DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche - Teil 1

Die Bedrohung durch Cyberangriffe in der Finanzbranche steigt massiv. Allein im letzten Jahr hat sich weltweit die Zahl der Angriffe gegenüber dem Vorjahr verdoppelt. Dazu tragen mehrere Faktoren bei, darunter vor allem die zunehmende Digitalisierung des Bankgeschäfts, die Verlagerung der Arbeit ins Homeoffice, die politische Lage durch Russlands Krieg in der Ukraine. Damit einher gehen auch Fragen der IT-Sicherheit und des Business Continuity Management.

Eine Antwort auf diese steigenden operationellen Risiken liefert die EU mit ihrem Regulierungsrahmen DORA, dem Digital Operational Resilience Act. Diese Verordnung (EU) 2022/2554 soll ein wichtiges Problem in der Finanzregulierung lösen. Bisher haben Finanzinstitute das operationelle Risiko nämlich hauptsächlich mit der Zuweisung von Kapital verwaltet. Auf der Basis von DORA müssen sie künftig auch weitergehende Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung von Vorfällen der in der Informations- und Kommunikationstechnik (IKT) befolgen.

DORA legt Regeln für das Risikomanagement, die Meldung von Vorfällen, die Prüfung der betrieblichen Widerstandsfähigkeit und die Überwachung des Risikos der IKT-Infrastruktur durch Dritte fest. Die Verordnung geht davon aus, dass Vorfälle und ein Mangel an operationeller Widerstandsfähigkeit die Solidität des gesamten Finanzsystems gefährden können, selbst wenn für ausreichend Kapital vorgehalten wird.

DORA wurde am 27. Dezember 2022 im Amtsblatt der Europäischen Union als Verordnung (EU) 2022/2554 veröffentlicht. Seine Bestimmungen gelten ab dem 17. Januar 2025.

Aufgrund ihres Umfangs und ihrem Fokus auf das operationelle Risikomanagement sind nicht nur sämtliche Akteure des Finanzsystems wie Banken und Versicherungen, sondern insbesondere auch deren IKT-Dienstleister betroffen, die die Vorgaben der Regulierung umsetzen müssen.

Aus diesem Grund widme ich dem Thema eine Artikelserie, in der ich in den kommenden Wochen die wesentlichen Aspekte der Regulierung beleuchte:

·        Für wen ist DORA relevant?

·        DORA im Verhältnis zu anderen Regularien

·        Kernthemen von DORA und Auswirkungen auf Auslagerungsverträge

·        IKT-Risikomanagementrahmen

·        Behandlung von IKT-Vorfällen und deren Meldung

·        Testprogramm zur Prüfung der operationellen Resilienz durch die Unternehmen

·        Steuerung und Überwachung von IKT-Drittdienstleisterrisiken

·        Hinweise zur Umsetzung

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de