DORA: Risiken und Verantwortlichkeiten der Geschäftsführung

Die Einführung der Digital Operational Resilience Act (DORA) stellt einen Wendepunkt in der Regulierung von Informations- und Kommunikationstechnologien (IKT) im Finanzsektor dar. Mit dem klaren Ziel, die Widerstandsfähigkeit gegenüber Cyberangriffen und anderen IKT-bedingten Störungen zu erhöhen, erlegt DORA der Geschäftsleitung von Finanzunternehmen neue Pflichten auf. In diesem Teil meiner DORA-Artikelserie beleuchte ich die Auswirkungen der Regulierung und die Verantwortlichkeiten der Geschäftsleitung.

Neue Standards für das Managen von IKT-Risiken

DORA formuliert klare Erwartungen an die Rolle der Geschäftsleitung im IKT-Risikomanagement. Die Verordnung schreibt erstmalig vor, dass die Geschäftsleitung eines Finanzunternehmens die Gesamtverantwortung für das Management von IKT-Risiken trägt. Diese Verantwortung äußert sich in einer Reihe von Pflichten, von der Definition und Genehmigung eines IKT-Risikomanagement-Rahmenwerks bis hin zur kontinuierlichen Überwachung der Umsetzung von Geschäftskontinuitäts- und Wiederherstellungsplänen.

Persönliche Verantwortung der Geschäftsleitung

Eine der wichtigsten Neuerungen durch DORA ist die explizite und persönliche Verantwortung der Mitglieder der Geschäftsleitung, festgeschrieben in Artikel 5. Die Verordnung definiert deutlich die Pflichten der Geschäftsleitung, die nun gesetzlich verankert sind.

Die Mitglieder der Geschäftsleitung können sich nicht mehr hinter den Entscheidungen von IT-Leitungen oder anderen Führungskräften verbergen. Die Verordnung gewährleistet, dass die Geschäftsleitung aktiv in die Genehmigung und laufende Überwachung der IKT-Strategien und -Praktiken eingebunden ist. Dies schließt die Zustimmung zu internen Auditplänen und deren regelmäßige Überprüfung sowie die Einhaltung von Richtlinien zur Nutzung von IKT-Diensten durch Dritte mit ein.

Starke Governance-Struktur

DORA unterstreicht die Notwendigkeit einer robusten Governance-Struktur innerhalb des Finanzinstituts, die effektive und zeitnahe Kommunikation, Zusammenarbeit und Koordination aller IKT-bezogenen Funktionen sicherstellt. Es ist Aufgabe der Geschäftsleitung, klare Rollen und Verantwortlichkeiten festzulegen und ausreichende Budgets bereitzustellen, um den Anforderungen an die digitale operative Resilienz gerecht zu werden. Mit Blick auf die bestehende Verwaltungspraxis der BaFin sind die Anforderungen zwar nicht völlig neu, sie erhalten aber zusätzliches Gewicht durch die sich verschärfende Bußgeldpraxis. Dies beeinflusst auch die Rolle der IT-Verantwortlichen, die nun neue Berichtspflichten gegenüber der Geschäftsleitung haben.

Ausbildung und kontinuierliche Weiterbildung

DORA fordert, dass die Mitglieder der Geschäftsleitung regelmäßig spezifische Schulungen zu IKT-Risiken erhalten. Diese Weiterbildungen sollen sicherstellen, dass sie stets auf dem aktuellen Stand der Technik und der besten Praktiken in Bezug auf IKT-Risikomanagement sind. Dies spiegelt die Erkenntnis wider, dass ein tiefes Verständnis von IKT-Risiken und deren Management für die Führung eines modernen Finanzunternehmens unerlässlich ist.

Die Umsetzung des DORA stellt für die Geschäftsleitungen von Finanzunternehmen eine Herausforderung dar. Sie sind nun direkt verantwortlich für die Überwachung und Verwaltung von IKT-Risiken, was eine engere Integration von IKT-spezifischem Wissen in die Unternehmensführung erfordert. Die Vorschriften bieten einen klaren Rahmen, um die operative Resilienz im Finanzsektor und letztendlich das Vertrauen in die digitale Wirtschaft zu stärken. Diese grundlegenden Veränderungen erfordern von der Geschäftsleitung der Finanzunternehmen eine Neubewertung der IKT-Risiken und ihrer bisherigen Strategien im Umgang damit.

Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.

Bisher zum DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de