Digital Operational Resilience Act (DORA)

Die Digitalisierung schreitet unaufhaltsam voran und mit ihr steigen auch die Risiken im Cyberspace. Genau hier setzt der Digital Operational Resilience Act, kurz DORA, an. Es handelt sich um einen EU-Rechtsakt, der am 28. November 2022 vom Europäischen Rat angenommen wurde und am 16. Januar 2023 in Kraft trat. Das Ziel? Die Stärkung der digitalen operationalen Resilienz von Unternehmen im Finanzsektor.

DORA nimmt sich der Herausforderung an, einheitliche Regelungen zur IT-Sicherheit im europäischen Binnenmarkt zu schaffen. Besonders in Zeiten steigender Cybersicherheitsrisiken ist es essenziell, dass sich alle im Finanzsektor tätigen Unternehmen auf ein gleich hohes Schutzniveau einstellen. So sollen die vielfältigen, bisherigen nationalen Regulierungsansätze, die oft zu Überschneidungen und Inkonsistenzen führten, ersetzt werden.

Wer ist von DORA betroffen?

DORA richtet sich an ein breites Spektrum von Unternehmen im Finanzsektor – von Banken über Wertpapierfirmen bis hin zu Versicherungsunternehmen. Auch IKT-Dienstleister fallen unter den Regelungsbereich. Einige Unternehmen des Finanzsektors sind zwar ausgenommen, sollen aber im Rahmen einer späteren Überprüfung von DORA erneut betrachtet werden.

Kernanforderungen von DORA

  1. Gesamtverantwortung der Geschäftsleitung: DORA schreibt eine Gesamtverantwortung des Leitungsorgans für die digitale operationale Resilienz vor. Dies umfasst unter anderem die Einrichtung eines internen Governance- und Kontrollrahmens sowie die Definition von Aufgaben und Verantwortlichkeiten.
  2. IKT-Risikomanagement: Unternehmen müssen einen umfassenden IKT-Risikomanagementrahmen implementieren, der regelmäßig überprüft und angepasst wird.
  3. Resilienzanforderungen und Prüfpflichten: Unternehmen sollen ihre digitale Betriebsstabilität regelmäßig testen, um Schwachstellen und Mängel zu identifizieren.
  4. Meldepflichten bei Sicherheitsvorfällen: Schwerwiegende Sicherheitsvorfälle müssen gemeldet werden, und es müssen Prozesse zur Überwachung, Protokollierung und Meldung solcher Vorfälle eingerichtet werden.
  5. Einbindung von IKT-Drittdienstleistern: Hier sieht DORA vor, dass Unternehmen Risiken im Zusammenhang mit der Einbindung von IKT-Drittdienstleistern bewerten und verwalten müssen. Verträge mit diesen Dienstleistern müssen bestimmten Mindestanforderungen entsprechen.

Was bedeutet das für betroffene Unternehmen?

Die Einführung von DORA stellt für viele Unternehmen eine Herausforderung dar. Die Anpassung der internen Prozesse und Strukturen, das Überprüfen bestehender IKT-Verträge und die Implementierung der geforderten Risikomanagementstrategien erfordern Zeit und Ressourcen. Dennoch bietet DORA auch Chancen: Ein vereinheitlichtes, hohes Schutzniveau kann die Wettbewerbsfähigkeit stärken und Vertrauen bei Kunden und Partnern schaffen.

Digital Operational Resilience Act (DORA) - Rechtsanwalt Ferner zur IT-Sicherheit

Bedeutung für die Geschäftsleitung

DORA hat spürbare Auswirkungen auf die Compliance, insbesondere in Bezug auf die Pflichten und die Haftung der Geschäftsleitung im Finanzsektor. Die zentralen Aspekte dürften wie folgt zusammengefasst werden können:

  1. Gesamtverantwortung der Geschäftsleitung: Die Unternehmensleitung trägt die Gesamtverantwortung für die Umsetzung und Aufrechterhaltung der digitalen operationalen Resilienz. Dies beinhaltet die Implementierung und Überwachung eines umfassenden IKT-Risikomanagements. Die Leitungsorgane müssen einen robusten internen Governance- und Kontrollrahmen schaffen, der klare Aufgaben und Verantwortlichkeiten im Bereich der IT-Sicherheit festlegt.
  2. IKT-Risikomanagement: Die Geschäftsleitung ist verpflichtet, einen wirksamen Rahmen für das Management von IKT-Risiken zu implementieren und regelmäßig zu überprüfen. Dieser Rahmen sollte alle Aspekte der Informationstechnologie umfassen, um sicherzustellen, dass die IKT-Assets und -Dienste des Unternehmens angemessen geschützt sind.
  3. Rechenschaftspflicht und Transparenz: Es wird von den Führungskräften erwartet, dass sie nicht nur die Einhaltung der Vorschriften sicherstellen, sondern auch transparent gegenüber den Aufsichtsbehörden agieren. Meldepflichten für Sicherheitsvorfälle sind ein zentraler Bestandteil dieser Transparenz.
  4. Prüfung und Anpassung bestehender Strukturen: Die Geschäftsleitung muss bestehende Prozesse und Strukturen regelmäßig überprüfen und anpassen, um den Anforderungen von DORA gerecht zu werden. Dies umfasst auch die Bewertung und das Management von Risiken, die mit der Einbindung von IKT-Drittdienstleistern verbunden sind.
  5. Haftung und Sanktionen: Bei Nichteinhaltung der Vorgaben kann es zu Sanktionen kommen. Die Geschäftsleitung trägt letztendlich die Verantwortung für eventuelle Verstöße gegen die Vorschriften, was finanzielle Strafen oder andere regulatorische Sanktionen zur Folge haben kann.

Es zeigt sich durch DORA eine gesteigerte Verantwortung und erhöhte Anforderungen an die Compliance-Strukturen der betroffenen Finanzdienstleister; dies insbesondere für die Geschäftsleitung, die nun in verstärktem Maße dafür verantwortlich ist, die Einhaltung der anspruchsvollen IT-Sicherheitsstandards zu gewährleisten.

DORA

DORA ist ein wichtiger Schritt in Richtung eines einheitlich hohen Cybersicherheitsniveaus im europäischen Finanzsektor. Unternehmen stehen zwar vor anspruchsvollen Aufgaben, doch letztendlich trägt dies zu einer stärkeren und sichereren digitalen Wirtschaft bei. Angesichts der kurzen Übergangsfrist bis Januar 2025 ist es ratsam, dass betroffene Unternehmen umgehend mit der Umsetzung der Vorgaben beginnen.

Fachanwalt für IT-Recht Jens Ferner