DORA - Teil 2: Wer sind die Zielgruppen?
Bislang haben Finanzinstitute das operationelle Risiko hauptsächlich mit der Zuweisung von Kapital verwaltet. Der neue Regulierungsrahmen DORA (Digital Operational Resilience Act) legt nun detaillierte Regeln für das operationelle Risikomanagement fest. Die Verordnung geht davon aus, dass Vorfälle und ein Mangel an operationeller Widerstandsfähigkeit die Solidität des gesamten Finanzsystems gefährden können, selbst wenn für ausreichend Kapital vorgehalten wird. Auf der Basis von DORA müssen sie künftig auch weitergehende Regeln für den Schutz, die Erkennung, die Eindämmung, die Wiederherstellung von Vorfällen der in der Informations- und Kommunikationstechnik (IKT) befolgen.
Im zweiten Teil meiner Artikelserie stelle ich die Zielgruppen des DORA-Regulierungsrahmens vor.
Finanzunternehmen
Die Anforderungen von DORA gelten grundsätzlich für alle Finanzunternehmen (siehe dazu Art. 2 Abs. 1). Dazu zählen Versicherungs- und Rückversicherungsunternehmen, Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Kontoinformationsdienstleister, Ratingagenturen Wertpapierfirmen, Zentralverwahrer, Anbieter von Krypto-Dienstleistungen sowie für weitere Unternehmen wie Transaktionsregister und Verbriefungsregister, Handelsplätze und Datenbereitstellungsdienste.
Ausnahmen
Ausgenommen vom Anwenderkreis sind einzelne Unternehmensgruppen wie z.B. Verwalter alternativer Investmentfonds und Einrichtungen der betrieblichen Altersversorgung vom Anwendungskreis (siehe Art. 2 Abs. 3). Zudem können Institute die EU-Mitgliedsstaaten in Form eines nationalen Wahlrechts solche Institute vom DORA-Anwendungskreis ausnehmen, welche in der Capital Requirements Directive (CRD) genannt sind. Dies kann z.B. die Kreditanstalt für Wiederaufbau und die staatlichen Förderbanken der Bundesländer betreffen (siehe Art. 2 Abs. 4).
IKT-Dienstleister
Neben Finanzunternehmen unterliegen auch IKT-Dienstleister dem Regulierungsrahmen. Hier unterscheidet DORA zwischen Drittdienstleistern und gruppeninternen Dienstleistern.
· IKT-Drittdienstleister sind Unternehmen, die digitale Dienste und Datendienste erbringen. Dazu zählen Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren. Diese Dienstleistungen sind relativ weit definiert: Als digitale Dienste und Datendienste, die über IKT-Systeme für einen oder mehrere interne oder externe Nutzer auf Dauer erbracht werden, einschließlich Hardware als Dienstleistung und Hardware-Dienste, die die Bereitstellung technischer Unterstützung durch Software- oder Firmware-Updates durch den Hardware-Anbieter umfassen, mit Ausnahme herkömmlicher analoger Telefondienste.
· Zu den gruppeninternen IKT-Dienstleistern zählen Unternehmen, die Teil einer Finanzgruppe ist und überwiegend IKT-Dienstleistungen für Finanzunternehmen innerhalb derselben Gruppe oder für Finanzunternehmen, die demselben institutsbezogenen Sicherungssystem angehören, erbringt, einschließlich für deren Mutterunternehmen, Tochterunternehmen, Zweigniederlassungen oder andere Unternehmen, die unter gemeinsamer Eigentümerschaft oder Kontrolle stehen.
Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.
Bisher erschienen:
· DORA – ein neuer Regulierungsrahmen für digitale operationelle Risiken in der Finanzbranche
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de