräften und Mitarbeitenden in Finanzunternehmen.

Diese Lernprozesse und Weiterbildungsmaßnahmen sind entscheidend, um sicherzustellen, dass alle Beteiligten stets über die neuesten Kenntnisse und Fähigkeiten verfügen, um mit den sich stetig weiterentwickelnden IKT-Risiken und Bedrohungen im digitalen Umfeld umzugehen.

  1. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen: Einführung und Durchführung regelmäßiger Schulungen zur Erhöhung des Bewusstseins und der Kompetenz in den Bereichen IKT-Sicherheit und digitale Resilienz.
  2. Schulung des Führungspersonals: Spezielle Schulungen für Mitglieder des Leitungsorgans, um sicherzustellen, dass sie über die notwendigen Kenntnisse und Fähigkeiten verfügen, um IKT-Risiken zu managen und deren Auswirkungen zu verstehen.
  3. Kontinuierliche Weiterbildung: Laufende Fortbildungsmaßnahmen, um sicherzustellen, dass das Wissen und die Fähigkeiten der Mitarbeiter stets auf dem neuesten Stand sind und mit den aktuellen Bedrohungen Schritt halten.
  4. Sicherstellung der IKT-Kompetenz Sicherstellen, dass alle Mitarbeitenden über die erforderlichen IKT-Kompetenzen verfügen, um ihre Rolle im Unternehmen effektiv auszuführen und zur digitalen Resilienz beizutragen.
  5. Sensibilisierung für spezifische Bedrohungen: Schulungen, die auf aktuelle und aufkommende Bedrohungen abzielen, einschließlich Themen wie Social Engineering, Phishing und andere Cyberangriffe.

Mit welchen Maßnahmen kann Artikel 25 DORA (Testen von IKT-Tools und -Systemen) umgesetzt werden?

DORA stellt spezifische Anforderungen an Finanzunternehmen, um die digitale Resilienz ihrer IT-Systeme sicherzustellen und Risiken zu minimieren, insbesondere im Umgang mit Drittanbietern. Hier sind die zentralen Anforderungen, die sich aus Artikel 25 DORA und verwandten Regelungen ergeben:

  1. Schwachstellenbewertung und -scans: Durchführung regelmäßiger Scans und Bewertungen, um potenzielle Schwachstellen in den IT-Systemen zu identifizieren und zu beheben.
  2. Open-Source-Analysen: Analyse und Überprüfung von Open-Source-Software, die in kritischen Systemen verwendet wird, um sicherzustellen, dass keine Sicherheitslücken vorhanden sind.
  3. Netzwerksicherheitsbewertungen: Bewertung der Netzwerksicherheit, um sicherzustellen, dass alle Netzwerkkomponenten und -verbindungen gegen potenzielle Angriffe geschützt sind.
  4. Lückenanalysen: Durchführung von Analysen, um Sicherheitslücken in IT-Systemen und -Prozessen zu identifizieren und Maßnahmen zu deren Schließung zu ergreifen.
  5. Überprüfungen der physischen Sicherheit: Sicherstellen, dass die physischen Standorte, an denen IT-Systeme untergebracht sind, ausreichend gesichert sind, um unbefugten Zugriff zu verhindern.
  6. Fragebögen und Scans von Softwarelösungen: Einsatz von Fragebögen und Scans, um die Sicherheit von eingesetzten Softwarelösungen zu bewerten.
  7. Quellcodeprüfungen: Soweit möglich, Überprüfung des Quellcodes, um Sicherheitsmängel frühzeitig zu erkennen.
  8. Szenariobasierte Tests: Durchführung von Tests, die reale Bedrohungsszenarien simulieren, um die Reaktionsfähigkeit des Unternehmens zu bewerten.
  9. Kompatibilitätstests: Sicherstellung der Kompatibilität aller Systeme und Softwarelösungen innerhalb der IT-Infrastruktur.
  10. Leistungstests: Überprüfung der Leistungsfähigkeit der IT-Systeme unter hohen Belastungen.
  11. End-to-End-Tests: Durchführung von Tests, die die gesamte IT-Infrastruktur umfassen, um sicherzustellen, dass alle Komponenten nahtlos zusammenarbeiten.
  12. Penetrationstests: Regelmäßige Durchführung von Penetrationstests zur Identifizierung von potenziell ausnutzbaren Schwachstellen durch Angreifer.

Welche Anforderungen werden an das IKT-Drittparteienrisiko (Artikel 28-31) gestellt?

Die Anforderungen der DORA-Verordnung im Rahmen des IKT-Drittparteienrisikos sind in verschiedenen Artikeln der Verordnung detailliert beschrieben:

  1. Artikel 28 DORA – Management von Risiken im Zusammenhang mit IKT-Drittparteien: Dieser Artikel legt fest, dass Finanzunternehmen eine umfassende Risikobewertung und -überwachung von IKT-Drittanbietern durchführen müssen. Dazu gehört auch die Verpflichtung zur kontinuierlichen Überwachung der Sicherheit und Leistung dieser Dienstleister.
  2. Artikel 29 DORA – Anforderungen an Verträge mit IKT-Drittparteien: Hier werden die vertraglichen Anforderungen beschrieben, die Finanzunternehmen bei der Zusammenarbeit mit IKT-Drittanbietern sicherstellen müssen. Dies umfasst Bestimmungen zur Sicherheitsverpflichtung, Datenintegrität und zur Reaktion auf Vorfälle.
  3. Artikel 30 DORA – Meldepflichten für kritische IKT-Drittanbieter: Dieser Artikel beschreibt die Pflichten der IKT-Drittanbieter, wesentliche Vorfälle zu melden, die die Funktionen der Finanzunternehmen beeinträchtigen könnten.
  4. Artikel 31 DORA - Überwachung von kritischen IKT-Drittanbietern: Hier wird erläutert, wie die zuständigen Behörden kritischen IKT-Drittanbieter überwachen und welche Maßnahmen sie ergreifen können, um die Einhaltung der Anforderungen sicherzustellen.

Lassen Sie uns ins Gespräch kommen!

Haben Sie Fragen oder möchten Sie mehr über unsere Dienstleistungen erfahren?

Dann nutzen Sie die Möglichkeit für ein kostenloses Erstgespräch.

Gemeinsam finden wir die beste Lösung für Ihre optimale Cybersicherheit.

Felix
Ihr Ansprechpartner:
Felix Jancker