DORA: Das Proportionalitätsprinzip

DORA schafft ein einheitliches Regelwerk für den gesamten Finanzsektor. Das macht es erforderlich, die unterschiedlichen Risikoprofile und Betriebsgrößen zu berücksichtigen. Ein Schlüsselelement ist das Proportionalitätsprinzip. Es zielt darauf ab, einen ausgewogenen, risikobasierten Ansatz für die Anwendung von Cybersicherheitsvorschriften zu gewährleisten. In meinem Artikel stelle ich Proportionalitätsprinzip vor und beleuchte die Auswirkungen auf Finanzdienstleister und deren IKT-Dienstleister.

Grundlagen und Verankerung

DORA zielt darauf ab, ein einheitliches und nicht fragmentiertes Regelwerk für den gesamten Finanzsektor der EU zu schaffen, das von Kreditinstituten über Versicherungsunternehmen bis hin zu Krypto-Dienstleistern reicht. Eine solche breite Anwendung erfordert eine flexible Herangehensweise, um die unterschiedlichen Risikoprofile und Betriebsgrößen der regulierten Entitäten zu berücksichtigen. Hier kommt das Proportionalitätsprinzip ins Spiel, das in Artikel 3a DORA-E explizit hervorgehoben wird.

Das Prinzip ermöglicht es, die Anforderungen von DORA risikobasiert anzupassen, damit kleinere Unternehmen, die ein geringeres Risiko darstellen, nicht unverhältnismäßig belastet werden. Dieses Vorgehen ergänzt den weiten Anwendungsbereich von DORA komplementär und stellt sicher, dass die Maßnahmen zur Stärkung der Cybersicherheit proportional zur Größe und zum Risiko der jeweiligen Institution sind.

Auswirkungen auf Finanzdienstleister

Für Finanzdienstleister bedeutet die Umsetzung des Proportionalitätsprinzips eine maßgeschneiderte Anwendung von Cybersicherheitsmaßnahmen. Große Institute mit umfangreichen und komplexen IT-Systemen unterliegen höheren Anforderungen als kleinere Institute. Zum Beispiel fallen Kleinstunternehmen fast gänzlich aus dem Anwendungsbereich heraus, während für kleine und mittelgroße Unternehmen Einschränkungen gelten. Spezialisierte Finanzakteure, wie E-Geld-Institute oder kleinere Zahlungsdienstleister, müssen sich lediglich an Basisanforderungen halten. Diese flexible Herangehensweise soll die Resilienz des gesamten Sektors fördern, ohne einzelne Unternehmen übermäßig zu belasten.

IKT-Dienstleister

IKT-Dienstleister, die für den Finanzsektor arbeiten, müssen sich ebenfalls an DORA anpassen. Das Proportionalitätsprinzip sorgt dafür, dass auch hier die Anforderungen an die Cybersicherheit der Größe und dem Risiko des Dienstleisters entsprechen. Dies bedeutet, dass die Zusammenarbeit zwischen Finanzdienstleistern und ihren IKT-Dienstleistern unter DORA auf einer klaren Verständigung über das erforderliche Sicherheitsniveau basieren muss, was wiederum eine stärkere Integration von Cybersicherheitsmaßnahmen in die Geschäftsstrategien beider Parteien fördert.

Technikneutralität

Ein weiterer wichtiger Aspekt von DORA ist die technikneutrale Ausgestaltung des Gesetzestextes. Dies gewährleistet, dass die Verordnung auch auf zukünftige technologische Entwicklungen anwendbar bleibt und bei Einführung neuer Finanztechnologien nicht sofort wieder angepasst werden müssen.

Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.

Bisher zum Thema DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de