Digital Operational Resilience Act (DORA)

Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operative Widerstandsfähigkeit des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (DORA)

Die Verordnung (EU) 2022/2554, bekannt als Digital Operational Resilience Act (DORA), ist ein umfassender Rahmen, der sicherstellen soll, dass der Finanzsektor in der EU IKT-bedingten Störungen standhalten und sich davon erholen kann. Zu den wichtigsten Abschnitten gehören Anforderungen für IKT RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Verwaltung, VorfallVorfall Bezeichnet ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder über sie zugänglichen Dienste beeinträchtigt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Berichterstattung, betriebliche Belastbarkeitstests und Risikomanagement für Dritte. DORA schafft auch einen regulatorischen Aufsichtsrahmen für kritische Dritte IKT-DienstleistungIKT-Dienstleistung bezeichnet eine Dienstleistung, die ganz oder überwiegend in der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht - Definition gemäß Artikel 2 Nummer 13 der Verordnung (EU) 2019/881 Anbieter. Sie konsolidiert und aktualisiert die IKT-Risikovorschriften in den verschiedenen Verordnungen und fördert so die Kohärenz, die Rechtssicherheit und die Verringerung der Befolgungskosten für grenzüberschreitend tätige Finanzunternehmen.

Aufbau und wichtige Abschnitte

  1. Allgemeine Bestimmungen. Dieser Abschnitt umreißt den Anwendungsbereich und die Ziele der DORA, die für ein breites Spektrum von Finanzunternehmen gilt, darunter Banken, Wertpapierfirmen und Zahlungsinstitute. Er definiert Schlüsselbegriffe und legt die Rechtsgrundlage für die Verordnung fest, wobei die Notwendigkeit eines einheitlichen Ansatzes für die digitale Resilienz in der gesamten EU betont wird.
  2. IKT-Risikomanagement. Dieser Abschnitt schreibt vor, dass Finanzinstitute ein umfassendes IKT-Risikomanagement-Rahmenwerk einführen. Diese Rahmenwerke müssen alle Aspekte des IKT-Risikos abdecken, einschließlich Identifizierung, Schutz, Aufdeckung, Reaktion und Wiederherstellung. Die Unternehmen sind verpflichtet, ihre Risikomanagement-Strategien regelmäßig zu überprüfen und zu aktualisieren, um den sich entwickelnden Bedrohungen zu begegnen.
  3. Meldung von ICT-bezogenen Vorfällen. Die DORA verlangt von den Finanzinstituten, dass sie klare Verfahren für die Meldung wesentlicher IKT-bezogener Vorfälle festlegen. Darunter fallen Vorfälle, die einen erheblichen Einfluss auf die UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)oder den Schutz von Kundengeldern und -daten zu gefährden. Die rechtzeitige Meldung an die zuständigen Behörden ist entscheidend für koordinierte Reaktionen auf EU-Ebene.
  4. Testen der digitalen Ausfallsicherheit
    Finanzunternehmen müssen regelmäßig Tests zur digitalen operativen Belastbarkeit durchführen, einschließlich bedrohungsgesteuerter Penetrationstests (TLPT). Ziel ist es, die Wirksamkeit ihres IKT-Risikomanagements und ihre Vorbereitung auf potenzielle Cyber-Bedrohungen zu bewerten. Unternehmen, die als kritisch eingestuft werden, müssen sich unter der Aufsicht der zuständigen Behörden strengeren Tests unterziehen.
  5. Austausch von Informationen. DORA fördert den Austausch von Informationen über Cyber-Bedrohungen und -Schwachstellen zwischen Finanzunternehmen. Diese Zusammenarbeit zielt darauf ab, die kollektive Widerstandsfähigkeit zu erhöhen, indem sie es den Einrichtungen ermöglicht, von den Erfahrungen der anderen zu lernen und sich besser auf potenzielle Bedrohungen vorzubereiten.
  6. Management von Risiken Dritter. Dieser Abschnitt regelt die Nutzung von Drittanbietern von IKT-Dienstleistungen und trägt den Risiken Rechnung, die mit der Auslagerung kritischer Funktionen verbunden sind. Finanzunternehmen sind verpflichtet, die Risiken, die von Drittanbietern ausgehen, zu überwachen und zu managen und sicherzustellen, dass diese Anbieter strenge Ausfallsicherheitsstandards erfüllen. Kritische IKT-Anbieter können auch der direkten Aufsicht durch EU-Regulierungsbehörden unterliegen.
  7. Aufsichtsmaßnahmen und Sanktionen. Die DORA gibt den Aufsichtsbehörden die Befugnis, die Einhaltung der Vorschriften durchzusetzen und bei Verstößen gegen die Verordnung Sanktionen zu verhängen. Dieser Abschnitt umreißt den Aufsichtsrahmen und beschreibt die Befugnisse der nationalen und europäischen Behörden, um sicherzustellen, dass die Finanzunternehmen die Anforderungen einhalten. Die Sanktionen können erheblich sein und spiegeln die Schwere der Nichteinhaltung wider.

Die Verordnung zielt darauf ab, einen harmonisierten Ansatz für die digitale operationelle Widerstandsfähigkeit zu schaffen und sicherzustellen, dass die Finanzsysteme in der EU robust und sicher sind und IKT-bedingten Störungen standhalten können.

Holen Sie sich die NIS 2 Checkliste für Risiken in der Lieferkette

Laden Sie unsere kostenlose NIS2-Checkliste für Risiken in der Lieferkette herunter, um sicherzustellen, dass Ihr Unternehmen die neuesten Anforderungen erfüllt. CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; Standards mühelos einhalten.