DORA: Die besondere Rolle der kritischen IKT-Dienstleister
Der Digital Operational Resilience Act (DORA) markiert einen Wendepunkt in der Regulierung des Finanzsektors innerhalb der Europäischen Union. Mit der Einführung von DORA wird der Fokus verstärkt auf die Informations- und Kommunikationstechnologie (IKT) gelegt, die als Rückgrat des modernen Finanzwesens fungiert. Die Verordnung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzmarktes zu stärken und gleichzeitig Wettbewerb und Innovation zu fördern. DORA betrifft nicht nur Finanzunternehmen direkt, sondern erstreckt sich auch auf deren IKT-Drittdienstleister, insbesondere jene, die als kritisch eingestuft werden. In diesem Artikel blicke ich auf die Definition kritischer Dienstleister und die daraus resultierenden Anforderungen und Pflichten.
Fokus auf IKT-Dienstleister
Der Finanzsektor ist in hohem Maße von IKT-Dienstleistungen abhängig, wobei insbesondere Infrastrukturen und Cloud-Dienstleistungen eine zentrale Rolle spielen. DORA adressiert diese Abhängigkeit, indem er einen spezifischen Rahmen für die Regulierung von als kritisch eingestuften IKT-Drittdienstleistern einführt. Diese Dienstleister, zu denen oft große Cloud-Anbieter zählen, werden nun erstmals einheitlich auf EU-Ebene reguliert.
Was sind kritische IKT-Drittdienstleister?
Die Einstufung als kritischer IKT-Drittdienstleister erfolgt durch die Europäischen Aufsichtsbehörden (European Supervisory Authorities - ESA) auf Basis spezifischer Kriterien. Dabei spielen der systematische Charakter und die Bedeutung für die Finanzunternehmen, die diese Dienste nutzen, eine entscheidende Rolle. Einmal jährlich veröffentlichen die ESA eine Liste der als kritisch eingestuften Dienstleister, was für Transparenz und Klarheit im Markt sorgt.
Konsequenzen für kritische IKT-Drittdienstleister
Die Konsequenzen einer solchen Einstufung sind weitreichend. Kritische IKT-Drittdienstleister unterliegen der Überwachung durch die jeweils ernannte federführende Überwachungsbehörde. Diese Überwachung beinhaltet die Bewertung des IKT-Managements und der Dienstleistungen, die kritische oder wichtige Funktionen für Finanzunternehmen unterstützen. Auf dieser Grundlage wird ein individueller Überwachungsplan erstellt und den Dienstleistern jährlich übermittelt.
Kritische IKT-Drittdienstleister müssen umfassende Informationen und Unterlagen bereitstellen und sind zu allgemeinen Untersuchungen und Inspektionen verpflichtet. Sie müssen Empfehlungen zu IKT-Anforderungen, physischer Sicherheit oder Risikomanagementprozessen befolgen. Bei Nichtbefolgung dieser Empfehlungen können Finanzunternehmen angehalten werden, die Nutzung der Dienstleistungen dieser Dienstleister auszusetzen oder die entsprechenden Vertragsbeziehungen zu beenden.
Verhältnis zur NIS2-Richtlinie
DORA ergänzt die NIS2-Richtlinie, indem sie einen spezifischen Rahmen für die Überwachung kritischer IKT-Drittdienstleister schafft, der über die allgemeinen Anforderungen der NIS2-Richtlinie hinausgeht. Während die NIS2-Richtlinie eine breite Palette von Sektoren abdeckt und grundlegende Sicherheitsanforderungen für kritische Infrastrukturen festlegt, fokussiert DORA spezifisch auf den Finanzsektor und dessen digitale Resilienz. Dies unterstreicht die Bedeutung der spezifischen Risiken und Herausforderungen, die mit IKT-Dienstleistungen in diesem Sektor verbunden sind.
DORA und die NIS2-Richtlinie sind somit komplementär zueinander. Finanzunternehmen, die sowohl unter DORA als auch unter die NIS2-Richtlinie fallen, müssen sich primär nach den Regelungen von DORA richten, da diese als lex specialis gilt. Dies bedeutet, dass DORA spezifischere Anforderungen stellt, die auf die Besonderheiten des Finanzsektors zugeschnitten sind. Gleichzeitig bleibt das Ziel beider Regelwerke konsistent: die Stärkung der Cybersicherheit und der digitalen Resilienz europäischer Unternehmen.
Für IKT-Drittdienstleister ergibt sich aus dem Zusammenspiel von DORA und NIS2 eine doppelte Regulierungslandschaft. Sie müssen nicht nur die Anforderungen von DORA erfüllen, wenn sie als kritisch für den Finanzsektor eingestuft werden, sondern können auch unter die allgemeineren Bestimmungen der NIS2-Richtlinie fallen. Dies verlangt von den Dienstleistern ein hohes Maß an Flexibilität und Anpassungsfähigkeit, um beiden Regelwerken gerecht zu werden.
Die enge Verzahnung von DORA mit der NIS2-Richtlinie spiegelt zudem das Bestreben des europäischen Gesetzgebers wider, eine einheitliche und robuste Regulierungsstruktur für die digitale Wirtschaft zu schaffen. Die Vorschriften über den Überwachungsrahmen für kritische IKT-Drittdienstleister nach DORA gelten dabei unbeschadet der NIS2-Richtlinie. Dies gewährleistet, dass die speziellen Anforderungen des Finanzsektors in Bezug auf digitale Resilienz ohne Beeinträchtigung durch andere Regelwerke adressiert werden können.
Ausblick
Mit der Einführung von DORA stellt sich der Finanzsektor in der EU den digitalen Risiken und Herausforderungen. Die Regulierung hebt die Bedeutung der digitalen Resilienz hervor und fordert eine verstärkte Zusammenarbeit über Organisationsgrenzen hinweg. Für kritische IKT-Drittdienstleister bedeutet dies eine neue Ebene der Verantwortung und Regulierung, die eine enge Zusammenarbeit mit Finanzunternehmen und Regulierungsbehörden erfordert. Angesichts des Stichtages am 17. Januar 2025 ist es für alle Beteiligten entscheidend, die Anforderungen von DORA zu verstehen, den Handlungsbedarf zu analysieren und die notwendigen Schritte zur Einhaltung der Vorschriften einzuleiten.
Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher zum Thema DORA erschienen:
DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
DORA: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz
DORA: Neuer Maßstab für Cybersicherheit in der Finanzwirtschaft
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de