DORA - Teil 5: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz

DORA: Das Zusammenspiel mit NIS 2 und dem Lieferkettengesetz

 

Der neue Regulierungsrahmen DORA (Digital Operational Resilience Act) soll die Cybersicherheit des Finanzsektors stärken und gibt dazu detaillierte Regeln für das operationelle Risikomanagement vor. Doch wie werden bestehende regulatorische Vorgaben und Verordnungen aufgegriffen und in das neue Regelwerk integriert? In diesem fünften Teil der Artikelserie geht es um das Zusammenspiel von DORA mit der Cybersicherheitsrichtlinie NIS 2 und dem Lieferkettengesetz.

 

NIS 2

Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS 2-Richtlinie) enthält rechtliche Maßnahmen, um das Cybersicherheitsniveau in der EU insgesamt zu stärken. NIS 2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, wie etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur. Mit der 2022 überarbeiteten Richtlinie sollen die Anforderungen an die Cybersicherheit und die Umsetzung von Cybersicherheitsmaßnahmen zwischen verschiedenen Mitgliedstaaten harmonisiert werden.

Die DORA-Verordnung ergänzt die NIS2-Richtlinie als lex specialis mit dem klaren Branchenfokus. Um Rechtsklarheit zu schaffen und für Kohärenz zwischen NIS 2 und weiteren Rechtsakten zu sorgen, wurde die Verordnung an die sektorspezifischen Rechtsvorschriften von DORA angepasst.

 

Lieferkettengesetz

Das Lieferkettensorgfaltspflichtengesetz, kurz Lieferkettengesetz (LkSG), ist am 1. Januar 2023 in Kraft getreten. Das Gesetz regelt die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den globalen Lieferketten. Hierzu gehört beispielsweise der Schutz vor Kinderarbeit, das Recht auf faire Löhne sowie wie der Schutz der Umwelt. Das Gesetz sieht zudem ein Lieferketten-Risikomanagementsystem zur Überwachung der Sorgfaltspflichten vor.

Das LkSG betrifft Unternehmen ab 1.000 Mitarbeitern. Bei den Konzentrationstendenzen in der Kreditwirtschaft kann diese Zahl schnell durch Fusionen erreicht sein. Aus diesem Grund ist es sinnvoll, einen Blick auf die Regelungen zu werfen und zu klären, ob bedeutende Inhalte des LkSG bereits durch andere regulatorische Vorgaben abgedeckt werden.

Mit einem etablierten IT-Risikomanagement sind die Voraussetzungen zur Umsetzung des LkSG zu einem großen Teil schon geschaffen. Bei einer Auslagerung von IT-Services bezieht sich dies auf den direkten Vertragspartner und sämtliche Weiterverlagerungen an Subunternehmen, die in das Erbringen der Services eingebunden sind.

Wir beraten Finanzunternehmen und IKT-Dienstleister bei der Vorbereitung auf die Umsetzung der DORA-Richtlinie und beim Bewerten von Haftungsrisiken. Wir unterstützen sie bei der Gestaltung von Verträgen und beim Ausarbeiten der relevanten Klauseln.

Bisher erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de